Torniamo a parlare di 2FA (autenticazione a due fattori) e, dopo avervi parlato del lancio della piattaforma open source sviluppata da Google chiamata OpenSK, rimaniamo in argomento comunicandovi che Apple ha proposto e Google si è subito affiancata, uno standard per la composizione degli SMS contenenti le OTP (One Time Password).
Gli ingegneri di Apple Webkit, un componente chiave del browser Safari, hanno suggerito alle aziende di lavorare su un formato standardizzato per i messaggi SMS di autenticazione a due fattori che contengono codici OTP per impedire agli utenti di essere vittime di truffe di phishing.
La proposta, che è ora supportata dagli ingegneri di Google che lavorano su Chromium, introdurrebbe nuovi messaggi SMS associati a URL specifici. In altre parole, i messaggi conterrebbero l’URL di accesso associato all’interno.
Il formato di questi messaggi verrebbe quindi standardizzato, il che consentirebbe ai browser mobili, inclusi Safari e Chrome, di riconoscere automaticamente l’URL associato e completare il processo di accesso senza ulteriori input da parte dell’utente.
Assicurando che i codici funzionino solo sui siti Web previsti, viene minimizzata anche la possibilità che gli utenti siano vittime di truffe immettendo il proprio codice su un sito di phishing.
Il formato del messaggio standard proposto da Apple è il seguente:
747723 is your WEBSITE authentication code.
@website.com #747723
C’è da dire comunque che l’utilizzo di un OTP inviato via SMS per il secondo fattore di autenticazione è sconsigliato da molti esperti, vista la natura debole e non crittografata degli SMS. Invece, viene consigliato l’uso di un’app studiata appositamente per tale compito (ad esempio Google Authenticator, Microsoft Authenticator o Authy) o, ancor meglio, l’uso di una chiave fisica di autenticazione compatibile con lo standard FIDO2.
