Gmail отказывается от традиционных кодов подтверждения по SMS, и в будущем ему придется использовать проверку кода сканирования приложения Google.

Коды подтверждения на основе SMS уже давно имеют серьезные недостатки в безопасности. Типичные методы вредоносной эксплуатации включают перехват SIM-карты или захват псевдобазовой станции. Эти методы могут использовать полученный код подтверждения для входа в учетную запись после контроля определенного номера мобильного телефона.

В настоящее время некоторые платформы постепенно отказываются от кодов проверки по SMS и используют более безопасные методы проверки, такие как пароль, TOTP (одноразовый код проверки на основе времени) и MFA (многофакторная аутентификация).

Теперь Google также готовится принять метод проверки MFA для замены кода подтверждения по SMS в почтовых ящиках Gmail. В будущем проверка по SMS больше не будет поддерживаться при входе в Gmail. Пользователям необходимо использовать приложение Google для сканирования кода для аутентификации.

Официальный представитель Google заявил:

Мы больше не хотим отправлять текстовые сообщения для аутентификации, как и не хотим использовать ключи доступа вместо паролей. Существует множество проблем с безопасностью кодов подтверждения по SMS. Коды подтверждения по СМС могут быть фишинговыми, люди не всегда имеют доступ к устройству, получающему код подтверждения, а коды подтверждения по СМС зависят от мер безопасности оператора пользователя.

Если мошенники могут легко получить чей-то номер телефона через оператора (как в предыдущем случае, когда была украдена учетная запись SEC), то безопасности текстовых сообщений не существует. Использование QR-кодов для аутентификации при сканировании может уменьшить последствия безудержного злоупотребления текстовыми сообщениями во всем мире.

Что касается преимуществ использования сканирования QR-кода для аутентификации, Google заявил: «Это может снизить риск фишинга, когда пользователей Gmail обманом заставляют делиться кодами безопасности с хакерами». В конце концов, пользователи должны активно сканировать код во время проверки, поэтому нет никакого цифрового проверочного кода, которым можно было бы поделиться.

Google также заявила, что коды подтверждения по SMS являются высоким источником риска для пользователей, и Google рада представить инновационный метод, позволяющий сократить масштабы атак и защитить пользователей от вредоносных действий.