Sippoint
Компания Google поддержала инициативу по стандартизации формата одноразовых кодов (one-time passcodes, OTP), получаемых пользователями в SMS-сообщениях при прохождении двухфакторной аутентификации. Стандарт был предложен инженерами Apple, работающими над проектом Safari WebKit, в январе нынешнего года, и сейчас получил статус официального проекта спецификаций Web Platform Incubator Community Group (WICG).
Инициатива призвана исправить некоторые актуальные на сегодняшний день проблемы с одноразовыми SMS-кодами для двухфакторной аутентификации, представленными в разных форматах, уникальных для каждого сайта. Согласно предложению инженеров Apple, необходимо структурировать SMS-сообщения с кодами и ввести для них единый стандартный формат.
Главное требование предложенного стандарта – SMS-сообщение обязательно должно содержать URL-адрес сайта с кодом. Само сообщение должно выглядеть таким образом: «747723 ваш код авторизации для САЙТА. @сайт.com #747723». Первое предложение предназначено для прочтения человеком, чтобы он мог понять, от какого сайта пришел код. Второе предложение предназначено для извлечения приложением или браузером с целью завершения процесса двухфакторной аутентификации.
В случае несовпадения между предложениями и невозможности автоматического завершения процесса двухфакторной аутентификации пользователю будет предложено пересмотреть SMS-сообщение и ввести код вручную.
Web Platform Incubator Community Group – платформа, принадлежащая Консорциуму Всемирной паутины (W3C). Обеспечивает место для внесения предложений и обсуждения новых функций web-платформы.
Источник: securitylab.ru