Google unterstützt Apple bei Einmal-SMS-Token für Authentifizierung
Alexander Trust, den 9. April 2020
Apple brachte Ende Januar einen Vorschlag zur Standardisierung von SMS-Token für die Zwei-Faktor-Authentfizierung ein. Bei dem Vorhaben wird es nun offenbar von Google unterstützt.
Zum jetzigen Zeitpunkt darf sich Apples Vorschlag auch offiziell „Entwurf“ (engl. draft) im Rahmen der W3C nennen. Mit der Hilfe von Google-Ingenieuren wurde aus der Idee Apples nun ein „Draft“ bei der „Web Platform Incubator Community Group“ (WICG).
Die WICG ist eine Gruppierung, die Vorschläge für das Web-Standardisierungs-Konsortium (W3C) machen kann. Die Mitglieder der WICG sind jedoch nicht mit der W3C verbandelt.
Apples Idee für SMS-Token nimmt Formen an
Dies geht aus einem GitHub-Update zu dem Projekt hervor. Autorin des Beitrags ist nun weiterhin Apples Theresa O’Connor. Doch neu hinzugekommen ist Googles Sam Goto.
Einmal-Codes per SMS
Wir alle kennen die 2FA-Tokens, die wir per SMS erhalten, um uns zum Login auf einer Webseite zu authentifizieren.
Apple integrierte in Safari sogar ein System, das diese Codes automatisch ausliest und bereits in das Formular einfügt. Dies wird durch die standardisierte Form möglich.
Sicherere Zwei-Faktor-Authentifizierung
Doch Apples Vorschlag macht die Zwei-Faktor-Authentifizierung auch sicherer, indem es eine Signatur in Textform einbaut, die den Urheber, bzw. die Urheber-Domain des Tokens umfasst. So kann man sicherstellen, dass der Code zu der Seite passt, auf der man sich gerade befindet. Dies soll Phishing-Versuche verhindern
Ein zusätzlicher Sicherheitsaspekt ist, dass dieses System nur mit https-Webseiten funktioniert.