Google sostituirà i codici SMS Gmail non sicuri con la verifica della scansione QR

      Da quando Google ha abilitato la verifica in due passaggi per Gmail e altri protocolli di autenticazione legati nel suo ecosistema, i codici SMS sono stati un pilastro. Ma secondo le analisi di sicurezza, i codici SMS sono notoriamente non sicuri, specialmente quando il canale di comunicazione non è crittografato. Questo sta finalmente per cambiare, poiché i codici SMS saranno presto sostituiti con codici QR per l'autenticazione di Gmail.

      Quando si tratta di sicurezza dell'account, gli SMS non sono la scelta più affidabile per ricevere codici di verifica sensibili o password monouso (OTP) sui telefoni. Ecco perché, negli ultimi anni, Google ha costantemente sviluppato alternative di password come i prompt di Google sul dispositivo, le app di autenticazione, le chiavi di sicurezza hardware e il sistema Passkey per ridurre al minimo i rischi come il phishing via SMS.

      Ora, Google sta progettando di eliminare gradualmente la verifica basata su SMS completamente per l'autenticazione di Gmail (e con essa, account Google). "Proprio come vogliamo spostare le password passate con l'uso di cose come passkeys. Vogliamo allontanarci dall'invio di messaggi SMS per l'autenticazione", ha detto il portavoce di Gmail Ross Richendrfer, citato da Forbes.

      Perché gli SMS non sono sicuri?

      Google ha implementato questo sistema di prompt del dispositivo per la verifica dell'account nel 2016. Google

      Ottenere codici tramite un messaggio di testo è conveniente, ma non è solo il percorso e le elaborate tecniche di phishing che rendono gli SMS un percorso non sicuro. SIM swapping, ingegneria sociale, e gli attacchi di rappresentazione sono anche una tecnica abbastanza ben noti, e quando tali piani vengono eseguiti, il legittimo proprietario non riceve mai i loro codici di verifica SMS.

      Ciò li lascia bloccati dal proprio account Gmail e tutti i servizi principali ad esso collegati, che includono anche servizi di terze parti che richiedono un accesso all'account Google. Inoltre, negli scenari in cui gli utenti non hanno accesso alle reti cellulari, ottenere codici di accesso tramite SMS diventa un'altra sfida.

      In che modo i codici QR possono aiutare?

      Nei prossimi mesi, Google prevede di sostituire i codici SMS a sei cifre e mostrerà un codice QR che gli utenti devono semplicemente scansionare con l'app fotocamera sul proprio telefono. La società non ha condiviso molti dettagli tecnici su questi piani, ma sembra che Google probabilmente creerà un protocollo che richiederebbe una stretta di mano sicura del codice QR con un telefono verificato che esegue il numero di telefono registrato.

      Invece di punti a blocchi, i codici SDMQR usano ellissi. Nadeem Sarwar / Tendenze digitali

      Non vale la pena qui che i codici QR non sono intrinsecamente infallibili. Anche le truffe QR sono abbastanza comuni. Ma un sistema di scansione QR che richiede una chiave di decodifica locale, o una chiave pubblica sicura tra solo due parti fidate, è molto più sicuro e veloce.

      Recentemente abbiamo coperto una tale innovazione chiamata auto-autenticazione dual-modulated QR code (SDMQR) che ha già ricevuto una sovvenzione governativa e potrebbe presto sostituire i codici a barre in varie applicazioni aziendali e industriali.

      Sviluppato da esperti dell'Università di Rochester, un codice SDMQR si basa su un sistema di firma crittografica che può essere sbloccato solo con una chiave privata digitale. Questi codici QR specializzati non richiedono alcuna app di scansione speciale e possono essere implementati su dispositivi mobili in tutto il mondo a livello di sistema operativo.