Google заменит небезопасные SMS-коды Gmail на проверку с помощью QR-сканирования

      С тех пор как Google включил в свою экосистему двухэтапную проверку подлинности для Gmail и других связанных протоколов аутентификации, SMS-коды стали основой. Но, согласно анализу безопасности, SMS-коды, как известно, небезопасны, особенно если канал связи не зашифрован. Ситуация, наконец, изменится, поскольку SMS-коды скоро будут заменены QR-кодами для аутентификации в Gmail.

      Что касается безопасности учетной записи, SMS-сообщения - не самый надежный способ получения конфиденциальных проверочных кодов или одноразовых паролей (OTP) на телефонах. Именно поэтому в течение последних нескольких лет Google постоянно разрабатывала альтернативные пароли, такие как встроенные подсказки Google, приложения для проверки подлинности, аппаратные ключи безопасности и система парольных ключей, чтобы минимизировать риски, такие как SMS-фишинг.

      Теперь Google планирует полностью отказаться от проверки подлинности на основе SMS в Gmail (а вместе с ней и в аккаунте Google). “Точно так же, как мы хотим отказаться от использования паролей с помощью таких вещей, как парольные ключи. Мы хотим отказаться от отправки SMS-сообщений для проверки подлинности”, - цитирует Forbes представителя Gmail Росса Ричендрфера.

      Почему SMS небезопасны?

      Google внедрила эту систему подсказок с устройств для подтверждения учетной записи еще в 2016 году. Гугл

      Получать коды с помощью текстового сообщения удобно, но не только изощренные методы фишинга делают SMS небезопасным способом. Подмена SIM-карт, социальная инженерия и атаки с выдачей себя за другого также являются довольно известными методами, и когда эти планы реализуются, законный владелец никогда не получает свои коды подтверждения по SMS.

      Это лишает их доступа к собственной учетной записи Gmail и всем связанным с ней основным сервисам, включая сторонние сервисы, для входа в которые требуется учетная запись Google. Более того, в ситуациях, когда у пользователей нет доступа к сотовым сетям, получение кодов для входа с помощью SMS становится еще одной проблемой.

      Как могут помочь QR-коды?

      В течение следующих нескольких месяцев Google планирует заменить шестизначные SMS-коды и будет показывать QR-код, который пользователи должны просто отсканировать с помощью приложения "камера" на своем телефоне. Компания не раскрывает много технических подробностей об этих планах, но, похоже, Google, скорее всего, разработает протокол, который потребует безопасного обмена QR-кодом с подтвержденным телефоном, на котором указан зарегистрированный номер.

      Вместо точек в кодах SDMQR используются многоточия. Надим Сарвар (Nadeem Sarwar) / Digital Trends

      Стоит отметить, что QR-коды по своей сути не являются надежными. Мошенничество с использованием QR-кодов также довольно распространено. Но система сканирования QR-кода, для которой требуется локальный ключ декодирования или защищенный открытый ключ только для двух доверенных сторон, намного безопаснее и быстрее.

      Недавно мы рассказывали об одном из таких нововведений, называемом самоаутентифицирующимся QR-кодом с двойной модуляцией (SDMQR), который уже получил правительственный грант и вскоре может заменить штрих-коды в различных деловых и промышленных приложениях.

      Разработанный экспертами из Университета Рочестера, код SDMQR основан на системе криптографической подписи, которую можно разблокировать только с помощью цифрового закрытого ключа. Эти специализированные QR-коды не требуют специального приложения для сканирования и могут быть реализованы на мобильных устройствах по всему миру на уровне операционной системы.