Google възнамерява да се откаже от SMS като метод за двуфакторно удостоверяване за Gmail и да премине към по-сигурен подход, използващ QR кодове. Представителят на Gmail Рос Ричендърфър описа пред медиите тази предстояща промяна. Вместо да въвеждате номера си и да получавате шестцифрен код във вид на SMS, ще виждате QR код, който трябва да сканирате с камерата на своя телефон.
Ричендърфър заяви, че Google прави тази промяна, за да „намали въздействието на широко разпространените в световен мащаб злоупотреби със SMS“.
Използването на двуфакторна автентификация във вашите онлайн акаунти е силно препоръчително като начин за потвърждаване на самоличността ви и предпазване от подозрителни или злонамерени влизания. Но някои форми на 2FA са по-добри от други. Често срещан метод е получаването на код за потвърждение чрез SMS съобщение. Този вид некриптирана комуникация обаче може да бъде използван от хакерите.
Ако се чудите защо точно QR кодове, Ричънфър и мениджърът по комуникациите в областта на сигурността в Google Кимбърли Самра се спряха по-подробно върху уязвимостите на SMS удостоверяването.
Някой измамник може да фалшифицира подобно съобщение, за да ви подмами да споделите правилния код за проверка. От друга страна, невинаги можете да имате достъп до устройството, в което получавате кода. А чрез подмяна на SIM картата мобилният оператор може да бъде заблуден да прехвърли телефонния номер на жертвата към новоиздадената SIM карта на хакера, което ще даде възможност на измамника да получава SMS съобщенията на жертвата, като по този начин се обезсмисля сигурността на този вид удостоверяване. Дублирането на SIM картата не много трудно - ако хакерът знае номера на вашия телефон, то той може да подаде молба до мобилния оператор за издаване на нова SIM карта, понеже старата е изгубена. Процесът не е чак толкова опростен, но това е основната идея. В резултат на това вашите SMS съобщения (съответно кодовете за двуфакторна автентификация) попадат в ръцете на хакерите.
Ето защо едно специализирано приложение за удостоверяване, каквито са например Microsoft Authentication и Google Authenticator, е по-сигурна алтернатива. Физическите ключове за сигурност също са много по-сигурни от SMS. Но подготовката и конфигурирането на тези методи може да отнеме време, което вероятно е причината Google да избере по-простия, но все пак много по-силен подход на QR кодовете.
Понастоящем Google използва SMS верификацията за две цели -- сигурност и контрол на злоупотребите, казва Ричъндерфер пред Forbes и ZDNET. Първата цел е да се гарантира, че компанията работи със същия потребител, както при предишните взаимодействия. Втората цел е да се гарантира, че измамниците не злоупотребяват с услугите на Google. Пример за последното са случаите, когато киберпрестъпници създават акаунти в Google, за да разпращат спам и зловреден софтуер. Но ето, че сега това е на път да се промени.
Друг трик, използван от измамниците, е така нареченото помпане на трафика (artificial traffic inflation). Основната идея на този трик е, че "измамниците се опитват да накарат доставчиците на онлайн услуги да изпращат голям брой SMS съобщения до контролирани от тях номера, като по този начин получават заплащане всеки път, когато някое от тези съобщения бъде доставено", според Ричендърфър. Разбира се, това затруднява двуфакторната идентификация с помощта на SMS.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари