Wesley Akkerman
Wesley Akkerman | LinkedIn Digital 5 augustus 2020

Apple maakt eenmalige SMS-wachtwoorden nog veiliger: dit is hoe

Eerder dit jaar beloofde het WebKit-team van Apple dat het format van de eenmalige SMS-codes veranderd zou worden, zodat inloggen middels tweestapsverificatie veiliger kan worden. Apple heeft nu bevestigd dat ontwikkelaars al rekening kunnen houden met die veranderingen wanneer ze iOS 14 of macOS Big Sur gebruiken.

Sinds de release van iOS 12 maakt Apple het al mogelijk dat SMS-codes voor tweestapsverificatie automatisch overgenomen kunnen worden door websites en apps die daarom vragen. En nu maakt het bedrijf dit proces wat gemakkelijk en veiliger, aldus het verantwoordelijke team, door iets te implementeren dat domain-bound code genoemd wordt. Dat is een extra beveiligingslaag die ervoor zorgt dat codes geassocieerd kunnen worden met specifieke websites. Dit is alleen mogelijk vanaf iOS 14 en macOS Big Sur; oudere versies van de besturingssystemen krijgen hier dus geen toegang tot.

Apple privacy
Apple ziet zichzelf graag als privacybeschermer. (Afbeelding: Apple)

Apple maakt SMS-verificatie veiliger

Pas wanneer de SMS-code en de website in kwestie overeenkomen, neemt het systeem de verstuurde code automatisch over. Dat geldt voor zowel apps als websites. Dit werkt dus op iOS en macOS.

Een voorbeeld. Stel dat je een code opgestuurd krijgt via SMS voor het domein twitter.com. Wanneer je iOS 14 of macOS Big Sur geïnstalleerd hebt, dan kan die code alleen automatisch overgenomen worden wanneer die de officiële app of website herkent van Twitter. Apple laat weten dat het zodoende voor hackers en andere kwaadwillenden moeilijker wordt inloggegevens te ontfutselen, omdat de codes voor tweestapsverificatie dus niet meer automatisch overgenomen worden wanneer iemand op een website probeert in te loggen zonder officieel certificaat.

In het gedeelde artikel leggen de onderzoekers het als volgt uit:

For example, if you receive an SMS message that ends with @example.com #123456, AutoFill will offer to fill that code when they interact with example.com, any of its subdomains, or an app associated with example.com. If instead you receive an SMS message that ends with @example.net #123456, AutoFill will not offer the code on example.com or in example.com’s associated app.

In datzelfde document legt Apple precies uit hoe ontwikkelaars de nieuwe functionaliteit kunnen implementeren.

Reageer op artikel:
Apple maakt eenmalige SMS-wachtwoorden nog veiliger: dit is hoe
Sluiten