구글, 애플의 SMS OTP 표준 제안 지원
SMS OTP (일회성 패스 코드) 형식을 표준화하려는 Apple의 제안은 WICG로 이동합니다.
구글은 1 월에 Apple 엔지니어들이 2FA (two-factor authentication) 과정에서 SMS를 통해 사용자에게 전송하는 일회용 암호 (OTP)에 대한 기본 형식을 만들기 위해 1 월에 표준을지지하고있다.
Safari WebKit 프로젝트를 진행하는 Apple 엔지니어가 제안한 표준은 이제 공식 WICG (Web Platform Incubator Community Group) 사양 초안 의 상태에 도달했습니다 .
이 제안은 SMS 2FA / OTP 코드의 현재 상태와 관련된 일부 문제를 해결하기 위해 코드를 보내는 웹 사이트마다 고유 한 형식이 각각 다릅니다.
1 월 에 Apple 엔지니어는 이러한 메시지를 구성하고 앞으로 모든 SMS 2FA 작업에 대해 동일한 형식을 사용한다는 아이디어를 제시했습니다.
새로운 표준의 주요 기여는 모든 SMS OTP 메시지에 코드가있는 웹 사이트의 URL이 포함되도록하는 것입니다.
새로운 제안에 따르면 OTP 코드의 새로운 SMS 형식은 다음과 같습니다.
747723 은 웹 사이트 인증 코드입니다.
첫 번째 줄은 사람 사용자를위한 것으로, SMS OTP 코드가 어느 웹 사이트에서 왔는지 결정할 수 있습니다.
두 번째 줄은 OTP 코드를 추출하고 2FA 작업을 완료 할 수있는 모바일 앱 및 브라우저 용입니다. 불일치가 있고 자동 완성 작업이 실패하면 사용자에게 SMS를 검토하고 직접 코드를 입력하라는 메시지가 표시됩니다.
전문가들은 2FA 코드를 우회 할 수있는 최신 피싱 키트로 공격하는 동안 불일치 오류가 발생할 가능성이 높다고 생각합니다.
애플과 구글 엔지니어들은 "이 제안은 일회용 코드의 SMS 전송과 관련된 일부 위험을 줄이기 위해 노력하고있다"고 설명했다 .
"예를 들어, SMS 배달 하이재킹 위험을 해결하지는 않지만 피싱 위험을 줄이려고합니다."
그러나 눈에 띄는 보안상의 이점에도 불구하고 당분간 Mozilla는 새로운 표준을 지원하는 데 대한 대중의 관심을 표명하지 않았습니다. 표준 제안서는 이전에 WICG에 갇혀있었습니다. 그러나 애플의 제안은 1 월에 발표 된 이후 압도적으로 긍정적 인 평가를 받았다.