AppleのWebKitチームは、SMSのワンタイムパスコードの形式変更を提案しています。WebKitチームは、2要素認証プロセスのセキュリティ強化を目指しており、提案ではその実現に向けた2つの目標を概説しています。

ZDNetは、今週AppleのエンジニアがGitHubで共有した提案の詳細を報じています。最初の目標は、SMSのワンタイムパスコードをURLに関連付けることです。これを実現するために、AppleのエンジニアはSMS自体にログインURLを追加することを提案しています。

提案の第2部は、2要素認証SMSパスコードの形式を標準化することに重点を置いています。これにより、ブラウザやモバイルアプリケーションはワンタイムパスコードを検出し、ドメインを認識できるようになります。これにより、ブラウザやアプリは「ユーザーの操作を必要とせずに、自動的にワンタイムパスコードを抽出し、ログイン操作を完了」できるようになります。

これまでのところ、GoogleとAppleのエンジニアはどちらもこの提案を支持している。Mozillaはこの提案についてまだコメントしていない。

以下は、AppleのWebKitエンジニアが提案するSMSワンタイムパスコードのフォーマットです。1行目はユーザーがメッセージの送信元を認識するためのもので、2行目はウェブサイトまたはアプリが読み取り、認証を完了するためのものです。

747723 はあなたのWEBSITE 認証コードです。

@ウェブサイト․com  # 747723

ZDNet では、特にフィッシング攻撃の防止に関して、これがどのように機能するかについてさらに詳しく説明しています。

アプリやブラウザは自動的にワンタイムパスワード（OTP）コードを抽出し、2FAログイン処理を完了します。不一致があり、オートコンプリート処理が失敗した場合、人間の読み手はウェブサイトの実際のURLを確認し、ログインしようとしているサイトと比較することができます。両者が一致しない場合、ユーザーはフィッシングサイトにアクセスしていることを警告され、ログイン操作を中止します。

iOS 12では、Appleは新しいセキュリティコード自動入力機能を追加しました。この機能は、SMSで受信したワンタイムパスコードを自動的に読み取り、送信元サイトで入力します。この新しい提案は、セキュリティの向上と、潜在的なフィッシング攻撃に対するユーザー保護の強化に特に重点を置いており、機能を一段と強化しています。

havebin.com を Google ニュース フィードに追加します。