In the authentication of double factor (2FA) is relatively common, if we use the iCloud llavero, that recibamos the code has crossed an SMS. De ser así nuestro iPhone o iPad es capaz de detectar ese código y ofrecernos autocompleterlo en el site o aplicación in which estamos iniciando sesión de form automática, una característica que ahora es a prueba de phishing.
Un nuevo estándar para evitar colocar el código donde no es
El autorrelleno de los códigos de double factors es, sin duda, de gran utilidad. Su uso, sin embargo, puede explodes in phishing attacks. ¿Como? Un sitio malintencionado puede, haciéndose pasar por otro, solicitar el usuario y la contraseña a un usuario. A posteriori can pass this login to the real site so that the real site requires the code for SMS to the victim. Since this is the introduction of the code, the malicious page will be used on the real web site and will have full access.
Este último paso, el de rellenar el código de double factor en un site de phishing, es justo el que ahora no será possible. Since then, Apple has solicited the various entities that use the SMS envío con códigos de double factor que inclyan el dominio al cual el código pertenece.
Una medida para evitar que el código correcto vaya al site equivocado web.
Thank you for esto el system compared que la URL estipulada concuerda con la URL de Safari, de nos ser así se niega a autorrellenar el código de double factor. Así, si en algún momento estamos entrando en un site web y el código recibido par SMS no se rellena automáticamente deberemos sospechar.
Claro está que puede tratarse de un error, como por ejemplo que el servicio aún no ofrezca esta medida de seguridad extra, por supuesto, pero por lo menos deberíamos pararnos un momento y repasar que all esté bien. Ante la duda es greater detener el procesocerrar la ventana y empezar de nuevo visitando nosotros mismos el sitio al que queremos acceder.
Is possible that ya hayamos empezando a ver, desde finales del año pasado, esta new structure of messages for the code of double factor. Es una estructura similar a esta, que es la que usa Apple:
“Your Apple ID Code is: 123456. Don’t share it with anyone.
@apple.com #123456 %apple.com”
La primera línea is the one that is destined to nosotros, los humanos, mientras que la segunda, que repite el código así como el dominio al que pertenece, está intended for automated systems. La última parte, tras el %, indica dominios extra en el caso de que hubiera un iframe embebido.
Gracias a este system, Safari puede saber cuándo no debe ofrecer el autorellenado del código. Una señal que puede alertarnos de alguna situationación irregular y salvar del error justo en el último momento, pues recordemos que sin el código de double factor no se puede acceder à la cuenta. Una medida de seguridad que, como muchas, pueden pasar desapercibidas, pero que son claves a la hora de mantener segura nuestra información.
Imagen | Christine
