A Google új, innovatív megoldásra váltott, ami felülmúlja az SMS-alapú kétfaktoros hitelesítést.

A nyugdíjasok számára kötelező bejelentéseket tenniük, és akik ezt elmulasztják, pénzügyi hátrányba kerülhetnek.

Az SMS azonban vesztett a népszerűségből a vele járó bizonytalanságok miatt. Például a hozzáértő bűnözők és állami titkosszolgálatok az SS7 segítségével átirányíthatják a jelszavas szövegeket, így lehetővé téve a fiókok átvételét. (A Signaling System 7 vagy SS7 esetében egy nemzetközi távközlési protokoll szabványon alapuló rendszer szabályozza a telefonhívások átirányítását és számlázását, és lehetővé teszi a fejlett hívási funkciókat és az SMS-szolgáltatást.) De a hackerek SIM-csere segítségével is átvehetik az áldozat mobiltelefonszámát, hogy ellopják az egyszeri sms-kódokat - írja a The Register.

Már 2016-ban az amerikai szabványügyi hivatal (NIST) figyelmeztetett arra, hogy a többfaktoros hitelesítés keretében a hagyományos szöveges üzenetküldés használatát érdemes felfüggeszteni. Ez a javaslat rendkívül indokolt, hiszen ha egy tolvaj sikeresen megszerzi valakinek a telefonját, lényegében már vége is a biztonságnak. A jelszavak ugyanis könnyen visszaállíthatók a Google-fiókban, mivel a tulajdonos beállításaitól függően az SMS-token akár a telefon kezdőképernyőjén is látható, anélkül, hogy a készüléket fel kéne oldani.

Másodszor: a SIM-kártyák cseréjének egyre növekvő elterjedése miatt az SMS-alapú hitelesítés hatékonysága erősen megkérdőjelezhetővé vált. Ahogy azt már számos alkalommal tapasztalhattuk, ha egy ügyes social engineer sikeresen meggyőzi a szolgáltatót arról, hogy az ügyfélnek új SIM-kártyája van, akkor a biztonsági védelem szinte teljesen megszűnik. Az amerikai kiberbiztonsági ügynökség, a CISA 2024-ben hivatalosan is azt javasolta, hogy a felhasználók váltsanak át biztonságosabb hitelesítési módszerekre az SMS helyett.

A Google észlelte a "forgalomszivattyúzási" rendszerek egyre növekvő elterjedését, ahol bűnözők manipulálják a weboldalakat, hogy felesleges, egyszer használatos jelszavakat tartalmazó SMS-üzeneteket küldjenek. Elon Musk, amikor átvette a Twitter irányítását, kijelentette, hogy ezek a csalások évente körülbelül 60 millió dolláros veszteséget okoztak a mikroblog-platform számára, főként az sms-forgalom díjainak következtében.

Ezek a kihívások arra késztették a Google-t, hogy megszüntesse az egyszer használatos jelszavak SMS-en keresztüli küldését.

"A közelgő hónapok során újraértékeljük a telefonszámok ellenőrzésének módját. Pontosabban: ahelyett, hogy megadnánk a telefonszámunkat és egy hatjegyű kódot kapnánk, egy QR-kódot fogunk bemutatni, amelyet a telefonunk kamerájával kell beolvasni" - tájékoztatta a The Registert Ross Richendrfer, a Google adatvédelmi szóvivője.

A vállalat nem kívánja teljesen elhagyni az SMS-üzenetek használatát, mivel időnként még szüksége lehet rájuk a személyazonosság ellenőrzésére. Azonban a bejelentkező felhasználók számára a QR-kódok beolvasása fogja a fő feladatot jelenteni, különösen azok számára, akik nem rendelkeznek biztonsági kulcsokkal, tokenekkel vagy hasonló védelmi eszközökkel.

Richendrfer a The Registernek nyilatkozva kiemelte: "Az SMS-kódok használata jelentős kockázatokat hordoz a felhasználók számára, ezért örömmel jelentjük be egy új, innovatív megoldás bevezetését, amely lehetővé teszi számunkra, hogy csökkentsük a támadások kockázatát, és így nagyobb védelmet nyújtsunk a felhasználóknak a rosszindulatú tevékenységekkel szemben."