Что означает код 2FA @apple.com #123456

Если вы недавно вошли в систему со своим Apple ID и запросили код подтверждения второго фактора на основе SMS вместо использования метода доверенного устройства, вы могли заметить, что Apple внесла изменение в текст, который вы получаете.

Ранее Apple отправляла такое сообщение:

Ваш код Apple ID 123456. Не делитесь им ни с кем.

Примерно с ноября 2021 года коды появляются в следующем формате:

Ваш код Apple ID: 123456. Не делитесь им ни с кем. @apple.com #123456 %apple.com

Почему изменение? В августе 2020 года Apple предложила поддерживать «коды, привязанные к домену» для входа в систему. Этот тип кода требует от сайтов небольшого дополнения к текстовым сообщениям, используемым для кодов подтверждения. Входящее сообщение должно предоставить домен назначения и некоторые другие данные. Apple заявила, что это изменение улучшит целостность ее операционных систем, предлагая автозаполнение кода с помощью предложения на панели QuickType в iOS и iPadOS и раскрывающегося значения в macOS Safari и других приложениях macOS, которые используют эту функцию.

Apple предложила это изменение как способ предотвращения фишинга, который пытается перехватить и перенаправить коды подтверждения. В большинстве фишинговых атак жертву перенаправляют на поддельный сайт, который просит ее ввести свои учетные данные. Сайт берет эти учетные данные и молча передает их для входа на законный сайт.

Но некоторые злоумышленники используют двухфакторную аутентификацию. Если сайт отправляет код по SMS в качестве метода по умолчанию, фишинговый пользователь получает текстовое сообщение с кодом. Затем фишер запрашивает этот код.

iOS, iPadOS и macOS предлагают ввести код, последний раз полученный по SMS в приложение «Сообщения», в любом правильно отформатированном поле, включая поле кода подтверждения фишингового сайта. Это слишком упрощает жизнь мошенникам.

Однако, если текстовое сообщение настроено так, как предложила Apple, операционные системы, начиная с iOS 15, iPadOS 15 и macOS 11 Big Sur, будут предлагать автозаполнение только на сайтах, которые соответствуют доменному имени. Безопасность не идеальна, но это простое обновление для усиления защитных действий.

Формат обычно выглядит так:

• Стандартное удобочитаемое сообщение, включая код, за которым следует новая строка.
• Область действия как @domain.tld.
• Код повторяется снова как #123456.
• Если на сайте используется встроенный элемент HTML, называемый iframe, источник iframe указывается после %, например %ecommerce.example. (В исходной спецификации указано @; Apple, похоже, использует % для своих текстов.)

Как пользователь, вам ничего не нужно делать. SMS-коды продолжают автоматически заполняться, как и ожидалось, для действительных сайтов.

Однако вы можете проявлять повышенную бдительность: когда вы получаете код в этом формате в виде текстового сообщения, а ваше приложение или браузер не предлагают его автозаполнение, вы можете попасть в ловушку фишинга. Внимательно изучите домен или приложение, прежде чем продолжить.

Эта статья о Mac 911 является ответом на вопрос, заданный читателем Macworld Кевином.