Bezpečnosť sa dnes nemôže brať na ľahkú váhu. Vie o tom aj Apple, ktorý chce posunúť bezpečnosť dvojfaktorovej autentifikácie na vyššiu úroveň za pomoci štandardizovaného formátu jednorazových prístupových SMS kódov.

Apple potvrdil nevýhody: MagSafe dokáže poškodiť kryt a vymazať údaje z kreditiek

iPhone 12 trápia prvé problémy. Lúpe sa im farba a zadné sklo samovoľne praská

Slovensko podpísalo dohodu s USA o 5G sieťach. Dostanú u nás čínske technológie stopku?

Internet dnes nie je práve najbezpečnejšie miesto, hlavne ak na rôznych weboch či sociálnych sieťach zdieľame množstvo našich citlivých informácií. Každý deň si môžeme v spame e-mailovej schránky nájsť množstvo podvodných mailov zameraných na phishing, kradnutie osobných údajov či pokus získať citlivé informácie a dáta.

Veľké spoločnosti či sociálne siete si tento fakt uvedomujú a v rámci zvýšenia bezpečnosti predstavili takzvanú dvojfaktorovú či dvojstupňovú autentifikáciu.

Tejto téme sme sa venovali už v samostatnom článku, kde sme načrtli dôvod, prečo by si nemal brať dvojfaktorovú autentifikáciu na ľahkú váhu a tiež popísali spôsob jej fungovania či nastavenia na rôznych účtoch.

Samotná dvojfaktorová autentifikácia sa používa na zvýšenie zabezpečenia prístupu k účtom na rôznych weboch či sociálnych sieťach. Jej úloha spočíva okrem zadania hesla v pridaní ďalšieho zabezpečovacieho prvku, ktorý má odstaviť potencionálnych hackerov. Jedným zo spôsobov, ktorý sa na tento účel využíva je zaslanie a zadávanie jednorazových prístupových SMS kódov.

Apple chce zvýšiť bezpečnosť autentifikácie

Bohužiaľ, aj SMS autentifikácia sa dnes pokladá za menej bezpečnú. Práve preto sa podľa informácií z webu MacRumors zamerali softvéroví inžinieri Applu na tento spôsob overenia identity používateľa.

V súčasnosti prichádzajú jednorazové SMS kódy pre overenie identity v rôznych formátoch. To sťažuje alebo znemožňuje aplikáciám a webovým stránkam ich detekciu a automatické extrahovanie informácií.

Inžinieri platformy Apple WebKit tak predstavujú riešenie, ktoré má dva hlavné ciele. Prvým je predstaviť spôsob, akým môžu byť jednorazové SMS kódy spojené s webovým serverom pridaním prihlasovacej URL adresy do samotnej správy. Druhým cieľom je štandardizácia formátu SMS správ tak, aby prehliadače a ďalšie aplikácie mohli identifikovať prichádzajúcu správu.

Týmto spôsobom budú môcť webovej stránky či aplikácie rozpoznať URL adresy a extrahovať OTP kód, ktorý bude následne možné automaticky vložiť do príslušného prihlasovacieho poľa. Dôvod tejto automatizácie OTP vstupu spočíva v tom, že eliminuje riziko vloženia kódu na podvodnej phishingovej stránke s inou URL adresou.

O nový formát SMS správ sa zaujímajú aj inžinieri z Googlu

Prvý riadok SMS správy bude určený pre používateľa a umožní mu určiť webovú stránku či aplikáciu, z ktorej správa s OTP kódom pochádza. Druhý riadok bude určený pre prehliadače a aplikácie, aby mohli automaticky extrahovať OTP kód a bezpečne dokončiť operáciu dvojfaktorovej autentifikácie pri prihlásení. Navrhovaný formát správy bude teda vyzerať nasledovne:

747723 is your WEBSITE authentication code.
@website.com #747723

Ak automatické dokončenie prihlásenia zlyhá, používatelia budú môcť skontrolovať URL adresu webovej stránky, ktorá SMS odoslala a porovnať ju s webovou stránkou, na ktorú sa pokúšajú prihlásiť.

Podľa najnovších správ už inžinieri zodpovední za prehliadač Google Chrome aktívne komunikujú ohľadom návrhu s Applom. Zdá sa tak, že nový formát SMS kódov by skutočne mohol zvýšiť bezpečnosť používateľov a čoskoro sa ním budú zaoberať aj iné spoločnosti.