苹果正与 Google 合作：规范短信单次验证方式

苹果公司在谷歌工程师的帮助下，正在努力开发一种通过短信发送的一次性密码的标准化格式，该提案本月获得了网络平台孵化器社区小组(WICG)规范草案的官方地位。

此前，苹果在转向双因素协议之前，Apple ID 依赖两步验证。

4 月 2 日，更新后的 GitHub 解释中公布了苹果 "通过短信交付的Origin-bound一次性代码 "项目的初步报告。该草案由苹果公司的Theresa O'Connor和谷歌公司的Sam Goto共同编辑。

该倡议最初由苹果WebKit工程师提出，并得到了谷歌的支持，该倡议旨在简化网站、企业和其他实体常用的OTP短信机制，以确认登录凭证作为两步验证系统的一部分。

虽然许多网站和在线服务都在短信上使用OTP，但目前还没有一种标准化的方法来格式化传入的短信文本。因此，"从SMS消息中提取代码的程序化提取必须依赖启发式的方法，而这种方法往往是不可靠和容易出错的。此外，如果没有将这些代码与特定网站关联的机制，用户可能会被骗到提供给恶意网站的代码，"WICG指出。

目前，用户必须手动将提供的密码输入到主机网站的文本栏中。苹果公司希望通过更精细的解决方案来推动这一现状，这也将提供更高的安全性。

使用一种 "轻量级文本格式"，建议的格式在短信中嵌入一个可操作的一次性代码，并将该代码链接到一个源网址。然后，收件人系统可以提取该代码并自动登录到相关网站。

一个OTP短信的例子。

747723是您的[网站]验证码。

#website.com #747723

但是Cnet表示，"这项提议试图减少一些与短信发送一次性代码相关的风险，"解释中写道。"它并没有试图减少或解决所有的风险。例如，它没有解决短信发送劫持风险，但它确实试图降低网络钓鱼风险。"

作为WICG规范草案的发布并不意味着苹果的协议将看到大规模部署，但它确实表明该项目正在推进。

图文来自 MacX，如有侵权请联系删除。