Google подтвердила переход от SMS-аутентификации к более безопасным методам для входа в почту Gmail. Вместо ввода полученных шестизначных кодов пользователи будут сканировать QR-код приложением камеры смартфона. Это решение давно назревало: ещё в 2016 году NIST (Национальный институт стандартов и технологий США) рекомендовал отказаться от SMS для многофакторной аутентификации.
Google начала использовать СМС-ки для отправки одноразовых паролей в Gmail ещё в 2011 году. К 2018 году менее 10% пользователей применяли этот метод, и в 2021 году Google ввела обязательную «многофакторку» для большинства сервисов. Верификация по SMS уязвима для перехвата кодов злоумышленниками, например, с использованием уязвимостей в системе SS7 — наборе телефонных протоколов, отвечающих за маршрутизацию звонков и SMS в глобальных телекоммуникационных сетях. Также распространены случаи подмены SIM-карт.
Кража телефона также ставит под угрозу аккаунты Google, поскольку SMS-код может отображаться на экране блокировки. Проблемой является и мошенничество с «накачкой трафика»: злоумышленники заставляют сайты отправлять ненужные SMS с одноразовыми паролями. Например, ранее Илон Маск утверждал, что Twitter тратил на отправку подобных сообщений до $60 млн ежегодно.
«В ближайшие месяцы мы переосмыслим процесс верификации телефонных номеров», — заявил пресс-секретарь Google Росс Ричендрфер. SMS не исчезнет полностью, но для входа будет использоваться сканирование QR-кодов (при отсутствии аппаратных ключей безопасности). «SMS-коды — источник повышенного риска», — подчеркнул Ричендрфер.
