Apple veut faciliter la double authentification par SMS avec un nouveau standard.
Une pratique encore très répandue pour vérifier l’identification sur un site ou un service : le code envoyé par SMS, pourrait changer prochainement. C’est en tout cas ce qu’Apple propose, en souhaitant créer un nouveau format standard que les navigateurs et les applications pourront comprendre afin de récupérer le code automatiquement, comme Safari le fait depuis longtemps.
Si la fonctionnalité est appréciée et son fonctionnement accepté, la tâche se révèle complexe pour Apple qui doit faire attention à ne pas mélanger un code ou un numéro de téléphone. Ce standard permettrait ainsi de faciliter l’identification d’un code par un navigateur, quel qu’il soit.
Apple propose ainsi une syntaxe très simple, avec un code précédé d’un # et dans le message, le nom de domaine du site ou service serait précédé d’un @. Avec ce code et le nom de domaine, le navigateur pourrait plus facilement reconnaître ce type de SMS. Le message ressemblerait ainsi à celàa
747723 is your FooBar authentication code.
@foobar.com #747723
Safari accepte déjà ce type de syntaxe, Google devrait sauter le pas également, mais Firefox par exemple ne s’est pas encore positionné sur le sujet. Si ce nouveau format serait plus pratique, il convient tout de même d’indiquer que la solution par SMS est la moins sécurisée des solutions d’authentification à double facteur. Si le standard est mis en place, il faudra donc l’utiliser avec prudence.
Source : MacGeneration
Apple et standard dans la même phrase?
+1
Les seuls standards acceptable pour Apple sont ceux qu'il arrive à imposer aux autres
Encore faudrait-il que le navigateur ait l'autorisation d'accéder aux SMS, et en ce qui me concerne c'est hors de question. La moindre faille de sécurité et n'importe quel site de type banque ou autre pourrait etre piraté si le navigateur est attaqué. Sans compter le risque d'envoi par le navigateur de SMS surtaxé.
Mais bon, Apple et la sécurité çà a toujours été de l'a peu près.
c'est totalement illogique cette confirmation par SMS qui suppose qu'on te vole que ta carte mais pas ton smartphone, qui sert aussi de moyen de paiement...
en général, on te vole tout, pas que la carte. désolé.
Où le comble de la bêtise est atteinte c'est que maintenant quand tu te connectes à ton compte bancaire en ligne, ils font un SMS de confirmation dites donc! Mais là c'est très très très très con: évidemment que tu reçois le SMS sur ton smartphone puisque que tu te connectes en ligne depuis ton smartphone!!!
????????????? ils sont stupides ou quoi là les mecs qui conçoivent le truc?!
On te pique le smartphone pour pouvoir se connecter avec et en auto avec les identifiants donc évidemment qu'on a aussi le SMS!!!
j'te jure parfois il y a de quoi se poser des questions...
bon OK je prêche pour "ma paroisse" moi et tous les gens que je connais sans smartphone!
on commande depuis chez nous: et la confirmation vocale fonctionne aussi sur ligne fixe au moins et là par contre c'est fiable...
essayez de vous faire voler votre ligne de téléphone fixe!!! c'est plutôt rare non?!
c'est pas faux
Mais bon, Pipoux ça a toujours été du pipeau
Tu mélanges tout !
Même si le navigateur reçoit le SMS il n'y a pas de validation automatique ! C'est le même système qu'actuellement: tu as une fenêtre avec le code à rentrer ainsi que le bouton de validation. Mais là le code est pré-rempli, juste pour simplifier les choses pour l'utilisateur, qui doit ensuite choisir de valider ou non. En fait rien ne change, c'est ni plus ni moins sûr, juste plus confortable.
Recevoir un sms par le navigateur depuis l'OS, ne signifie absolument pas que ça fonctionne dans l'autre sens ! Excuse-moi mais je ne crois pas que tu puisses mettre en doute les compétences des ingénieurs d'Apple (ou de chez n'importe qui), en sortant des sottises pareilles !
Si tu es sans smartphone, effectivement je comprends que tu puisses ne pas comprendre:
Aujourd'hui n'importe quel smartphone est au minimum accessible uniquement avec un code, un lecteur d'empreintes, voir un système de reconnaissance faciale. Bref, déjà tu ne peux pas rentrer dans un smartphone volé. À part chez certains constructeurs Android que je ne nommerais pas, ces systèmes sont plutôt très fiables.
Ben on voit que tu connais pas trop Apple pour dire ça ! ^ ^
Cadeau, une page consacré aux nombreux projets d'Apple dans le domaine (bon là c'est plutôt logiciel):
https://developer.apple.com/opensource/
Sur le matériel Apple participe aux consortiums sur l'USB, le Thunderbolt, des codecs vidéo, ...
c’est certain, les systèmes d’Apple ont toujours été bien plus vulnérables que ceux de Microsoft ou Android....tu penses vraiment être crédible ?
Perso, je commande sur mon ordi fixe et reçoi un code sur le téléphone.
Me viendrait jamais l'idée de passer une commande depuis un mobile...
Je ne commande QUE depuis iOS car on le fait depuis des applications et pas depuis un navigateur qui peut avoir choppé un malware.
De plus, iOS est quand meme infiniment moins ciblé niveau malwares que les ordinateurs de bureau.
Et je ne paye que par PayPal (et ApplePay qui est configuré sur PayPal).
Pathétique. Au moins Apple fait des propositions car s'il fallait attendre les autres pour du piment sans contact, du streaming, des normes hardwares comme l'USB (tu n'a peut être pas connu le jour ou l'iMac premier du nom est sorti sans lecteur de disques et où il fallait un lecteur de disquette USB si tu voulais lire une disquette. C'est à partir de ce moment là que les constructeurs ont commencé à produire des périphériques USB et pour rentabiliser à les proposer également pour PC). Merci a Apple pour ça sinon t'aurait toujours des connecteurs PS2 pour la souris et le clavier et du centrons pour ton imprimante.
Oui Apple a parfois des défauts, mais souvent ça se retourne contre lui (pieds du moniteur à 1000€, Lightning sous licence, ...), mais être Apple hater primaire est encore plus pathétique.
Tu mélanges tout, le navigateur n'a pas accès aux SMS. ce serait plus probablement l'OS qui reçoit les SMS, reconnait le format et stocke le code, qui devient disponible pour le navigateur en cas de besoin de saisie de code (soit par un système de callback, soit par interrogation du browser).. Et non Apple n'est pas infaillible, mais ça reste à l'heure actuelle ta meilleur option en terme d'OS mobile sécurisé. Mais bon, si ça t'amuse de faire le troll...
On parle de double authentification, avec un OTP par SMS, pas de paiement bancaire (qui utilise, parfois, ce même principe).cette double confirmation a effectivement plus de sens quand tu utilises un navigateur autre que celui du smartphone.
Sinon, normalement, ton smartphone est protégé par un code, il n'affiche pas les SMS sans etre déverrouillé, ce qui garantit qu'un vol de carte+smartphone ne permet pas de faire des achats sur un site 3DSecure (ce qui n'est pas une obligation mondiale :je le rappelle : 3DSecure protège LE MARCHAND, pas le détenteur de la CB !! et tous ceux qui disent le contraire, soit mentent, soit n'ont rien compris. Le client est protégé par le fait que la transaction n'est pas signée - pas de code, pas de signature physique-).
C'est juste que tu n'as pas confiance en ton mobile .. Je suppose que tu as un bon AV/anti-malwa&re sur ton PC, et que tu fais régulièrement des full scan de ton disque... Et en plus, tes gamins ne vont jamais à l'aventure sur des sites louches sur internet.. c'est bien :).
Pour le reste, mobile ou PC, même combat en terme de protection des transactions.
Par contre, je ne vois pas trop l'intéret du 2FA par SMS, à l'heure ooù l'ANSSI et le NIST disent que c'est pas super sécurisé. ils feraient mieux d'investir dans l'intégration d'une implémentation de la RFC 6238 (type google authenticator), ça me parait largement plus pérenne à l'heure actuelle.
De là à dire qu'ils suivent avec intérêts mes commentaires sur UF, il n'y a qu'un pas, que je ne franchirai pas (même si le ridicule ne tue plus :P )
https://www.iphon.fr/post/apple-devient-membre-de-lalliance-fido-qui-veut-remplacer-les-mots-de-passe
(Bon ok, ils parlent de substituer les mots de passe par de la biométire, c'est pas exactement le 2FA dont on parle ici)