У Google повідомили, що компанія має намір поступово відмовитися від використання текстових SMS-повідомлень для багатофакторної аутентифікації на користь більш безпечних методів.

Багатофакторна автентифікація (БФА) з використанням одноразових кодів і SMS з’явилася в Gmail у лютому 2011 року, а 2021 року Google зробила багатофакторну автентифікацію обов’язковою для більшості своїх сервісів.

SMS у контексті БФА давно втратили актуальність через властиву їм небезпеку. Зазначимо, що Національний інститут стандартів і технологій США (The National Institute of Standards and Technology, NIST) попереджав про можливі ризики ще 2016 року.

За минулі дев’ять років ситуація тільки погіршилася за рахунок почастішання випадків шахрайства, підміни SIM-карт (SIM swap) і навіть вразливостей у SS7. У результаті торік уже CISA офіційно рекомендувала відмовитися від аутентифікації за допомогою SMS на користь безпечніших способів.

Як тепер повідомили в Google, компанія ухвалила рішення поступово відмовитися від надсилання одноразових паролів через SMS.

“У найближчі кілька місяців ми переосмислимо спосіб верифікації телефонних номерів, – повідомив ЗМІ представник Google з питань конфіденційності Росс Річендрафер (Ross Richendrfer). – Зокрема, замість введення номера й отримання 6-значного коду на екрані відображатиметься QR-код, який потрібно буде відсканувати за допомогою програми камери на телефоні”.

При цьому поки що компанія не позбувається SMS-повідомлень повністю й іноді використовуватиме повідомлення для підтвердження особи. Однак для входу в систему користувачам доведеться сканувати QR-коди (якщо вони не використовують ключі безпеки, токени та інші рішення).

«Коди в SMS-повідомленнях є джерелом підвищеного ризику для користувачів, і ми раді представити новий інноваційний підхід, що дає змогу скоротити поверхню атак для зловмисників і убезпечити користувачів від шкідливої активності», – заявив Річендрафер.

У компанії обіцяють, що незабаром розкажуть про зміни більш детально. Поки що в компанії не називають конкретних дат впровадження змін для власників облікових записів Google і користувачів Gmail.