IT·TECH

애플 WebKit 엔지니어, SMS 일회용 암호를 보다 안전하게 만들겠다는 제안 발표

Bucket List 2020. 8. 5. 13:25






애플의 WebKit 팀은 SMS 일회용 패스 코드 형식의 변경을 제안합니다.

WebKit 팀의 목표는 2단계 인증 프로세스를 보다 안전하게 만드는 것이며, 제안서에는 이를 달성하는데 도움이 되는 두가지 목표가 요약되어 있습니다.

 

GitHub에 애플 엔지니어가 공유한 제안을 자세히 설명합니다.

 

https://github.com/wicg/sms-one-time-codes

 

WICG/sms-one-time-codes

A way to format SMS messages for use with browser autofill features such as HTML’s autocomplete=one-time-code. - WICG/sms-one-time-codes

github.com

 

첫번째 목표는 SMS 일회용 암호가 URL과 연결될 수 있도록 하는 것입니다. 이를 위해 애플 엔지니어는 로그인 URL을 SMS 자체에 추가할 것을 제안합니다.

 

제안서중 2부에서는 2단계 인증 SMS 암호 형식을 표준화하는데 중점을 둡니다.

이를 통해 브라우저와 모바일 애플리케이션이 일회용 암호를 감지하고 도메인을 인식할 수 있습니다.

거기에서 브라우저나 앱은 "추가적인 사용자 상호 작용없이 OTP 코드를 자동으로 추출하고 로그인 작업을 완료할 수 있습니다."

 

지금까지 구글 엔지니어와 애플 엔지니어 모두 이 제안을 지지했습니다. Mozilla는 아직 이 제안에 대해 언급하지 않았습니다.

 

 

 

다음은 Apple WebKit 엔지니어가 제안한 SMS 일회용 패스 코드 형식입니다.

첫 번째 줄은 사용자가 메시지의 출처를 인식하고 두번째 줄은 웹 사이트 또는 앱이 확인을 읽고 완료하기 위한 것입니다.

 

747723은 WEBSITE 인증 코드입니다.

 

@website․com #747723

 

특히 피싱 공격 방지와 관련하여 이것이 어떻게 작동하는지에 대한 자세한 설명을 합니.

 

앱과 브라우저는 OTP 코드를 자동으로 추출하여 2중인증 로그인 작업을 완료합니다.  

 

보안코드가 일치하고 자동 완성 작업이 실패하면 사람은 웹 사이트의 실제 URL을 보고 로그인하려는 사이트와 비교할 수 있습니다.

 

URL이 동일하지 않은 경우 사용자는 실제로 피싱 사이트에 있고 로그인 작업을 포기한다는 알림을 받습니다.

 

애플은 iOS 12와 함께 새로운 일회용 보안 코드 자동 채우기 기능을 추가했습니다.

 

이 기능은 SMS 일회용 암호를 자동으로 읽고 원래 사이트에 입력합니다.

 

이 새로운 제안은 잠재적인 피싱 공격으로부터 사용자를 보호하기 위해 보안을 개선하고 하나 이상의 보호 계층을 추가하는데 중점을 두는 것입니다.



보안 인증 문자에 URL이 포함되면 사용자가 실수 또는 잘못하여 피싱 사이트에 접속했다고 해도 로그인이 안됩니다. 문자 인증을 받은 사이트 주소와 현재 접속중인 피싱 사이트는 URL이 다르기 때문입니다.




애플,구글,사파리,웹킷,크롬,보안인증문자,