苹果想要标准化短信OTPs的格式

苹果工程师今天提出了一项建议，即规范包含用户在双因素认证（2FA）登录过程中接收的一次性密码（OTP）的SMS消息的格式。

这项建议来自于在Safari网络浏览器核心组件WebKit上工作的苹果工程师。

这项建议有两个目标。第一种方法是引入OTP短信可以与URL关联。这是通过在SMS本身中添加登录URL来完成的。

第二个目标是规范2FA/OTP短信的格式，因此浏览器和其他移动应用程序可以轻松地检测到传入的短信，识别消息内部的We b域，然后自动提取OTP代码并完成登录操作，而不需要进一步的用户交互。

通过这样做，接收和输入一次性密码的过程可以自动化，消除用户上当受骗的风险，并在钓鱼网站上输入OTP代码，并使用错误的URL。

根据新提案，OT P码的新短信格式如下：

第一行是针对人类用户的，让他们可以确定SMSOTP代码来自哪个网站。

第二行是为人类用户，但也为应用程序和浏览器。

应用程序和浏览器将自动提取OTP代码并完成2FA登录操作。如果不匹配，自动完成操作失败，人类读者将能够看到网站的实际URL，并将其与他们试图登录的网站进行比较。如果两者不一样，那么用户就会被警告说他们实际上在钓鱼网站上，并放弃他们的登录操作。

目前，苹果（WebKit）和谷歌（Google）的工程师已经加入了这一提案。Mozilla（Fire fox）尚未就该标准提供官方反馈。

一旦浏览器将以这种新格式发送用于读取SMSOTP代码的组件，SMSOTP代码的主要提供者预计将转向使用它。到目前为止，Twilio已经表示有兴趣为其短信OTP服务实施新的格式。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。