Οι μηχανικοί της Apple που εργάζονται στο WebKit (το βασικό στοιχείο του προγράμματος περιήγησης Safari) πρότειναν να γίνει τυποποίηση της μορφής των μηνυμάτων SMS που περιέχουν κωδικούς πρόσβασης μιας χρήσης (OTP), τους οποίους λαμβάνουν οι χρήστες όταν συνδέονται με επαλήθευση σε 2 βήματα (2FA).
Η Apple με αυτή την πρόταση επιδιώκει αρχικά να εισάγει μία μέθοδο με την οποία τα μηνύματα SMS που περιέχουν κωδικούς μίας χρήσης να μπορούν να συσχετιστούν με μια διεύθυνση URL Αυτό μπορεί να επιτευχθεί με την προσθήκη μιας διεύθυνσης URL μέσα στο ίδιο το SMS. Παράλληλα η Apple επιδιώκει την τυποποίηση της μορφής των μηνυμάτων SMS που θα περιέχουν κωδικούς OTP και θα καθιστούν δυνατή την επαλήθευση σε 2 βήματα(2FA). Με αυτό τον τρόπο τα προγράμματα περιήγησης και άλλες εφαρμογές κινητών θα μπορούν εύκολα να ανιχνεύσουν τα εισερχόμενα SMS, να αναγνωρίσουν τον ιστό στο εσωτερικό του μηνύματος και στη συνέχεια να εξάγουν αυτόματα τον κωδικό OTP και να ολοκληρώσουν τη σύνδεση χωρίς να χρειάζεται να κάνει κάτι άλλο ο χρήστης. Έτσι η λήψη και η εισαγωγή κωδικού πρόσβασης μιας χρήσης θα μπορεί να γίνεται αυτόματα, έτσι ώστε να μειώνονται οι πιθανότητες να πέσει ένας χρήστης θύμα απάτης ή ακόμη να εισάγει κωδικό OTP σε έναν ιστότοπο phishing με λάθος διεύθυνση URL.
Σύμφωνα με τη νέα πρόταση, η νέα μορφή SMS που θα περιέχουν κωδικούς OTP θα είναι η εξής:
Το 747723 είναι ο κωδικός επαλήθευσης WEBSITE. @ website.com # 747723
Η πρώτη γραμμή απευθύνεται σε χρήστες, επιτρέποντάς τους να εντοπίσουν από ποιον ιστότoπο προέρχεται ο κωδικός OTP που περιλαμβάνεται μέσα σε ένα SMS. Η δεύτερη γραμμή απευθύνεται σε χρήστες αλλά και εφαρμογές και προγράμματα περιήγησης. Οι εφαρμογές και τα προγράμματα περιήγησης θα εξαγάγουν αυτόματα τον κωδικό OTP και θα ολοκληρώνουν τη σύνδεση με επαλήθευση σε 2 βήματα (2FA).
Σε περίπτωση ωστόσο που δεν υπάρχει αντιστοιχία και η λειτουργία αυτόματης συμπλήρωσης αποτυγχάνει, οι χρήστες θα μπορούν να δουν την πραγματική διεύθυνση URL του ιστοτόπου και να τον συγκρίνουν με τον ιστότοπο που προσπαθούν να συνδεθούν. Εάν τα δύο στοιχεία δεν είναι τα ίδια, τότε οι χρήστες θα ειδοποιηθούν ότι έχουν μεταφερθεί σε έναν ιστότοπο phishing και αποσυνδέονται.
Προς το παρόν, οι μηχανικοί της Apple (WebKit) και της Google (Chromium) έχουν ήδη συμπεριληφθεί στην πρόταση. Η Mozilla (Firefox) δεν έχει ανακοινώσει κάτι ακόμα σχετικά με την πρόταση, ενώ η Twilio έχει ήδη εκφράσει ενδιαφέρον για την εφαρμογή της πρότασης.
, που λαμβάνουν οι χρήστες στη σύνδεση με 2FA.){kind=link}