Google có thể thay thế xác thực SMS bằng mã QR cho Gmail: Báo cáo

Google được thiết lập để thay thế xác thực dựa trên SMS cho Gmail bằng mã QR, một động thái nhằm tăng cường bảo mật và kết hợp Lạm dụng SMS toàn cầu. Thay đổi này, được tiết lộ trong một báo cáo của Forbes ' Davey Winder, theo các cuộc thảo luận với người trong cuộc của Google.

Tại sao mã SMS đang bị loại bỏ

Xác thực SMS, trong khi được sử dụng rộng rãi, từ lâu đã bị chỉ trích vì các lỗ hổng của nó. Người phát ngôn của Gmail, Ross Richendrfer giải thích, giống như chúng tôi muốn di chuyển mật khẩu qua với Passkeys, chúng tôi muốn tránh xa việc gửi tin nhắn SMS để xác thực.

Google hiện đang sử dụng xác minh SMS cho hai mục đích chính:

• Bảo mật: Đảm bảo người dùng là người mà họ tuyên bố là.
• Kiểm soát lạm dụng: Ngăn chặn các hoạt động gian lận, chẳng hạn như tạo ra các tài khoản Gmail để gửi thư rác và phân phối phần mềm độc hại.

Tuy nhiên, mã SMS đi kèm với những rủi ro đáng kể. Richendrfer, cùng với đồng nghiệp Google Kimberly Samra, đã nêu bật các vấn đề sau:

• Các cuộc tấn công lừa đảo: Người dùng có thể bị lừa chia sẻ mã của họ với các tác nhân độc hại.
• Khả năng truy cập của thiết bị: Người dùng có thể không phải lúc nào cũng có quyền truy cập vào thiết bị nhận SMS.
• Các lỗ hổng của nhà cung cấp: Những kẻ lừa đảo có thể lừa dối các nhà mạng di động để chuyển số điện thoại, khiến bảo mật SMS không hiệu quả.

Một mối đe dọa mới nổi mà Google đã xác định là bơm giao thông, còn được gọi là lạm phát giao thông nhân tạo hoặc gian lận phí cầu đường. Trong sơ đồ này, tội phạm mạng thao túng các dịch vụ trực tuyến để gửi số lượng lớn các tin nhắn SMS đến các số mà họ kiểm soát, thu lợi từ mỗi tin nhắn được gửi.

Chuyển đổi sang mã QR để xác thực

Để giải quyết các rủi ro này, Google sẽ giới thiệu xác thực dựa trên mã QR trong những tháng tới. Thay vì nhập số điện thoại và nhận mã SMS gồm 6 chữ số, người dùng sẽ quét mã QR bằng máy ảnh điện thoại của họ.

Sự thay đổi này mang lại hai lợi ích chính:

• Bảo vệ lừa đảo: Không có mã tĩnh, người dùng không thể bị lừa chia sẻ thông tin nhạy cảm.
• Giảm sự phụ thuộc vào các nhà mạng: Người dùng Google sẽ không còn dựa vào các nhà mạng di động để bảo mật, giảm thiểu rủi ro của các cuộc tấn công dựa trên SIM.

Richendrfer nhấn mạnh, mã SMS là một nguồn rủi ro cao cho người dùng. Chúng tôi đang giới thiệu một cách tiếp cận sáng tạo để thu hẹp bề mặt tấn công và giữ cho người dùng an toàn hơn.

Mặc dù Google đã không cung cấp một dòng thời gian triển khai chính xác, công ty đã gợi ý nhiều cập nhật hơn trong tương lai gần.

Sự thay đổi này phù hợp với những nỗ lực rộng lớn hơn của Google để vượt ra ngoài mật khẩu truyền thống và xác thực dựa trên SMS, chấp nhận các phương thức an toàn hơn như Passkeys và Biometrics.

Nguồn