Đầu năm nay, Apple'Các kỹ sư đã chia sẻ một đề xuất mới thông minh có thể giúp làm cho các hệ thống xác thực hai yếu tố an toàn hơn đáng kể, và bây giờ có vẻ như ý tưởng này đang có được động lực với các trọng lượng nặng khác trên Internet, bao gồm cả sự hỗ trợ từ Google và Nhóm cộng đồng ươm tạo nền tảng web.
Ý tưởng ban đầu được đưa ra vào tháng 1 bởi các kỹ sư của AppleWebKit – nhóm phát triển công nghệ cốt lõi được sử dụng bởi các trình duyệt AppleSafari – và mô tả một phương pháp mà các mã một lần được gửi bằng tin nhắn SMS có thể được liên kết đáng tin cậy với các dịch vụ mà họ thực sự đến từ đó.
Nếu bạn không quen với thuật ngữ này, xác thực hai yếu tố thường đề cập đến việc sử dụng một thứ khác ngoài mật khẩu của bạn để đăng nhập vào một dịch vụ trực tuyến – thường là mã số được gửi đến điện thoại của bạn hoặc được tạo bởi một ứng dụng. Hàm này đôi khi cũng được gọi là "xác minh hai bước", nhưng trừ khi bạn là một chuyên gia bảo mật, hai thực tế có nghĩa là điều tương tự về mặt thực tế.
Rất có thể bạn đã sử dụng xác thực hai yếu tố qua SMS, ngay cả khi bạn không biết tên đó, vì về cơ bản, đây chỉ là một biểu hiện tốt của tin nhắn văn bản mà nhiều dịch vụ trực tuyến gửi đến điện thoại của bạn khi họ muốn bạn xác nhận rằng Đó thực sự là bạn, những người đang cố gắng đăng nhập vào một cái gì đó như hệ thống ngân hàng trực tuyến của bạn hoặc của bạn Amazon hoặc tài khoản email.
Trong khi một số nhà cung cấp, bao gồm Apple, thường sử dụng các hình thức xác thực hai yếu tố phức tạp hơn, trong một số trường hợp thậm chí còn sử dụng các khóa bảo mật vật lý thay vì mã đơn giản, nhưng tất cả các hệ thống bảo mật nhất vẫn cho phép bạn nhận được tin nhắn văn bản nếu các phương thức khác không hoạt động để giảm nguy cơ người dùng bị khóa khỏi tài khoản của họ.
vấn đề
Vấn đề với việc sử dụng tin nhắn văn bản là chúng thực sự dễ bị một số vấn đề bảo mật. Đầu tiên là vấn đề về việc kích hoạt SIM, liên quan đến các tin tặc đã chuyển số điện thoại của bạn sang thiết bị mà họ sở hữu để họ có thể nắm bắt tất cả các tin nhắn SMS thường gửi đến bạn. Khi tin tặc có thể nhận tin nhắn văn bản của bạn, về cơ bản chúng có thể truy cập bất kỳ tài khoản nào sử dụng số điện thoại của bạn làm phương thức phụ hoặc phương thức sao lưu, thường chỉ bằng cách đặt lại mật khẩu của bạn.
Tất nhiên, đây là một cuộc tấn công có chủ đích đòi hỏi một số nỗ lực từ tin tặc để theo dõi bạn một cách cụ thể và không có nhiều Apple hoặc bất kỳ công ty công nghệ lớn nào khác thực sự có thể làm điều này ngoài việc cấm sử dụng SMS hoàn toàn, như Google làm với Chương trình bảo vệ nâng cao.
Nhưng có những cuộc tấn công phổ biến và khác có phần quỷ quyệt hơn mà đề xuất của Apple đề cập, bao gồm các cuộc tấn công "lừa đảo" cố gắng khiến người dùng nhập mật khẩu và thông tin khác bằng cách gửi tin nhắn văn bản có chứa các liên kết giả mạo, cũng như "man-in- the- các cuộc tấn công ở giữa "(MitM) trong đó tin tặc cố gắng đưa bạn nhập mã hai yếu tố hợp pháp trên trang web giả mạo.
táo Solution
Các kỹ sư của AppleWebKit đề xuất một tiêu chuẩn mới cho phép các dịch vụ trực tuyến, ứng dụng nhắn tin di động và trình duyệt giao tiếp hiệu quả hơn để xác định xem có nên tin cậy mã SMS hay không:
- SMS có đến từ một trang web hợp pháp không? Trang có nhập mã có thực sự khớp với trang đã gửi tin nhắn không?
Trong trường hợp đó, đề xuất mới sẽ là phần mở rộng an toàn hơn của một tính năng được đưa trở lại vào iOS 12 và macOS Mojave để cho phép mã SMS được tự động điền vào Safari. Mặc dù đây là một trình tiết kiệm thời gian khổng lồ bằng cách tiết kiệm cho người dùng những rắc rối khi tìm mã và sau đó sao chép mã và dán thủ công, không có cách nào để liên kết mã đó với một trang web cụ thể. Trong trường hợp xấu nhất, người dùng chỉ cần điền mã bảo mật cho một trang web độc hại để có thể bị tin tặc bắt.
Không cần phải nói, Apple có phần lớn hơn trong việc làm cho quá trình này an toàn hơn và vì mục đích này, đơn giản đề xuất rằng tất cả các tin nhắn xác thực SMS sử dụng định dạng chuẩn xác định rõ ràng trang web ở cả dạng người và máy có thể đọc được.
747.723 là của bạn Thanh Foo Mã xác thực. @foobar.com #747.723
Dòng có thể đọc bằng máy sẽ được trình duyệt đọc khi bạn thăm dò ứng dụng nhắn tin trên thiết bị của mình (ví dụ: Safari và tin nhắn trên thiết bị iOS hoặc macOS) và mã chỉ được cung cấp để tự động điền nếu mọi thứ khớp chính xác.
Mặc dù giải pháp mới vẫn không ngăn người dùng nhập mã OTP thủ công trên trang web độc hại, Safari có thể cảnh báo người dùng nếu trang web họ đang truy cập không khớp với thông báo SMS được chỉ định, với lời khuyên mạnh mẽ rằng họ không tiếp tục.
Tiến lên
Apple ban đầu đã công bố đề xuất này trên GitHub, và bây giờ một bản cập nhật cho bài viết gốc cho thấy rằng đề xuất này đã đạt đến trạng thái của một đặc tả dự thảo chính thức cho Nhóm Cộng đồng Vườn ươm Nền tảng Web (WICG), đây là một bước quan trọng để đưa đề xuất về phía trước.
Ngay bây giờ, các kỹ sư Chromium của Google cũng đã đăng ký để đặt trọng lượng của họ đằng sau đề xuất này, mặc dù nhà phát triển Firefox Mozilla vẫn không được ưa chuộng tại thời điểm này. Có được sự hỗ trợ nền tảng rộng rãi rõ ràng là chìa khóa để thực hiện điều này và mặc dù các dịch vụ trực tuyến vẫn phải định dạng tin nhắn văn bản của họ theo tiêu chuẩn đề xuất, họ có thể sẽ chấp nhận nó khá nhanh nếu tất cả các trình duyệt lớn xuất hiện, vì đó là một thay đổi tương đối nhỏ cho hầu hết các dịch vụ để làm.
Apple và Google đều thừa nhận rằng đề xuất không giải quyết tất cả các rủi ro liên quan đến gửi SMS một lần và nếu có thể, chúng tôi khuyên bạn nên sử dụng phương pháp an toàn hơn cho tất cả các tài khoản chất lượng cao, chẳng hạn như ngân hàng trực tuyến và tài khoản email của bạn.
