5.4. Remote Phishing (Remote-Phishing)

Es ist möglich, dass der Geräteablauf auf einem Gerät initiiert wird, das sich im Besitz eines Angreifers befindet. Beispielsweise könnte ein Angreifer eine E-Mail senden, die den Zielbenutzer anweist, die Verifizierungs-URL zu besuchen und den Benutzercode einzugeben. Um einen solchen Angriff abzuschwächen, wird EMPFOHLEN, den Benutzer während des Benutzerinteraktionsschritts (siehe Abschnitt 3.3) darüber zu informieren, dass er ein Gerät autorisiert, und zu bestätigen, dass sich das Gerät in seinem Besitz befindet. Der Autorisierungsserver SOLLTE Informationen über das Gerät anzeigen, damit der Benutzer bemerken kann, wenn ein Software-Client versucht, sich als Hardware-Gerät auszugeben.

Für Autorisierungsserver, die die in Abschnitt 3.3.1 besprochene "verification_uri_complete"-Optimierung unterstützen, ist es besonders wichtig zu bestätigen, dass sich das Gerät im Besitz des Benutzers befindet, da der Benutzer den auf dem Gerät angezeigten Code nicht mehr manuell eingeben muss. Ein Vorschlag ist, den Code während des Autorisierungsablaufs anzuzeigen und den Benutzer aufzufordern zu überprüfen, ob derselbe Code derzeit auf dem Gerät angezeigt wird, das er einrichtet.

Der Benutzercode muss eine ausreichend lange Lebensdauer haben, um verwendbar zu sein (damit der Benutzer sein Sekundärgerät abrufen, zur Verifizierungs-URI navigieren, sich anmelden usw. kann), sollte aber kurz genug sein, um die Verwendbarkeit eines für Phishing erhaltenen Codes zu begrenzen. Dies verhindert nicht, dass ein Phisher ein frisches Token präsentiert, insbesondere wenn er in Echtzeit mit dem Benutzer interagiert, aber es begrenzt die Realisierbarkeit von Codes, die per E-Mail oder Textnachricht gesendet werden.