背景

Webのログイン時にSMSでワンタイムコードを送信し、入力させることがあります。昨今ではformの 『autocomplete="one-time-code"』属性によりユーザエージェントがSMSのコードを自動入力してくれたりします。

こちらのサイトでも書かれているように、攻撃者がフィッシングの手口で入力させたID/Passを正規サイトにインプットさせるとSMSコードを自動入力させる事ができます。
akaki.io

そこで、SMSで発行したワンタイムコードをドメインに紐付けることでこのような攻撃を防ぐのが今回の目的です

Origin-Bound One-Time Codes

「Origin-Bound One-Time Codes」ではSMSやメールで発行するワンタイムコードのフォーマットを定義しています。そこにドメイン名を追加しています。

例としては次のとおりです。747723がexample.comでのみ自動入力されます。

747723 is your ExampleCo authentication code.

@example.com #747723

おまけ

AppleおよびGoogleで実装されているようです。

SMSのワンタイムコードの自動入力が幅広く使われると便利になりますね。
まだ、IETFで議論は具体的には行われてないですが、標準化まで進むと良いなーって思いました