Использование SMS-сообщений для двухфакторной аутентификации (2FA) давно подвергается критике со стороны экспертов по кибербезопасности. Хотя SMS-коды лучше, чем полное отсутствие защиты, они далеки от идеала. Технологическая индустрия постепенно отказывается от паролей в пользу более безопасных методов, таких как биометрические данные и приложения для генерации кодов. Теперь Google решил сделать следующий шаг: Gmail полностью откажется от SMS-кодов для аутентификации.
Почему Google отказывается от SMS
Представитель Gmail Росс Ричендрфер в интервью западным изданиям подтвердил, что компания планирует отказаться от SMS-кодов.
«Так же, как мы хотим уйти от паролей с помощью таких технологий, как passkeys, мы хотим отказаться от отправки SMS-сообщений для аутентификации», — заявил Ричендрфер.
Google использует SMS-коды для двух целей: обеспечения безопасности и предотвращения злоупотреблений. Однако этот метод имеет серьёзные недостатки. SMS-коды могут быть перехвачены, пользователи не всегда имеют доступ к устройству, на которое отправляется код, а безопасность зависит от оператора связи.
«Если мошенник может легко обмануть оператора и получить контроль над номером телефона, вся ценность SMS-кодов как средства безопасности исчезает», — объяснил Ричендрфер.
Кроме того, SMS-коды часто используются в мошеннических схемах. Например, злоумышленники создают тысячи аккаунтов Gmail для рассылки спама и вредоносных программ. Также распространена практика «накачки трафика», когда мошенники заставляют сервисы отправлять SMS на подконтрольные им номера, получая прибыль за каждое сообщение.
QR-коды вместо SMS: как это будет работать
Google планирует заменить SMS-коды на QR-коды для аутентификации.
В ближайшие месяцы пользователи, вместо ввода номера телефона и получения 6-значного кода, увидят QR-код, который нужно будет отсканировать с помощью камеры телефона.
Преимущества QR-кодов, по словам Google, заключаются в следующем:
- Снижение риска фишинга. Поскольку нет кода, который можно украсть, мошенникам будет сложнее обмануть пользователей.
- Независимость от операторов связи. QR-коды уменьшают зависимость от безопасности операторов.
- Борьба с глобальным злоупотреблением SMS. Новый метод поможет снизить нагрузку на системы и предотвратить мошенничество.
«SMS-коды представляют повышенный риск для пользователей. Мы рады представить инновационный подход, который сократит возможности для атак и повысит безопасность», — дополнил Ричендрфер.
Мнение экспертов
Майк Бриттон, директор по информационным технологиям компании Abnormal Security, поддержал инициативу Google, но предупредил о новых рисках.
«Хорошо, что Google идёт в ногу со временем и отказывается от SMS-аутентификации из-за её уязвимостей. Однако QR-коды, хотя и более безопасны, также не лишены рисков», — сказал Бриттон.
По данным Abnormal Security, QR-коды уже используются в 27% фишинговых атак, связанных с двухфакторной аутентификацией. Проблема в том, что пользователи пока не воспринимают QR-коды как потенциальную угрозу, что делает их удобным инструментом для мошенников.
Что же делать пользователям
Если вы уже используете более безопасные методы аутентификации, такие как приложение Google Authenticator, push-уведомления или passkeys, вам не о чем беспокоиться. Однако тем, кто всё ещё полагается на SMS, стоит перейти на более современные методы защиты.
Бриттон также рекомендует:
- Не доверяйте организациям, которые запрашивают ваши данные.
- Избегайте предоставления конфиденциальной информации в интернете.
- Будьте осторожны с ссылками в электронных письмах.
Отказ Gmail от SMS-кодов — это важный шаг в повышении безопасности пользователей. Хотя QR-коды не являются идеальным решением, они предлагают более надёжную альтернативу, чем SMS. В условиях растущих киберугроз важно оставаться бдительными и использовать самые современные методы защиты.
Фото: Firestock.