Google отказывается от аутентификации в Gmail через SMS-коды из-за проблем с их безопасностью

Известно, что использование SMS-сообщений для отправки кодов безопасности, подтверждающих личность, имеет свои недостатки. Так же, как технологическая индустрия постепенно отказывается от паролей в пользу более надежных методов, таких как ключи доступа с биометрической защитой, применение приложений для генерации кодов и даже подходов к двухфакторной аутентификации без специальных приложений становится нормой последние годы. Однако всегда считалось, что SMS лучше, чем отсутствие аутентификации вовсе, с чем трудно поспорить. Теперь из инсайдерских источников стало известно, что Gmail, наконец, планирует отказаться от использования SMS-кодов для аутентификации.

Отказ от отправки SMS-сообщений для аутентификации

Представитель Gmail Росс Ричендрфер (Ross Richendrfer) заявил:

Точно так же, как мы хотим оставить в прошлом пароли, переходя к таким технологиям, как ключи доступа, мы хотим отказаться от отправки SMS-сообщений для аутентификации.

SMS-коды будут упразднены и заменены на QR-коды для «снижения негативных последствий глобального злоупотребления SMS».

На данный момент Google использует проверку по SMS в основном для двух целей: обеспечения безопасности и контроля злоупотреблений. Первая, как объяснил Ричендрфер, нужна для проверки «того, что мы имеем дело с тем же пользователем, что и ранее», а вторая — чтобы мошенники не могли злоупотреблять сервисами Google. В качестве примера Google приводит ситуацию, когда преступники создают тысячи аккаунтов Gmail для рассылки спама и вредоносного ПО.

Почему Google отказывается от SMS-кодов для Gmail

По словам Ричендрфера и его коллеги из Google, Кимберли Самры (Kimberly Samra), SMS-коды сопряжены с множеством проблем безопасности. Их можно перехватить фишинговыми атаками, пользователи не всегда имеют доступ к устройству, на которое приходят коды, и они зависят от мер безопасности, применяемых их оператором связи.

Ричендрфер рассказал про высокие риски:

Если мошеннику удается обманом заставить оператора передать чей-либо номер телефона, то вся безопасность, обеспечиваемая SMS, теряет свою ценность.

Также стоит отметить, что SMS-коды часто лежат в основе многих преступных операций. Одна из относительно новых схем мошенничества называется «traffic pumping». Так называют искусственное раздувание трафика или мошенничество с оплатой дорожного сбора, но суть всегда одна и та же.

Ричендрфер и Самра пояснили:

Это когда мошенники пытаются заставить онлайн-провайдеров отправлять огромное количество SMS-сообщений на номера, которые они контролируют, получая оплату за каждое доставленное сообщение.

От SMS к QR-кодам для аутентификации Gmail

Ричендрфер сообщил:

В течение ближайших нескольких месяцев мы переосмыслим, как мы подтверждаем номера телефонов, а именно, вместо того чтобы вводить номер и получать 6-значный код, вы увидите отображаемый QR-код, который нужно будет сканировать с помощью камеры вашего телефона.

Данный шаг представляет собой важный момент в сфере безопасности для Google и пользователей Gmail.

По мнению Google, использование QR-кодов для аутентификации имеет следующие преимущества:

• Снижение риска фишинга, при котором пользователи Gmail могут обманным путем передать свои коды безопасности злоумышленнику.
• Устранение зависимости пользователей Google от оператора связи в вопросах защиты от злоупотреблений.

Ричендрфер добавил:

SMS-коды представляют собой источник повышенного риска для пользователей. Мы рады представить инновационный подход, позволяющий сократить поверхность атаки для злоумышленников и обеспечить большую безопасность пользователей от вредоносных действий.

Отметим, что конкретная дата внедрения изменений для владельцев аккаунтов Google и пользователей Gmail пока не озвучена. Однако, для реализации данных изменений потребуется время.