Nije tajna da korištenje SMS poruka za sigurnosne kodove prilikom autentifikacije identiteta nije idealno rješenje.
Baš kao što tehnološka industrija polako prelazi s lozinki na sigurnije pristupe poput biometrijskih prijava putem passkey sistema, tako su aplikacije za generisanje kodova i čak metode autentifikacije bez aplikacija postale standard posljednjih godina.
No, SMS autentifikacija se uvijek smatrala boljom opcijom nego uopšte nemati zaštitu. Gmail planira u potpunosti ukinuti SMS kodove za autentifikaciju, piše Forbes.
Gmailov glasnogovornik: "Želimo se udaljiti od slanja SMS poruka za autentifikaciju"
"Baš kao što želimo preći s lozinki na passkeys, želimo se udaljiti i od slanja SMS poruka za autentifikaciju", rekao je Gmailov glasnogovornik Ross Richendrfer. Tako je započela email komunikacija s Googleom, u kojoj je po prvi put potvrđeno da će SMS kodovi biti zamijenjeni QR kodovima kako bi se smanjio utjecaj globalne zloupotrebe SMS sistema.
Google trenutno koristi SMS verifikaciju iz dva razloga: sigurnosne provjere korisnika i zaštite od zloupotreba. Prvi razlog, kako objašnjava Richendrfer, služi kako bi se provjerilo da se radi o istom korisniku, dok drugi pomaže u sprječavanju kriminalaca da zloupotrebljavaju Googleove usluge. Na primjer, prevaranti često kreiraju hiljade Gmail naloga kako bi širili spam ili malware.
Zašto Gmail ukida SMS kodove?
Prema Richendrferu i njegovoj kolegici iz Googlea Kimberly Samra, SMS kodovi predstavljaju brojne sigurnosne rizike. Mogu biti ukradeni putem phishinga, korisnici ponekad nemaju pristup telefonu na koji se kodovi šalju, a sigurnost zavisi i od mobilnih operatera.
„Ako prevarant uspije prevariti mobilnog operatera da mu dodijeli broj telefona nekog korisnika, sva sigurnosna vrijednost SMS autentifikacije potpuno nestaje“, rekao je Richendrfer.
Osim toga, SMS kodovi često stoje u samom središtu kriminalnih aktivnosti. Jedna od najnovijih prevara koje je Google primijetio u posljednjih nekoliko godina naziva se "traffic pumping" (ili vještačko povećanje saobraćaja). Ovaj metod prevara funkcioniše tako što kriminalci nagovaraju online servise da pošalju ogroman broj SMS poruka na brojeve koje oni kontrolišu, te zarađuju svaki put kad poruka bude isporučena.
Od SMS-a do QR kodova za Gmail autentifikaciju
"Tokom narednih mjeseci, preoblikovat ćemo način na koji verifikujemo telefonske brojeve“, otkrio je Richendrfer. „Konkretno, umjesto unosa broja telefona i primanja šestocifrenog koda, korisnicima će biti prikazan QR kod, koji će trebati skenirati putem kamere na svom telefonu."
Iako nisam najveći fan QR kodova, kako sam već pisao u svojim ranijim člancima, ovo predstavlja značajan sigurnosni iskorak za Google i korisnike Gmaila.
Google navodi dvije glavne prednosti ovog pristupa:
1. Smanjenje rizika od phishinga – budući da korisnici više neće imati sigurnosne kodove koje bi mogli nesvjesno podijeliti s napadačima.
2. Manja zavisnost od mobilnih operatera – većina Googleovih korisnika više neće morati brinuti o zaštiti svog broja telefona od zloupotrebe.
„SMS kodovi predstavljaju ozbiljan sigurnosni rizik za korisnike“, zaključio je Richendrfer. „Zadovoljstvo nam je predstaviti inovativan novi pristup koji smanjuje površinu za napade i čini korisnike sigurnijima od zlonamjernih aktivnosti.“
Iako nije precizirano kada tačno Google planira implementirati ove promjene za korisnike Gmaila i Google naloga, jasno je da nas velika promjena očekuje u skorijoj budućnosti.
