蘋果想要標(biāo)準(zhǔn)化短信OTPs的格式

蘋果工程師今天提出了一項建議，即規(guī)范包含用戶在雙因素認(rèn)證（2FA）登錄過程中接收的一次性密碼（OTP）的SMS消息的格式。

這項建議來自于在Safari網(wǎng)絡(luò)瀏覽器核心組件WebKit上工作的蘋果工程師。

這項建議有兩個目標(biāo)。第一種方法是引入OTP短信可以與URL關(guān)聯(lián)。這是通過在SMS本身中添加登錄URL來完成的。

第二個目標(biāo)是規(guī)范2FA/OTP短信的格式，因此瀏覽器和其他移動應(yīng)用程序可以輕松地檢測到傳入的短信，識別消息內(nèi)部的We b域，然后自動提取OTP代碼并完成登錄操作，而不需要進一步的用戶交互。

通過這樣做，接收和輸入一次性密碼的過程可以自動化，消除用戶上當(dāng)受騙的風(fēng)險，并在釣魚網(wǎng)站上輸入OTP代碼，并使用錯誤的URL。

根據(jù)新提案，OT P碼的新短信格式如下：

第一行是針對人類用戶的，讓他們可以確定SMSOTP代碼來自哪個網(wǎng)站。

第二行是為人類用戶，但也為應(yīng)用程序和瀏覽器。

應(yīng)用程序和瀏覽器將自動提取OTP代碼并完成2FA登錄操作。如果不匹配，自動完成操作失敗，人類讀者將能夠看到網(wǎng)站的實際URL，并將其與他們試圖登錄的網(wǎng)站進行比較。如果兩者不一樣，那么用戶就會被警告說他們實際上在釣魚網(wǎng)站上，并放棄他們的登錄操作。

目前，蘋果（WebKit）和谷歌（Google）的工程師已經(jīng)加入了這一提案。Mozilla（Fire fox）尚未就該標(biāo)準(zhǔn)提供官方反饋。

一旦瀏覽器將以這種新格式發(fā)送用于讀取SMSOTP代碼的組件，SMSOTP代碼的主要提供者預(yù)計將轉(zhuǎn)向使用它。到目前為止，Twilio已經(jīng)表示有興趣為其短信OTP服務(wù)實施新的格式。