您现在的位置是:首页 > 互联网 > 正文

苹果想要标准化短信OTPs的格式

发布时间:2024-07-20 17:14:57来源:

导读 苹果工程师今天提出了一项建议,即规范包含用户在双因素认证(2FA)登录过程中接收的一次性密码(OTP)的SMS消息的格式。这项建议来自于在S

苹果工程师今天提出了一项建议,即规范包含用户在双因素认证(2FA)登录过程中接收的一次性密码(OTP)的SMS消息的格式。

这项建议来自于在Safari网络浏览器核心组件WebKit上工作的苹果工程师。

这项建议有两个目标。第一种方法是引入OTP短信可以与URL关联。这是通过在SMS本身中添加登录URL来完成的。

第二个目标是规范2FA/OTP短信的格式,因此浏览器和其他移动应用程序可以轻松地检测到传入的短信,识别消息内部的We b域,然后自动提取OTP代码并完成登录操作,而不需要进一步的用户交互。

通过这样做,接收和输入一次性密码的过程可以自动化,消除用户上当受骗的风险,并在钓鱼网站上输入OTP代码,并使用错误的URL。

根据新提案,OT P码的新短信格式如下:

第一行是针对人类用户的,让他们可以确定SMSOTP代码来自哪个网站。

第二行是为人类用户,但也为应用程序和浏览器。

应用程序和浏览器将自动提取OTP代码并完成2FA登录操作。如果不匹配,自动完成操作失败,人类读者将能够看到网站的实际URL,并将其与他们试图登录的网站进行比较。如果两者不一样,那么用户就会被警告说他们实际上在钓鱼网站上,并放弃他们的登录操作。

目前,苹果(WebKit)和谷歌(Google)的工程师已经加入了这一提案。Mozilla(Fire fox)尚未就该标准提供官方反馈。

一旦浏览器将以这种新格式发送用于读取SMSOTP代码的组件,SMSOTP代码的主要提供者预计将转向使用它。到目前为止,Twilio已经表示有兴趣为其短信OTP服务实施新的格式。

标签:

上一篇
下一篇