使用SMS簡訊驗證碼來進行身份驗證並非理想的安全措施早已不是秘密。就如同科技產業正在逐步從傳統密碼轉向更安全的生物識別Passkeys,過去幾年來,驗證碼應用程序(Authenticator Apps),甚至無需應用程序的雙重驗證(2FA)方式,已逐漸成為主流。然而相較於完全沒有身份驗證機制,SMS確實仍然是一個不錯的選擇。
據《Forbes》引述Google內部人士報道,Gmail現在準備淘汰SMS簡訊驗證碼,並改用QR碼來提升安全性。
Gmail發言人Ross Richendrfer指稱,就像我們希望通過Passkeys擺脫傳統密碼一樣,我們也希望停止使用SMS簡訊來進行身份驗證。Google計劃全面淘汰SMS驗證碼,改以QR碼取而代之,以減少全球猖獗的SMS濫用問題。
目前Google使用簡訊驗證碼的二大用途在於:一是安全驗證,以確保修戶與先前登錄的用戶相同;再者是防止濫用,防止詐騙者濫用Google服務,例如大量創建Gmail賬號來發送垃圾郵件或散播惡意軟體。
只不過Google內部專家Richendrfer和Kimberly Samra都表示,簡訊驗證碼仍存在許多安全風險,包括:
依賴電信企業的安全機制:如果黑客能夠輕易說服電信企業竊取用戶的電話號碼(例如SIM交換攻擊),那麼SMS驗證碼的安全性將蕩然無存。
Richendrfer和Samra解釋,詐騙者會誘使網路服務提供商向他們控制的電話號碼發送大量SMS消息,並通過這些簡訊的發送獲取報酬。這種手法也被稱為人為流量膨脹(Artificial Traffic Inflation)或通信欺詐(Toll Fraud),但本質上運行方式相同。
Richendrfer表示,未來幾個月內Google將重新設計手機號碼驗證機制。具體來說,用戶不再輸入手機號碼並接收6位數驗證碼,而是會看到一個QR碼,使用手機相機掃描即可完成驗證。雖然QR碼並不是最受歡迎的技術(過去不少用戶曾對其表達不滿),但Google認為這將是一個重大安全進展,能有效減少與SMS相關的安全風險。
Google認為,從驗證碼轉向使用QR code有兩大好處:降低釣魚攻擊風險、減少對電信企業的依賴。
但何時會做出這項轉變目前Google還未有具體時間表,不過Richendrfer表示,簡訊驗證碼對用戶而言是一個高風險因素,我們很高興能夠推出創新的驗證方式,減少攻擊者的可利用範圍,讓用戶更安全。
雖然Google尚未公布確切的實施時間,但這項安全升級無疑是一項迫切需要的變革,預計會在Gmail和Google賬號安全機制中逐步推行。
(首圖來源:網路)
