Користувачів Gmail, які звикли отримувати SMS-коди для доступу до своїх акаунтів, чекають зміни.
Як повідомляє Ars Technica, Google планує відмовитися від цього методу верифікації, оскільки він більше не забезпечує належного рівня безпеки. Замість SMS-кодів компанія перейде на використання QR-кодів.
Чому Google відмовляється від SMS?
Зараз компанія використовує SMS-верифікацію із двома основними цілями:
- Підтвердження легітимності нового входу.
- Запобігання масовій реєстрації акаунтів спамерами.
Після введення логіна і пароля Google надсилає користувачеві шестизначний код через SMS. Цей процес допомагає захистити акаунт, однак сам по собі є вразливим.
Вразливості SMS-верифікації
SMS-повідомлення передаються мобільними операторами без шифрування і можуть проходити через посередників, які можуть бути скомпрометовані. Навіть якщо сам канал зв’язку захищений, телефонні номери мають низький рівень безпеки.
Атаки з підміною SIM-карт (SIM swap) стали надто поширеними. Зловмисники можуть підкупити або обманути співробітників мобільного оператора, щоб отримати контроль над номером жертви. У такому разі всі двофакторні коди Google надходитимуть безпосередньо хакеру, що дасть йому можливість отримати доступ до акаунту жертви.
Ця ж тактика вже використовувалася для крадіжки криптовалютних активів, оскільки контроль над електронною поштою часто є ключем до доступу до інших акаунтів.
Google переходить на QR-коди
За інформацією Forbes, Google планує вирішити цю проблему шляхом упровадження QR-кодів замість SMS-кодів.
«Так само, як ми хочемо відмовитися від паролів на користь passkey, ми прагнемо позбутися SMS-повідомлень для автентифікації», — заявив представник Google Росс Річендрфер.
Як працюватиме нова система?
• Замість отримання SMS-коду користувачам буде запропоновано відсканувати QR-код за допомогою смартфона.
• Це усуває залежність від мобільного оператора і його рівня безпеки.
• Google наголошує, що QR-коди ускладнюють фішингові атаки, оскільки користувач не може передати шахраю те, чого у нього немає.
Коли чекати змін?
Точних термінів Google поки що не оголосила. Річендрфер зазначив, що нова система верифікації почне впроваджуватися протягом наступних кількох місяців, проте невідомо, чи буде вона одночасно запущена у всіх країнах.
Якщо ви вже використовуєте двофакторну автентифікацію, наприклад, через генератор кодів або фізичний ключ безпеки, то для вас нічого не зміниться.
Нагадаємо, що Google тестує ШІ для визначення віку користувачів.
Читайте також на ProIT: Шифрування iCloud: наскільки захищені ваші дані?
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
