APP下载

苹果提出OTP简讯格式草案,获Google支持

消息来源:baojiabao.com 作者: 发布时间:2026-07-11

报价宝综合消息苹果提出OTP简讯格式草案,获Google支持

苹果提出的一次性密码(OTP)简讯格式说明:第一行是人类可读取的文字,由网站自行决定要不要加。此后则是以将OTP和发送OTP的网站列于一行,如“747723是您Foobar的验证码”(747723 is your FooBar authentication code.)。最后一行则提供说明“@foobar.com #747723。”(翻摄自https://github.com/WebKit/explainers/tree/master/sms-one-time-code-format#proposal)

苹果近日针对包含双因素验证(two-factor authentication,2FA)一次性密码(one-time password,OTP)的简讯,提出新的格式草案,减少以简讯传送动态密码的安全风险,也获得Google的支持。

许多网站使用一次性密码作为身份验证,而简讯是传送OTP最常见的机制,但是一如许多研究显示,以简讯传送OTP安全风险很高,可能遭到外人拦截以发动中间人攻击(man in the middle),取得用户的登入账密,或是窜改目标URL而导引用户到钓鱼网站。而这项草案即希望能降低简讯传送OTP的部分风险。

在现有简讯传送OTP的作法下,例如一个名为foobar.com的网站透过传送747723的OTP到用户手机,再由用户将这组数字在https:// foobar. com网站输入。但因为目前传送OTP的简讯没有标准文字格式,因此想用2FA登入的网站,必须使用启发式(heuristics)算法,来寻找简讯文字内的数字密码,以及将这组密码和网站进行关联。问题是启发式算法容易出错也很危险。

苹果Safari Web技术部门的工程师Theresa O\'Connor指出,苹果提出的文字格式草案目标有二。一是不用仰赖启发式算法从简讯撷取出OTP。她认为用户不需手动将OTP复制、拷贝到浏览器上的方式,才是最理想作法。目标二是将OTP稳定地关联到特定目标网站,OTP是由哪个网站发出,最好也只能用于该网站。

苹果草案提出一种很简单的简讯格式来解决上述问题。第一行是人类可读取的文字,这可由网站自行决定要不要加。此后则是以将OTP和发送OTP的网站列于一行,如“747723是您Foobar的验证码”。第三行,也就是最后一行则提供说明,像是“@foobar.com #747723。”

苹果认为这个格式可以提升以启发式算法从简讯撷取OTP,以及将OTP关联到来源网站过程的稳定性。此外,还可以增加浏览器提供的2FA验证辅助功能(即AutoFill功能),并减少用户误上钓鱼网站输入OTP的风险。

但苹果也强调,这种新式简讯格式只能减少网钓风险,无法解决简讯被拦截的弊病。

这项草案需要其他浏览器的支持。除了苹果Safari,Google Chrome团队也表达支持,也在早期制订过程提供了意见,但Firefox似乎未加入支持。

不过为避免简讯OTP被拦截的风险,使用者还可以选择其他方式,如以Google Authenticator等App产生密码,或用Google、Yubico提供完全不必使用密码的硬件金钥。Google上周甚至把开发硬件安全金钥的固件,以OpenSK专案开源,让独立开发人员或硬件厂商也能开发金钥装置。

2020-02-04 17:50:00

相关文章