В Google сообщили, что компания намерена постепенно отказаться от использования текстовых SMS-сообщений для многофакторной аутентификации в пользу более безопасных методов.
Многофакторная аутентификация (МФА) с использованием одноразовых кодов и SMS появилась в Gmail в феврале 2011 года, а в 2021 году Google сделала многофакторную аутентификацию обязательной для большинства своих сервисов.
SMS в контексте МФА давно утратили актуальность из-за присущей им небезопасности. Отметим, что Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) предупреждал о возможных рисках еще в 2016 году.
За прошедшие девять лет ситуация только ухудшилась за счет участившихся случаев мошенничества, подмены SIM-карт (SIM swap) и даже уязвимостей в SS7. В результате в прошлом году уже CISA официально рекомендовала отказаться от аутентификации посредством SMS в пользу более безопасных способов.
Как теперь сообщили в Google, компания приняла решение постепенно отказаться от отправки одноразовых паролей через SMS.
«В ближайшие несколько месяцев мы переосмыслим способ верификации телефонных номеров, — сообщил СМИ представитель Google по вопросам конфиденциальности Росс Ричендрафер (Ross Richendrfer). — В частности, вместо ввода номера и получения 6-значного кода на экране будет отображаться QR-код, который нужно будет отсканировать с помощью приложения камеры на телефоне».
При этом пока компания не избавляется от SMS-сообщений полностью и иногда будет использовать сообщения для подтверждения личности. Однако для входа в систему пользователям придется сканировать QR-коды (если они не используют ключи безопасности, токены и другие решения).
«Коды в SMS-сообщениях являются источником повышенного риска для пользователей, и мы рады представить новый инновационный подход, позволяющий сократить поверхность атак для злоумышленников и обезопасить пользователей от вредоносной активности», — заявил Ричендрафер.
В компании обещают, что в скором времени расскажут об изменениях более подробно. Пока в компании не называют конкретных дат внедрения изменений для владельцев учетных записей Google и пользователей Gmail.
