ENGANGSKODER

Apple vil gjøre bruken av SMS-baserte engangskoder litt sikrere

Ikke minst når de skal brukes i nettleseren.

SMS-basert tofaktorautentisering, her hos Google.
SMS-basert tofaktorautentisering, her hos Google. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
2. feb. 2020 - 05:00

Selv om tidsbegrensede engangskoder via SMS på ingen måte er den sikreste formen for to-faktor autentisering (2FA), så er det mye brukt. Noe av årsaken er trolig at det er enkelt og ikke krever noe annet enn en mobiltelefon. Uansett er det en bedre løsning enn brukernavn og passord alene. 

Illustrasjonsbilde.
Les også

Microsoft: – Ikke bruk SMS-basert totrinnsverifisering

Nå har Apples Webkit-prosjekt kommet med et forslag som skal kunne gjøre SMS-baserte engangskoder både mer praktiske og sikrere for nettleserbrukere. Dette er omtalt av blant annet ZDNet.

Automatisk lesing

Mange Android-brukere har nok opplevd at når de registrerer seg som brukere av enkelte mobilapper, så sendes det en engangskode via SMS som mobilappen automatisk leser, dersom appen gis tilgang tekstmeldingene på enheten. I IOS fungerer dette litt annerledes.

Dette fungerer derimot ikke med webapplikasjoner i dagens nettlesere. 

Knyttet til domenenavn

Fordelen med en slik løsning er at brukeren slipper i taste inn koden, med de feilene det kan føre til. Men Webkit-teamet tenker også å integrere en enkel sikkerhetsfunksjon i løsningen, nemlig domenenavnet til nettstedet som har sendt koden. 

Space X' mobiltjeneste skal ha bestått testingen med glans. Bildet viser den første meldingsutvekslingen gjennomført med tjenesten.
Les også

Space X: – Starlinks mobiltjeneste er en massiv suksess

Ifølge forslaget skal det nemlig ikke være slik at det aktuelle nettstedet får lese hele innholdet i SMS-en. Dette ville i så fall kunne utnyttes av phishingsider. I stedet må nettleseren kun overlate engangskoden til et nettsted med samme opphav som er oppgitt i SMS-en. 

Et eksempel på hvordan en slik SMS vil kunne se ut, vises nedenfor.

Vis mer

Den første linjen er valgfri og ment for brukeren. Den andre linjen er maskinlesbar og benytter tegnene @ og # til å identifisere de ulike dataene. 

Fungerer delvis i Safari

Det er ikke nevn i forslaget hvordan en nettleser faktisk skal kunne lese SMS-en helt automatisk. Apple har allerede implementert en variant i Safari (Security Code AutoFill), som også fungerer i MacOS, men den avhenger nok av at brukeren kun benytter Apples egne produkter.

Ifølge Webkit-teamet har forslaget blitt presentert for Google allerede på et tidlig stadium. Google-ansatte som jobber med Chrome skal ha kommet med mye feedback og skal så langt være positive til forslaget.

Det er uklart hvordan andre nettleserleverandører stiller seg til dette.

I én av tilbakemeldingene som har kommet, pekes det på at dette forslaget ikke reduserer risikoen for SMS-kapring. Tvert imot, hevdes det, kan det oppgitte domenenavnet øke mulighetene for å lykkes med slik kapring. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess
Avtalen ble signert på Hamar politistasjon onsdag.
Les også

Innlandet-politiet tar i bruk KI for å avverge nettovergrep

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra