Con la finalidad de que el ya conocido proceso de autenticación de dos factores sea más seguro, el equipo WebKit de Apple a propuesto un cambio de formato de las contraseñas o códigos de uso unico vía SMS. La propuesta contempla dos objetivos para ayudar a lograr tal fin.
Según un detalle desarrollado por ZDNet de la propuesta compartida por los ingenieros de Apple en GitHub esta semana, la idea es que el usuario no tenga que copiar y pegar el código único SMS manualmente o interactuar con él de manera alguna.
Por otra parte, los códigos solo se ingresarán en el sitio de origen. Por lo cual se deberá confiar de que los códigos no serán expuestos en la web.
Objetivos y desarrollo
Apple con este nuevo formato propone en primera instancia, que los códigos de acceso único, puedan enlazar la URL de inicio de sesión en el propio SMS.
Para lograrlo se pretende en segunda instancia u objetivo, estandarizar el formato de los SMS, ya que son diversos los formatos existentes y eso imposibilita que las apps y sitios web obtengan la información de reconocimiento de la URL y la extracción del código OTP para la inserción automática a la sesión de inicio correctamente.
Por el momento solo Apple y Google han respaldado la propuesta. Sin embargo Mozilla sigue sin comentar al respecto.
Propuesta
El formato de los códigos de acceso único propuesto por los ingenieros WebKit de Apple, destinan su primera línea al reconocimiento por parte de los usuarios de donde proviene el mensaje. La segunda línea indica a la aplicación o sitio web la verificación.
747723 es su código de autenticación de SITIO WEB .
@ website․com # 747723
Gracias a este formato se elimina el riesgo de los usuarios a ingresar un código OTP en un sitio phishing o caer en estafas que pretendan robar nuestros datos. ZDNet en su comunicado explica lo siguiente
Las aplicaciones y los navegadores extraerán automáticamente el código OTP y completarán la operación de inicio de sesión 2FA. Si hay una falta de coincidencia y la operación de autocompletar falla, los lectores humanos podrán ver la URL real del sitio web y compararlo con el sitio en el que intentan iniciar sesión. Si los dos no son iguales, los usuarios recibirán una alerta de que realmente están en un sitio de phishing y abandonaran su operación de inicio de sesión.
En el pasado no muy lejano con la actualización a iOS 12, Apple agregó la función de autocompletado de código de seguridad, la cual lee de forma automática las contraseñas de un SMS y completarlas en el sitio web de origen. Lo cual agrega una capa de seguridad adicional a favor de la protección de los usuarios a ser víctimas de ataques.
Los vientos en contra
Esta propuesta a pesar de lo interesante que pueda ser, tal vez llega en un mal momento, debido a que hace pocas semanas Apple debió forzosamente eliminar una encriptación total de las copias de seguridad de iCloud, a solicitud del FBI.
Sumado a esto los propios ingenieros de Apple desestiman la realización efectiva de este cambio de formato (al menos por ahora) debido a que existe una capacidad de programación insuficiente, esto viene dado por la cantidad de distintos formatos típicos de códigos únicos de SMS, que carecen en su naturaleza de un origen confiable.
Y por último y no menos importante, Donald Trump, presidente de los Estados Unidos, estaría considerando la posibilidad de eliminar el cifrado de extremo a extremo. Con la excusa de que las grandes empresas tecnológicas rechazan el acceso a dispositivos de propietarios asesinos o delincuentes a las organizaciones o instituciones judiciales.