Oligur

• ニュース

Appleの2要素認証はユーザーのセキュリティを大幅に強化しました。Appleは現在、ワンタイムパスコードを含むSMSメッセージの形式を標準化することで、このプロセスをさらに効率化したいと考えています。

AppleのWebKitエンジニアは、オンラインコードリポジトリGitHubでこの提案について説明しました。このプロジェクトはAppleに加え、Google Chromiumエンジニアからも支持されています。MozillaのFirefoxはまだ参加していません。

GitHub ページで、Apple はまず問題点を説明しています。

ユーザーが「747723はFooBarの認証コードです」というメッセージを受け取ったとします。747723はhttps://foobar.comで使用できるワンタイムコードである可能性、いや、むしろその可能性が高いと言えるでしょう。しかし、ワンタイムコードをSMSで配信するための標準的なテキスト形式がないため、プログラムでそのようなコードを利用したいシステムは、メッセージ内のコードの位置を特定し、関連するウェブサイト（オリジン）に関連付ける際に、ヒューリスティックに頼らざるを得ません。ヒューリスティックは失敗する傾向があり、場合によっては危険を伴うこともあります。

ワンタイムパスコードを簡単にする

目標は、ユーザーがワンタイムコードをブラウザに手動でコピー＆ペーストする必要がないようにすることです。これは自動化することが可能で、ブラウザはワンタイムコードとそのソースの両方を認識します。これにより、正しい情報を抽出し、自動的に入力できるようになります。SMSメッセージの内容がウェブサイトに公開されることなく、この処理が行われます。

この問題を回避するため、Appleはサービスがこのようなメッセージに対応できる軽量なテキスト形式を提案しています。これは、人間が読めるオプションのテキストから始まり、その後、認証コードのコードとソースの両方が自動的に分類され、ユーザーが操作する必要がなくなります。Appleの発表によると、モバイルブラウザまたはデスクトップブラウザは「ユーザーの操作なしでOTPコードを自動的に抽出し、ログイン操作を完了する」ことができるとのことです。

この機能がいつデビューするかは不明ですが、AppleとGoogleの共同サポートがあれば、それほど長くはかからないでしょう。

出典: ZDNet