Si consultas los últimos mensajes de verificación por SMS que hayas recibido, probablemente te percates de que cada uno tiene un formato distinto, dificultando así que sistemas automáticos como los integrados en los sistemas operativos como Android de Google o iOS de Apple.
Los ingenieros de Apple propusieron una estandarización del formato estos mensajes OTP (one time password) en enero y ha recibido ahora el apoyo de Google. Se trata fundamentalmente de un estándar para web, aunque su estandarización sería beneficiosa también para las aplicaciones móviles.
Un formato único para los SMS de verificación
Esta propuesta describe un formato para mensajes SMS de verificación que sean más fáciles de interpretar e integrar en formularios web de autocompletado. Este tipo de mensajes SMS son los que recibes al darte de alta en un nuevo servicio para confirmar tu número de teléfono o de tu banco, antes de realizar una operación bancaria.
El problema es que hasta ahora cada página web y cada servicio define sus mensajes SMS de verificación como quiere, con frecuencia traducido al idioma local. Funcionan bien para un usuario humano que los lea e interprete, pero resultan más complicados de extraer programáticamente. La idea es que el navegador web o el sistema operativo pueda distinguir el código del resto del mensaje y rellenar el formulario por ti.
La solución, propuesta por ingenieros de Apple y respaldada ahora por Google, es sencilla. Incluir una línea del mensaje destinada a personas y otra a sistemas automáticos, incluyendo el dominio web asociado al servicio que ha hecho la petición. Así, un código de verificación con este formato sería algo así:
747723 is your ExampleCo authentication code.
@example.com #747723
Este método intenta más que nada facilitar a sistemas automatizados interpretar los mensajes de verificación por SMS, no centrándose tanto en la seguridad de los mismos. Por ejemplo, no evitaría los ataques mediante SMS hijacking, aunque sí podría ayudar a reducir el riesgo de los ataques de phising.
Por el momento esta propuesta ha recibido el visto bueno de Apple para Safari y de Google para Chrome, sin que Mozilla haya expresado aun su interés en el asunto. Si sale adelante, es posible que empecemos a recibir en el futuro mensajes de verificación con un formato único de aquellos servicios que quieran facilitar a sus usuarios que el navegador o sistema operativo rellene los OTP automáticamente.
Vía | Android Police
Ver 1 comentarios