蘋果想要標(biāo)準(zhǔn)化短信OTPs的格式

蘋果工程師今天提出了一項(xiàng)建議，即規(guī)范包含用戶在雙因素認(rèn)證（2FA）登錄過程中接收的一次性密碼（OTP）的SMS消息的格式。

這項(xiàng)建議來自于在Safari網(wǎng)絡(luò)瀏覽器核心組件WebKit上工作的蘋果工程師。

這項(xiàng)建議有兩個(gè)目標(biāo)。第一種方法是引入OTP短信可以與URL關(guān)聯(lián)。這是通過在SMS本身中添加登錄URL來完成的。

第二個(gè)目標(biāo)是規(guī)范2FA/OTP短信的格式，因此瀏覽器和其他移動(dòng)應(yīng)用程序可以輕松地檢測(cè)到傳入的短信，識(shí)別消息內(nèi)部的We b域，然后自動(dòng)提取OTP代碼并完成登錄操作，而不需要進(jìn)一步的用戶交互。

通過這樣做，接收和輸入一次性密碼的過程可以自動(dòng)化，消除用戶上當(dāng)受騙的風(fēng)險(xiǎn)，并在釣魚網(wǎng)站上輸入OTP代碼，并使用錯(cuò)誤的URL。

根據(jù)新提案，OT P碼的新短信格式如下：

第一行是針對(duì)人類用戶的，讓他們可以確定SMSOTP代碼來自哪個(gè)網(wǎng)站。

第二行是為人類用戶，但也為應(yīng)用程序和瀏覽器。

應(yīng)用程序和瀏覽器將自動(dòng)提取OTP代碼并完成2FA登錄操作。如果不匹配，自動(dòng)完成操作失敗，人類讀者將能夠看到網(wǎng)站的實(shí)際URL，并將其與他們?cè)噲D登錄的網(wǎng)站進(jìn)行比較。如果兩者不一樣，那么用戶就會(huì)被警告說他們實(shí)際上在釣魚網(wǎng)站上，并放棄他們的登錄操作。

目前，蘋果（WebKit）和谷歌（Google）的工程師已經(jīng)加入了這一提案。Mozilla（Fire fox）尚未就該標(biāo)準(zhǔn)提供官方反饋。

一旦瀏覽器將以這種新格式發(fā)送用于讀取SMSOTP代碼的組件，SMSOTP代碼的主要提供者預(yù)計(jì)將轉(zhuǎn)向使用它。到目前為止，Twilio已經(jīng)表示有興趣為其短信OTP服務(wù)實(shí)施新的格式。