Новая технология Apple сделает SMS-пароли безопаснее

Одноразовые SMS-пароли — популярный способ авторизации на различных ресурсах, но и этот способ связан с риском подмены сайта при вводе кода подтверждения. Разработчики Apple предложили решение, способное защитить пользователей от фишинга в процессе двухфакторной аутентификации.

Компания предлагает привязать разовые SMS-коды к URL посещаемого сайта. Для этого в сообщение будет добавляться ассоциированный с кодом веб-адрес. Инженеры также намерены стандартизировать формат предназначенных для авторизации SMS. Это позволит браузерам и мобильным приложениям автоматически распознавать разовый код и связанный с ним домен. После этого браузер или приложение смогут «автоматически извлекать код и завершать авторизацию без дальнейшего вовлечения пользователя».

Если заявленный и реальный домены не совпадают, операция автозаполнения отменяется, а пользователь сможет увидеть реальный URL сайта и сравнить его с адресом ресурса, на котором он пытается авторизоваться. Также пользователь получит предупреждение о посещении фишингового сайта и сможет отменить авторизацию.

Функция извлечения разового кода из SMS присутствует в iOS 12 и более новых версиях мобильной операционки. Реализация предложения на других платформах позволит сделать процесс двухфакторной аутентификации более безопасным. Идею уже поддержали основные разработчики движков для браузеров — Apple и Google. Компания Mozilla, разработчик браузера Firefox, пока не прокомментировала возможность участия в данной инициативе.