Aceste coduri temporare îti sunt trimise fie prin mesaj text fie sunt generate de o aplicatie de autentificare. În iOS 12 si macOS 10.14 Mojave, Apple a automatizat introducerea acestor coduri importându-le automat pe cele primite prin SMS, reducând astfel toti pasii necesari la un singur clic sau o singura atingere.
Vom explica în continuare cum functioneaza aceasta noua functie, însa vrem sa tragem în acelasi timp si un semnal de alarma. SMS-ul nu mai este o solutie sigura de trimitere a factorului secundar, pentru ca e mult prea usor chiar si pentru atacatorii mai mici sa intercepteze mesajele. A sosit vremea ca site-urile ce utilizeaza 2FA sa renunte la SMS.
Completeaza codurile SMS pe iOS 12 si Mojave
Când te autentifici pe un site cu 2FA care ofera coduri pe baza de SMS, de regula, pasii pe care trebuie sa-i urmezi sunt:
- Completezi datele standard pentru autentificare pe baza de parole, apoi ti se cere sa introduci codul.
- Vei primi un mesaj text cu un cod, care, de obicei, e compus din sase cifre.
- Daca utilizezi notificarile pentru a afisa mesajele primite si esti suficient de rapid, poti introduce codul în formularul web de îndata ce-l vezi. Daca nu, trebuie sa intri în Messages si sa memorezi sau sa copiezi textul, apoi sa te întorci pe site si sa-l introduci. (Pe iOS, nu poti selecta rapid acea parte a mesajului, fapt ce reprezinta o frustrare suplimentara.)
- Trimite formularul pentru a te înregistra.
În iOS12 si Safari, Messages si bara QuickType de deasupra tastaturii lucreaza împreuna, iar procesul arata astfel:
Când soseste mesajul text, iOS 12 extrage codul si îl afiseaza în bara QuickType. Atinge-l pentru a completa câmpul.
- În iOS 12, codurile 2FA trimise prin SMS sunt completate automat în bara QuickType.
- Introdu numele de utilizator si parola ca la pasul 1 de mai sus.
- Selecteaza câmpul pentru factorul secundar.
- Când soseste mesajul text, iOS 12 extrage codul si îl afiseaza în bara QuickType. Atinge-l pentru a completa câmpul.
- Trimite formularul pentru a te înregistra.
Mojave functioneaza aproape identic. În loc de bara QuickType de la pasul 3 de mai sus, functia de auto-completare afiseaza codul sub casuta unde trebuie introdus. Tot ce trebuie sa faci e sa da clic pe câmpul 2FA, apoi sa dai clic pe cod, pentru a completa câmpul.
Am fost neplacut surprinsi sa aflam ca Mojave listeaza toate codurile primite în prealabil prin mesaje text – în acest caz, pentru autentificarea pe Twitter – si a trebuit sa dam scroll în lista dropdown pentru a gasi codul din dreptul elementului From Messages. Nici selectarea lui nu a fost lipsita de probleme. Nu a mers decât daca dadeam clic pe el, apoi dadeam click în alta parte, în afara câmpului dedicat formularului. În plus, macOS interpreta miscarea pointerului care trecea peste lista de dropdown ca fiind scroll si actiune de selectare a textului! Apple trebuie sa rafineze componenta de user experience si sa renunte la afisarea vechilor coduri.
Aceste scurtaturi economisesc câteva secunde, asa ca nu reprezinta un foarte mare câstig pentru productivitate. Însa reusesc sa simplifice întrucâtva procesul 2FA pentru o multime de utilizatori. Reducând frictiunea si obtinând un workflow mai simplu – ce seamana destul de mult cu introducerea unei parole din Keychain – Apple spera sa încurajeze cât mai multi utilizatori sa activeze optiunea 2FA pe mai multe siteuri.
Din pacate, deasupra optimismului celor de la Apple se formeaza un nor negru: codurile pe baza de SMS nu mai sunt o metoda sigura de securitate. Acestea ar fi trebuit deja eliminate de câtiva ani buni.
