Wkrótce ma zmienić się proces uwierzytelniania w Gmailu. Użytkownicy będą musieli zeskanować kod QR, a nie jak dotychczas wykorzystać kod SMS. Zmiana, nad którą pracuje Google, ma zapewnić większą ochronę przede wszystkim przed phishingiem.
Dlaczego kody SMS zostaną wycofane?
Google niedługo zrezygnuje z kodów SMS do uwierzytelniania dwuskładnikowego dla kont Gmail. Użytkownicy będą musieli zeskanować kod QR, aby skutecznie przeprowadzić cały proces. Zmiana ma przede wszystkim zmniejszyć liczbę przestępstw związanych z nadużywaniem wiadomości SMS.
O planowanym przeprojektowaniu sposobu weryfikacji informuje Forbes, powołując się na informacje uzyskane od rzecznika Gmaila, Rossa Richendrfera, który zasugerował, iż Google zamierza odejść od uwierzytelniania dzięki wiadomości SMS.
Obecnie o ile użytkownik ma włączoną weryfikację dwuetapową, otrzymuje w SMS-ach kody weryfikacyjne pozwalające na logowanie. Rozwiązanie służy dwóm celom. Po pierwsze pozwala zweryfikować, czy wciąż jest to ten sam użytkownik, co wcześniej. Po drugie umożliwia kontrolę nadużyć usług Google.
Chociaż kody SMS wykorzystywano przez lata, metoda nie była idealna. Przede wszystkim kod może stać się przedmiotem wyłudzenia, a użytkownicy mogą nie mieć dostępu do urządzenia, na które są wysyłane. Metoda polega również na praktykach bezpieczeństwa operatorów, co oznacza, iż jeżeli ktoś zdobędzie dostęp do danego numer telefonu, kody SMS tracą wartość związaną z zapewnieniem bezpieczeństwa.
Google planuje przeprojektować sposób weryfikacji w ciągu najbliższych kilku miesięcy. Po zmianie użytkownik zamiast wpisywać 6-cyfrowy kod, zobaczy wyświetlany kod QR, który musi zeskanować dzięki aplikacji aparatu w telefonie.
Kiedy jeszcze Google może wysłać wiadomość SMS?
Dla przypomnienia oprócz weryfikacji dwuetapowej Google może wysłać wiadomości SMS również w następujących przypadkach:
- reset hasła, kiedy użytkownik nie może zalogować się na swoje konto, a dodał pomocniczy numer telefonu,
- przy tworzeniu konta, o ile Google chce potwierdzić, iż użytkownik nie jest robotem,
- podczas logowania, np. z nietypowego miejsca albo nowego urządzenia,
- gdy wystąpiły zmiany związane z bezpieczeństwem na koncie.
Omawiane zmiany mają dotyczyć wyłącznie weryfikacji dwuetapowej.
Źródło: pixabay.comNa czym polega phishing?
Według Google planowana zmiana ma przede wszystkim ograniczyć ryzyko phishingu, w wyniku którego użytkownicy Gmaila zostaną oszukani i poproszeni o udostępnienie swoich kodów bezpieczeństwa innemu podmiotowi.
Phishing zaliczany jest do grupy najpopularniejszych ataków bazujących na wiadomościach SMS, ale również e-mail. Przestępcy podszywają się pod np. firmy kurierskie czy urzędy i starają się nakłonić użytkownika do wykonania konkretnego działania, jakim może być wyłudzenie danych do logowania. Niektórzy wysyłają linki do zainfekowanych stron czy załączniki. Cyberprzestępcy wykorzystują fałszywe wiadomości, które do złudzenia przypominają prawdziwe komunikaty i prężnie działają m.in. w mediach społecznościowych.
Zabezpieczenia stosowane w Gmailu mają duże znaczenie ze względu na ochronę danych osobowych czy dostępu do kont powiązanych z e-mailem, a choćby możliwą kradzieżą tożsamości.
Źródło: Forbes / Zdjęcie otwierające: unsplash.com
