5.4. Remote Phishing (Phishing à distance)

Il est possible que le flux d'appareil soit initié sur un appareil en possession d'un attaquant. Par exemple, un attaquant pourrait envoyer un e-mail demandant à l'utilisateur cible de visiter l'URL de vérification et d'entrer le code utilisateur. Pour atténuer une telle attaque, il est RECOMMANDÉ d'informer l'utilisateur qu'il autorise un appareil pendant l'étape d'interaction utilisateur (voir Section 3.3) et de confirmer que l'appareil est en sa possession. Le serveur d'autorisation DEVRAIT afficher des informations sur l'appareil afin que l'utilisateur puisse remarquer si un client logiciel tentait d'usurper l'identité d'un appareil matériel.

Pour les serveurs d'autorisation qui supportent l'optimisation "verification_uri_complete" discutée dans la Section 3.3.1, il est particulièrement important de confirmer que l'appareil est en possession de l'utilisateur, car l'utilisateur n'a plus besoin de saisir manuellement le code affiché sur l'appareil. Une suggestion est d'afficher le code pendant le flux d'autorisation et de demander à l'utilisateur de vérifier que le même code est actuellement affiché sur l'appareil qu'il configure.

Le code utilisateur doit avoir une durée de vie suffisamment longue pour être utilisable (permettant à l'utilisateur de récupérer son appareil secondaire, de naviguer vers l'URI de vérification, de se connecter, etc.) mais doit être suffisamment court pour limiter l'utilisabilité d'un code obtenu pour le phishing. Cela n'empêche pas un hameçonneur de présenter un jeton frais, en particulier s'il interagit avec l'utilisateur en temps réel, mais cela limite la viabilité des codes envoyés par e-mail ou message texte.