Apple continua a lavorare allo sviluppo di un formato standard per i messaggi SMS che contengono codici di sicurezza per l’autenticazione a due fattori, anche con l’aiuto di ingegneri Google. La proposta dell’azienda è infatti entrata a far parte ufficialmente delle specifiche del WICG (Web Platform Incubator Community Group).
Annunciato con un aggiornamento su GitHub, la nuova bozza è stata co-curata da Theresa O’Connor di Apple e Sam Goto da Google.
Inizialmente proposta dagli ingegneri WebKit di Apple e supportata da Google a gennaio, l’iniziativa mira a semplificare il meccanismo di OTP tramite SMS comunemente usato da siti Web, aziende e altri servizi per confermare le credenziali di accesso come parte di sistemi di autenticazione in due passaggi.
Anche se molti siti Web e servizi online utilizzano OTP tramite SMS, non esiste un metodo standardizzato per la formattazione del testo dei messaggi in arrivo. Pertanto, “l’estrazione programmatica di codici da messaggi SMS deve basarsi su euristiche, che sono spesso inaffidabili e soggette a errori. Inoltre, senza un meccanismo per associare tali codici a siti Web specifici, gli utenti potrebbero essere indotti a fornire il codice a siti dannosi“, si legge nel documento aggiornato.
Attualmente, gli utenti devono inserire manualmente i codici di accesso ricevuti via SMS direttamente nel campo di testo su un sito Web host. Apple vuole fornire una soluzione più semplice e sicura.
La proposta dell’azienda cerca di eliminare l’intervento manuale dell’utente nel processo di OTP SMS, obbligato ora a copia-incollare i codici nel browser o nell’app per effettuare l’autenticazione. Inoltre, questo formato standard garantirebbe che i codici una tantum inviati tramite SMS vengano utilizzati solo sui siti di origine.
Il “lightweight text format” sviluppato da Apple incorpora in un SMS il codice utilizzabile una sola volta e collega tale codice a un particolare URL di origine. Questa soluzione consente ai sistemi dei destinatari (ad esempio iOS) di estrarre automaticamente il codice e di accedere a un sito Web associato senza l’intervento dell’utente.
Apple fornisce un SMS di esempio:
747723 is your [website] authentication code.
@website.com #747723
La prima riga nel messaggio è un testo facoltativo leggibile dall’utente per tutte le info del caso. Vengono poi utilizzati dei caratteri speciali per indicare il codice unico e l’URL di origine associato, che in questo caso sono rispettivamente “747723” e “website.com“.
Questa proposta fa ora parte del WICG, primo passo verso una standardizzazione del formato che però, al momento, non ancora certa.