AnnieBronson Feb 5 2020 at 15:39

Apple предлагает разработать единый стандарт SMS для двухфакторной аутентификации

2 min

6.4K

SmartphonesIT-companies

Comments 28

hjornson Feb 5 2020 at 15:59

Apple… единый стандарт

Какое прекрасное сочетание взаимоисключающих параграфов…

+12

0xf0a00 Feb 5 2020 at 16:14

Компания которая всю свою историю существования плевала на все стандарты, вдруг захотела разработать стандарт. Хмм… чуствую я что это будет повторение истории с micro usb и в последствии с type-c.

LunaticRL Feb 5 2020 at 16:21

Ну, сама идея стандарта довольно здравая.
Не реализуют они, так кто-нибудь другой перехватит

Ilyasyakubov Feb 5 2020 at 22:51

Эээ… вы сейчас серьезно? На счет плевать и стандарты?

UFO just landed and posted this here

0xf0a00 Feb 6 2020 at 08:46

А вы поищите информацию, насколько «хорошо» были реализованы веб стандарты в сафари. Или например когда эпл вместе с остальными производителями договорились сделать универсальную зарядку, все перешли на micro usb, а эпл плевать хотела и сделала лайтинг. Причем запатентовала способ вставки лайтинга и из-за этого постарадал type-c, а теперь сама же переходит на этот type-c. Ирония судьбы однако.

Ilyasyakubov Feb 6 2020 at 09:16

Apple перешла на lightning потому, что он лучше, а micro-USB хуже. И я как пользователь благодарен им за это.

0xf0a00 Feb 6 2020 at 10:03

Мы тут не кабели сравниваем, я вам наглядный пример привел. Ты уже либо гни свою линию выдумывай кабели и мучай пользователя, либо договаривайся и делай как все, но не надо договариваться, а потом забивать и делать свое. И так у эпл во всем. Особенно порадовали ссд с проприетарным разьемом в последних макбуках…

Gurturok Feb 5 2020 at 16:19

Нет бы предлагать отказатсья от этого порочного и потенциально опасного фактора авторизации, но нет — давайте стандартизируем!

justhabrauser Feb 5 2020 at 16:38

Ну всё правильно.
Чтобы ваш айфон не беспокоил вас разными смс из Сбербанк.Онлайн типа "Вы тут захотели кино в Apple TV купить за 100500 денег. Вы уверены?" — а сам и оплатил.
Сам придумал (Siri) — сам выбрал — сам купил — и сам оплатил.
Оллинклюзив.

daggert Feb 5 2020 at 20:10

А можно не отказываться и не навязывать мне смартфон? Меня сейчас весьма и весьма устраивает старый добрый 5110 для СМСок с кодами, а все эти пуши и весь остальной хлам работающий только там где есть интернет — пусть будут для фанатов.

tmin10 Feb 5 2020 at 22:14

А OTP работает и вовсе без связи, но нужен смартфон. Хотя может и под J2ME можно использовать.

Finesse Feb 6 2020 at 04:37

*TOTP

SMS является одним из OPT. Теоретически для генерации TOTP подойдёт любое электронное устройство с часами и небольшой перезаписываемой памятью.

Gurturok Feb 6 2020 at 08:12

А я где-то говорил про пуши? Только TOTP, только хардкор.

aragaer Feb 5 2020 at 17:46

То есть это предполагается, что я буду из телефона в комп перепечатывать не только циферки, но и еще кучу всякой ерунды?

inkelyad Feb 5 2020 at 22:11

В данном случае предполагается, что на мобильном устройстве пришедшая SMS с одноразовым паролем будет сама заполнять поле ввода этого пароля, распознав формат SMS-ки.
А на десктопе — как обычно.

lohmatij Feb 5 2020 at 22:54

Если мак и телефон под одной учеткой то уже сейчас код автоматически вставляется и на десктопе. Функция называется handoff, там много что поддерживается (единый буфер обмена, перекидывание из мобильной программы в десктопную через alt-tab, возможность отвечать на телефонные звонки с компьютера и так далее).

kovalevsky Feb 5 2020 at 22:55

на макоси оно тоже само заполняет

Finesse Feb 6 2020 at 04:39

iOS форвардит СМС-сообщения на macOS, поэтому на (яблочном) компьютере это работает так же легко, как на айфоне.

aragaer Feb 6 2020 at 10:02

Для того, чтобы мой телефон мог что-то отфорвардить на компьютер, мне сначала надо на телефоне включить интернет. А я этого обычно не делаю.

Shakhmin Feb 5 2020 at 18:26

Насколько я помню, два фактора безопаснее всего работают, когда используются два устройства — по одному для каждого фактора.
А с учётом плановых отказов от смс вообще как-то печально смотрится.

pyrk2142 Feb 5 2020 at 18:36

Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.

СМС
@
Защищённый канал

Я догадываюсь, что они имеют в виду передачу сообщения от телефона в браузер, но звучит совсем неочевидно.

Такие тренды меня немного пугают: вместо того, чтобы мотивировать пользователей разделять устройства для честной двухфакторной авторизации и следить за тем, что и где вводишь и оплачиваешь, компании хотят проводить авторизацию самостоятельно. Ведь телефоны настолько надёжны, что им всегда можно верить.

Nova_Logic Feb 5 2020 at 19:27

Проблема не столько телефонов, сколько безопасности самих сотовых сетей. известны случаи перехвата СМС.

kovalevsky Feb 5 2020 at 22:58

они просто хотят автоматизировать процесс «пришла смс — открыть ее — скопировать код — вернуться в браузер — вставить код» до того, что уже работает на всех их девайсах в большинстве случаев, просто чтоб это работало теперь в 100% случаев, а заодно и другие вендоры чтоб подключились. Плюс они туда хотят добавить сайт, к которому относится эта СМС, для того, чтоб избежать фишинга

А то, как у них это реализовано — реально удобно, мне просто приходит смс и оно мне предлагает воткнуть код оттуда сразу в поле, без «альт-табов» и прочего.

unabl4 Feb 5 2020 at 21:53

Почему именно через СМС, если существуют программы-аутентификаторы?
Какая-то странная инициатива. Ещё более странно это от эппл слышать

lohmatij Feb 5 2020 at 22:57

Я так понимаю что сейчас есть проблема — вы можете зайти на фишинговый сайт, ввести там свой пароль от банка, вам придёт смс от реального банка вы ведёте код на поддельном сайте и тем самым успешно сольёте свою учётку мошенникам. От смс в ближайшее время многие сервисы не откажутся (из-за универсальности способа), почему бы его немного не усилить?

kova7ev Feb 6 2020 at 05:12

В ответ на единый формат кабелей))

ninJo Feb 6 2020 at 08:24

Бред какой то, представьте ситуацию. Хакер заходит на сайт, жмёт кнопку двух факторная идентификация, тут же происходит авторизация без участия владельца аккаунта. Злоумышленник без особых усилий получает доступ к данным пользователя.

Звучит конечно тупо, но после того как я как то захотел воспользоваться своим старым ай фоном и не смог из за того что нужно было принять обновленын условия конфедициальности, страница с которыми не хотела загружатся, то я готов поверить что люди которые там работают способны на все в плохом смысле этого слова.