Aceste coduri temporare îți sunt trimise fie prin mesaj text fie sunt generate de o aplicație de autentificare. În iOS 12 și macOS 10.14 Mojave, Apple a automatizat introducerea acestor coduri importându-le automat pe cele primite prin SMS, reducând astfel toți pașii necesari la un singur clic sau o singură atingere.

Vom explica în continuare cum funcționează această nouă funcție, însă vrem să tragem în același timp și un semnal de alarmă. SMS-ul nu mai este o soluție sigură de trimitere a factorului secundar, pentru că e mult prea ușor chiar și pentru atacatorii mai mici să intercepteze mesajele. A sosit vremea ca site-urile ce utilizează 2FA să renunțe la SMS.

Completează codurile SMS pe iOS 12 și Mojave

Când te autentifici pe un site cu 2FA care oferă coduri pe bază de SMS, de regulă, pașii pe care trebuie să-i urmezi sunt:

1. Completezi datele standard pentru autentificare pe bază de parole, apoi ți se cere să introduci codul.
2. Vei primi un mesaj text cu un cod, care, de obicei, e compus din șase cifre.
3. Dacă utilizezi notificările pentru a afișa mesajele primite și ești suficient de rapid, poți introduce codul în formularul web de îndată ce-l vezi. Dacă nu, trebuie să intri în Messages și să memorezi sau să copiezi textul, apoi să te întorci pe site și să-l introduci. (Pe iOS, nu poți selecta rapid acea parte a mesajului, fapt ce reprezintă o frustrare suplimentară.)
4. Trimite formularul pentru a te înregistra.

În iOS12 și Safari, Messages și bara QuickType de deasupra tastaturii lucrează împreună, iar procesul arată astfel:

Când sosește mesajul text, iOS 12 extrage codul și îl afișează în bara QuickType. Atinge-l pentru a completa câmpul.

1. În iOS 12, codurile 2FA trimise prin SMS sunt completate automat în bara QuickType.
2. Introdu numele de utilizator și parola ca la pasul 1 de mai sus.
3. Selectează câmpul pentru factorul secundar.
4. Când sosește mesajul text, iOS 12 extrage codul și îl afișează în bara QuickType. Atinge-l pentru a completa câmpul.
5. Trimite formularul pentru a te înregistra.

Mojave funcționează aproape identic. În loc de bara QuickType de la pasul 3 de mai sus, funcția de auto-completare afișează codul sub căsuța unde trebuie introdus. Tot ce trebuie să faci e să da clic pe câmpul 2FA, apoi să dai clic pe cod, pentru a completa câmpul.

Am fost neplăcut surprinși să aflăm că Mojave listează toate codurile primite în prealabil prin mesaje text  – în acest caz, pentru autentificarea pe Twitter – și a trebuit să dăm scroll în lista dropdown pentru a găsi codul din dreptul elementului From Messages. Nici selectarea lui nu a fost lipsită de probleme. Nu a mers decât dacă dădeam clic pe el, apoi dădeam click în altă parte, în afara câmpului dedicat formularului. În plus, macOS interpreta mișcarea pointerului care trecea peste lista de dropdown ca fiind scroll și acțiune de selectare a textului! Apple trebuie să rafineze componenta de user experience și să renunțe la afișarea vechilor coduri.

Aceste scurtături economisesc câteva secunde, așa că nu reprezintă un foarte mare câștig pentru productivitate. Însă reușesc să simplifice întrucâtva procesul 2FA pentru o mulțime de utilizatori. Reducând fricțiunea și obținând un workflow mai simplu – ce seamănă destul de mult cu introducerea unei parole din Keychain – Apple speră să încurajeze cât mai mulți utilizatori să activeze opțiunea 2FA pe mai multe siteuri.

Din păcate, deasupra optimismului celor de la Apple se formează un nor negru: codurile pe bază de SMS nu mai sunt o metodă sigură de securitate. Acestea ar fi trebuit deja eliminate de câțiva ani buni.