Anfang dieses Jahres schlug das WebKit-Team von Apple eine Änderung des Formats von SMS-Passcodes vor, um die Zwei-Faktor-Authentifizierung sicherer zu machen. Wie Apple nun bestätigt, werden die Entwickler diese Änderung bereits mit iOS 14 und macOS Big Sur umsetzen können.

Apple verbessert Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierungen per SMS gehören mittlerweile zum Alltag. Mittlerweile ist das Prinzip so weit verbreitet, dass wir es mit den unterschiedlichsten Formaten und Darstellungen der Codes zu tun haben. Mit iOS 12 hat Apple Webseiten und Apps, die eine Zwei-Faktor-Authentifizierung erfordern, das automatische Ausfüllen von Codes erlaubt, die per SMS verschickt werden. Jetzt erweitert das Unternehmen die Funktion und sorgt für mehr Sicherheit.

Bei den sogenannten “domain-bound codes” (Domain-gebundene Codes) ist der Code selbst direkt mit einer bestimmten Web-Domäne verbunden. In einem Support-Dokument beschreibt Apple, wie die neuen Codes funktionieren:

„Wenn Sie einen Domain-gebundenen Code verwenden, schlägt AutoFill den Code vor, wenn – und nur wenn – die Domain mit der Webseite oder einer der mit Ihrer App verbundenen Domains übereinstimmt. Wenn Sie beispielsweise eine SMS-Nachricht erhalten, die mit @example.com #123456 endet, bietet AutoFill an, diesen Code auszufüllen, wenn sie mit example.com, einer seiner Subdomains oder einer mit example.com verknüpften App interagieren. Wenn Sie stattdessen eine SMS-Nachricht erhalten, die mit @example.net #123456 endet, wird AutoFill den Code nicht auf example.com oder in der mit example.com verknüpften App anbieten. Dadurch wird es für einen Angreifer schwieriger, jemanden zur Eingabe von Einmal-Codes auf einer Phishing-Website zu verleiten.“

Das klingt nach einer sehr guten Ergänzung der sicherheitsorientierten Bemühungen von Apple, aber es wird nur so weit gehen, wie die Entwickler das Feature unterstützen. Die gute Nachricht ist hier, dass die Implementierung unkompliziert aussieht, somit stehen die Chancen für eine Verbreitung gut. Zudem arbeitet auch Googles Chromium-Team an einer entsprechenden Umsetzung.