Google заменит небезопасные SMS-коды Gmail на проверку с помощью QR-сканирования

Дядя Влад

С тех пор, как Google включил двухэтапную аутентификацию для Gmail и других связанных протоколов аутентификации в своей экосистеме, SMS-коды стали основой. Но согласно анализам безопасности, SMS-коды заведомо небезопасны, особенно когда канал связи не зашифрован. Наконец-то ситуация изменится, поскольку SMS-коды скоро будут заменены QR-кодами для аутентификации Gmail.

Когда дело доходит до безопасности учетной записи, SMS — не самый надежный вариант для получения конфиденциальных кодов проверки или одноразовых паролей (OTP) на телефонах. Вот почему в течение последних нескольких лет Google постоянно разрабатывал альтернативные пароли, такие как запросы Google на устройстве , приложения для аутентификации , аппаратные ключи безопасности и систему паролей , чтобы минимизировать такие риски, как фишинг SMS.

Теперь Google планирует полностью отказаться от проверки по SMS для аутентификации Gmail (а вместе с ней и учетной записи Google). «Точно так же, как мы хотим обойти пароли с помощью таких вещей, как ключи доступа. Мы хотим отойти от отправки SMS-сообщений для аутентификации», — заявил Forbes представитель Gmail Росс Ричендфер.

Почему СМС небезопасны?

При попытке войти с другого устройства появляется запрос от аккаунта Google.
Google внедрил эту систему подсказок устройства для проверки учетной записи еще в 2016 году.

Получать коды с помощью текстового сообщения удобно, но не только способы и сложные методы фишинга делают SMS небезопасным маршрутом. Подмена SIM-карты, социальная инженерия и атаки по выдаче себя за другое лицо также являются довольно известными методами, и когда эти планы выполняются, законный владелец никогда не получает свои коды подтверждения по SMS.

В результате они лишаются доступа к собственной учетной записи Gmail и всем связанным с ней основным службам, включая сторонние службы, требующие входа в учетную запись Google. Более того, в сценариях, когда у пользователей нет доступа к сотовым сетям, получение кодов входа через SMS становится еще одной проблемой.

Как QR-коды могут помочь?

В течение следующих нескольких месяцев Google планирует заменить шестизначные коды SMS и будет показывать QR-код, который пользователям нужно просто сканировать с помощью приложения камеры на своем телефоне. Компания не поделилась техническими подробностями об этих планах, но, похоже, Google, скорее всего, создаст протокол, который потребует безопасного подтверждения QR-кода с проверенным телефоном, на котором используется зарегистрированный номер телефона.

Пример кода SDMQR, отображаемого на экране iPhone.
Вместо блочных точек в кодах SDMQR используются эллипсы. Надим Сарвар / Digital Trends

Здесь ничего не стоит, поскольку QR-коды по своей сути не являются надежными. QR-мошенничество также довольно распространено. Но система QR-сканирования, для которой требуется локальный ключ декодирования или безопасный открытый ключ только между двумя доверенными сторонами, намного безопаснее и быстрее.

Недавно мы рассмотрели одно такое нововведение, называемое самоаутентифицирующимся двухмодулированным QR-кодом (SDMQR) , который уже получил правительственный грант и может вскоре заменить штрих-коды в различных деловых и промышленных приложениях.

Код SDMQR, разработанный экспертами Рочестерского университета, основан на системе криптографической подписи, которую можно разблокировать только с помощью цифрового закрытого ключа. Эти специализированные QR-коды не требуют какого-либо специального приложения для сканирования и могут быть реализованы на мобильных устройствах по всему миру на уровне ОС.