Comments 28
Apple… единый стандарт
Какое прекрасное сочетание взаимоисключающих параграфов…
Не реализуют они, так кто-нибудь другой перехватит
Эээ… вы сейчас серьезно? На счет плевать и стандарты?
Ну всё правильно.
Чтобы ваш айфон не беспокоил вас разными смс из Сбербанк.Онлайн типа "Вы тут захотели кино в Apple TV купить за 100500 денег. Вы уверены?" — а сам и оплатил.
Сам придумал (Siri) — сам выбрал — сам купил — и сам оплатил.
Оллинклюзив.
А можно не отказываться и не навязывать мне смартфон? Меня сейчас весьма и весьма устраивает старый добрый 5110 для СМСок с кодами, а все эти пуши и весь остальной хлам работающий только там где есть интернет — пусть будут для фанатов.
А OTP работает и вовсе без связи, но нужен смартфон. Хотя может и под J2ME можно использовать.
В данном случае предполагается, что на мобильном устройстве пришедшая SMS с одноразовым паролем будет сама заполнять поле ввода этого пароля, распознав формат SMS-ки.
А на десктопе — как обычно.
Если мак и телефон под одной учеткой то уже сейчас код автоматически вставляется и на десктопе. Функция называется handoff, там много что поддерживается (единый буфер обмена, перекидывание из мобильной программы в десктопную через alt-tab, возможность отвечать на телефонные звонки с компьютера и так далее).
iOS форвардит СМС-сообщения на macOS, поэтому на (яблочном) компьютере это работает так же легко, как на айфоне.
Насколько я помню, два фактора безопаснее всего работают, когда используются два устройства — по одному для каждого фактора.
А с учётом плановых отказов от смс вообще как-то печально смотрится.
Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.
СМС
@
Защищённый канал
Я догадываюсь, что они имеют в виду передачу сообщения от телефона в браузер, но звучит совсем неочевидно.
Такие тренды меня немного пугают: вместо того, чтобы мотивировать пользователей разделять устройства для честной двухфакторной авторизации и следить за тем, что и где вводишь и оплачиваешь, компании хотят проводить авторизацию самостоятельно. Ведь телефоны настолько надёжны, что им всегда можно верить.
А то, как у них это реализовано — реально удобно, мне просто приходит смс и оно мне предлагает воткнуть код оттуда сразу в поле, без «альт-табов» и прочего.
Какая-то странная инициатива. Ещё более странно это от эппл слышать
Я так понимаю что сейчас есть проблема — вы можете зайти на фишинговый сайт, ввести там свой пароль от банка, вам придёт смс от реального банка вы ведёте код на поддельном сайте и тем самым успешно сольёте свою учётку мошенникам. От смс в ближайшее время многие сервисы не откажутся (из-за универсальности способа), почему бы его немного не усилить?
Бред какой то, представьте ситуацию. Хакер заходит на сайт, жмёт кнопку двух факторная идентификация, тут же происходит авторизация без участия владельца аккаунта. Злоумышленник без особых усилий получает доступ к данным пользователя.
Звучит конечно тупо, но после того как я как то захотел воспользоваться своим старым ай фоном и не смог из за того что нужно было принять обновленын условия конфедициальности, страница с которыми не хотела загружатся, то я готов поверить что люди которые там работают способны на все в плохом смысле этого слова.
Apple предлагает разработать единый стандарт SMS для двухфакторной аутентификации