Google bergabung dengan proposal keamanan AppleSMS

Catatan: Dalam topik berikutnya yang akan Anda baca, Anda akan mempelajari tentang: Google bergabung dengan proposal keamanan AppleSMS

Awal tahun ini, Apple’Para insinyur telah membagikan proposal baru yang cerdas yang dapat membantu membuat sistem autentikasi dua faktor jauh lebih aman, dan sekarang tampaknya ide tersebut mendapatkan momentum dengan bobot sumber daya lain di Internet, termasuk dukungan dari Google dan Grup Komunitas Inkubator Web.

Ide ini awalnya diajukan pada bulan Januari oleh para insinyur di AppleWebKit — tim yang mengembangkan teknologi inti yang digunakan oleh browser AppleSafari — dan menjelaskan metode pengiriman kode satu kali melalui SMS. .

Jika Anda tidak terbiasa dengan istilah tersebut, autentikasi dua faktor biasanya mengacu pada penggunaan sesuatu selain kata sandi Anda untuk masuk ke layanan online – biasanya kode yang dikirimkan ke ponsel Anda, atau dibuat oleh aplikasi. Fungsi ini terkadang juga disebut sebagai “verifikasi dua langkah”, tetapi kecuali Anda seorang profesional keamanan, keduanya memiliki arti yang hampir sama.

Kemungkinan Anda sudah menggunakan autentikasi dua faktor melalui SMS, bahkan jika Anda tidak mengetahui namanya, karena pada dasarnya ini hanyalah terjemahan yang bagus dari pesan teks yang dikirim oleh banyak layanan online ke ponsel Anda saat mereka ingin Anda mengonfirmasinya itu benar-benar Anda yang mencoba masuk ke sesuatu seperti sistem perbankan online Anda atau milik Anda Amazon atau akun email.

Sementara beberapa vendor, termasuk Appleseringkali menggunakan bentuk autentikasi dua faktor yang lebih canggih, dalam beberapa kasus bahkan menggunakan kunci keamanan fisik alih-alih kode sederhana, tetapi semua sistem yang paling aman tetap memungkinkan Anda menerima pesan teks jika metode lain tidak berhasil untuk mengurangi risiko pengguna dikunci dari akun mereka.

masalah

Masalah dengan menggunakan pesan teks adalah mereka sangat rentan terhadap sejumlah masalah keamanan. Yang pertama adalah masalah aktivasi SIM, yang melibatkan peretas yang mentransfer nomor telepon Anda ke perangkat yang mereka miliki sehingga mereka dapat menangkap semua pesan SMS yang biasanya dikirimkan kepada Anda. Setelah peretas dapat menerima pesan teks Anda, mereka pada dasarnya dapat mengakses akun apa pun yang menggunakan nomor telepon Anda sebagai metode sekunder atau cadangan, biasanya hanya dengan mengatur ulang kata sandi Anda.

Tentu saja, ini adalah serangan yang ditargetkan yang membutuhkan upaya dari peretas untuk melacak Anda secara khusus dan tidak banyak Apple atau perusahaan teknologi besar lainnya benar-benar dapat melakukan ini selain melarang SMS sama sekali, seperti yang dilakukan Google dengan Program Perlindungan Lanjutannya.

Tetapi ada serangan yang lebih umum dan lebih berbahaya Apple disebutkan, termasuk serangan “phishing” yang berupaya membuat pengguna memasukkan kata sandi dan informasi lainnya dengan mengirimkan pesan teks yang berisi tautan palsu, serta “serangan menengah” (MitM) di mana peretas mencoba menjebak Anda untuk memasukkan kode dua faktor yang sah di situs web palsu.

Solusi Apel

Insinyur AppleWebKit mengusulkan standar baru yang memungkinkan layanan online, aplikasi perpesanan seluler, dan browser berkomunikasi lebih efisien untuk menentukan apakah kode SMS harus dipercaya:

Apakah SMS tersebut berasal dari situs web yang sah? Apakah halaman yang memasukkan kode benar-benar cocok dengan halaman yang mengirimkan pesan?

Dalam hal ini, proposal baru akan menjadi perpanjangan yang lebih aman dari fitur yang dibawa kembali ke iOS 12 dan macOS Mojave untuk memungkinkan kode SMS diisi secara otomatis di Safari. Meskipun ini sangat menghemat waktu dengan menyelamatkan pengguna dari kerumitan menemukan kode dan kemudian menyalin dan menempelkannya secara manual, tidak ada cara untuk menautkannya ke situs web tertentu. Dalam skenario terburuk, pengguna hanya perlu memasukkan kode keamanan agar situs web jahat dapat ditangkap oleh peretas.

Anda tidak perlu mengatakan, Apple memiliki andil yang lebih besar dalam membuat proses ini lebih aman dan untuk tujuan ini hanya disarankan agar semua pesan autentikasi SMS menggunakan format standar yang dengan jelas mengidentifikasi situs dalam bentuk manusia dan mesin.

747.723 milikmu Thanh Foo Kode verifikasi. @foobar.com #747.723

Baris yang dapat dibaca mesin akan dibaca oleh browser saat Anda menyelidiki aplikasi perpesanan di perangkat Anda (misalnya: Safari dan pesan di perangkat iOS atau macOS) dan kode hanya disediakan untuk diisi otomatis jika semuanya sama persis.

Meskipun solusi baru ini tetap tidak akan mencegah pengguna memasukkan kode OTP secara manual di situs web berbahaya, Safari dapat memperingatkan pengguna jika situs yang mereka kunjungi tidak cocok dengan pesan SMS yang ditentukan, dengan saran tegas agar mereka tidak melanjutkan.

Lanjutkan

Apple awalnya menerbitkan proposal di GitHub, dan sekarang pembaruan pada postingan asli menunjukkan bahwa proposal tersebut telah mencapai status spesifikasi draf akhir untuk Tim Komunitas Inkubator Platform Web. (WICG), ini adalah langkah penting untuk memajukan proposal .

Saat ini, insinyur Chromium Google juga telah mendaftar untuk mendukung proposal tersebut, meskipun pengembang Firefox Mozilla tetap tidak populer pada saat ini. Memiliki dukungan platform yang luas jelas merupakan kunci untuk mewujudkan hal ini, dan meskipun layanan online masih harus memformat pesan teks mereka ke standar yang disarankan, kemungkinan besar mereka akan menerimanya cukup cepat jika semua browser utama keluar, karena itu perubahan yang relatif kecil untuk sebagian besar layanan yang harus dilakukan.

Apple dan Google mengakui bahwa rekomendasi tersebut tidak menangani semua risiko yang terkait dengan pengiriman SMS satu kali, dan jika memungkinkan, kami menyarankan metode yang lebih aman untuk semua akun berkualitas tinggi, seperti perbankan online dan akun email Anda.