Использование текстовых сообщений SMS для кодов безопасности, используемых для аутентификации вашей личности, далеки от идеала.
Так же, как технологическая индустрия медленно переходит от паролей к ключам доступа, которые используют более безопасный биометрический подход к входу в систему, использование приложений для генерации кодов и даже подходов без приложений для двухфакторной аутентификации все чаще становится нормой в последние годы, Но SMS всегда считалось лучше, чем отсутствие аутентификации вообще, с чем трудно спорить.
Forbes со ссылкой на представителей Google сообщает, что Gmail собирается отказаться от SMS-кодов для аутентификации.
«Точно так же, как мы хотим отказаться от паролей, используя такие вещи, как ключи доступа», — сказал представитель Google Росс Ричендерфер, — «мы хотим отказаться от отправки SMS-сообщений для аутентификации». Так началась переписка по электронной почте с Google, в ходе которой выяснилось, что впервые SMS-коды будут упразднены, когда дело дойдет до аутентификации, и заменены QR-кодами, чтобы «уменьшить влияние безудержного глобального злоупотребления SMS».
В настоящее время Google использует SMS-проверку в основном для двух различных целей: безопасности и контроля злоупотреблений. Первая, как объяснил Рихендрфер, заключается в проверке того, «что мы имеем дело с тем же пользователем, что и раньше», а вторая гарантирует, что мошенники не будут злоупотреблять услугами Google. Примером этого, как предоставила Google, было создание преступниками тысяч учетных записей Gmail для распространения спама и вредоносного ПО.
Почему Gmail избавляется от SMS-кодов
По словам Ричендерфера и его коллеги из Google Кимберли Самры, SMS-коды представляют собой многочисленные проблемы в области безопасности. Их можно подделать, у людей не всегда есть доступ к устройству, на которое отправляются коды, и они зависят от мер безопасности оператора пользователя. «Если мошенник может легко обмануть оператора, чтобы получить чей-то номер телефона», — сказал Ричендерфер, то любая «ценность SMS с точки зрения безопасности исчезает».
Затем следует тот факт, что коды подтверждения SMS также часто находятся в самом центре многих преступных операций. Одна относительно новая афера, которую Google наблюдал за последние пару лет, это то, что он называет перекачкой трафика. Как пишет издание, это называют искусственной инфляцией трафика и мошенничеством с оплатой, но методология всегда одна и та же. Рихендрфер и Самра объясняют: «Это когда мошенники пытаются заставить поставщиков онлайн-услуг отправлять большое количество SMS-сообщений на контролируемые ими номера, тем самым получая деньги каждый раз, когда одно из этих сообщений доставляется».
От SMS до QR-кодов для аутентификации Gmail
«В течение следующих нескольких месяцев мы переосмыслим способ проверки телефонных номеров», — сказал Рихендерфер. «В частности, вместо ввода своего номера и получения 6-значного кода вы увидите QR-код, который вам нужно будет отсканировать с помощью приложения камеры на вашем телефоне».
Издание отмечает, что это остается важным моментом в плане безопасности для пользователей Google и Gmail.
По данным Google, QR-коды для аутентификации могут дать два преимущества:
Снижение риска фишинга, когда пользователи Gmail обманом заставляют поделиться своими кодами безопасности с субъектом угрозы. Прежде всего, и это довольно очевидно, поскольку изначально нет такого кода, которым можно поделиться.
Устранение зависимости пользователей Google, по крайней мере в большинстве случаев, от своего оператора мобильной связи в плане защиты от злоупотреблений.
«SMS-коды являются источником повышенного риска для пользователей», — заключил Рихендерфер, — «мы рады представить новый инновационный подход, позволяющий сократить зону воздействия для злоумышленников и защитить пользователей от вредоносной активности». Завершая интригующим «ожидайте от нас большего в ближайшем будущем», но без фактической даты внедрения изменений для владельцев учетных записей Google и пользователей Gmail, я уверен, мы все согласимся, что это произойдет нескоро.
