Google офіційно підтвердила плани відмовитися від автентифікації через SMS-повідомлення для облікових записів Gmail, повідомляє Forbes. Замість SMS-кодів компанія планує запровадити перевірку за допомогою QR-кодів, щоб зменшити вразливість системи безпеки та боротьбу з масовим зловживанням SMS-перевірками.

Представник Gmail Росс Річендфер пояснив мотивацію компанії: "Так само як ми хочемо відійти від паролів на користь passkeys, ми прагнемо відмовитися від використання SMS-повідомлень для автентифікації".

Наразі Google використовує SMS-перевірку для двох основних цілей: підтвердження особи користувача та запобігання шахрайству. SMS-коди допомагають підтвердити легітимність користувачів і запобігають зловживанням, наприклад, створенню тисяч фейкових акаунтів для спаму. Проте, за словами Річендфера та його колеги Кімберлі Самра, автентифікація через SMS має низку недоліків.

"SMS-коди можна перехопити через фішинг, і користувачі не завжди мають доступ до пристрою, на який надходить код", - пояснила Самра. Крім того, система SMS-перевірки залежить від заходів безпеки мобільних операторів. Якщо зловмисник переконає оператора передати номер телефону, всі переваги SMS-аутентифікації зникають.

Ще однією причиною відмови від SMS стала зростаюча кількість шахрайських схем, спрямованих на зловживання системою. Одна з таких схем - "traffic pumping" або "тарифне шахрайство", коли зловмисники змушують постачальників послуг відправляти велику кількість SMS-повідомлень на контрольовані ними номери, отримуючи прибуток за кожне доставлене повідомлення. "Це форма зловживання, яка підриває безпеку користувачів та інфраструктуру", - зазначив Річендфер.

Перехід на QR-коди допоможе Google підвищити безпеку Gmail і уникнути недоліків SMS-аутентифікації. QR-коди більш стійкі до фішингу та атак із заміною SIM-карток і не залежать від інфраструктури мобільних операторів.

Хоча Google ще не оголосила конкретних термінів впровадження нововведення, компанія пообіцяла надати користувачам докладні інструкції та підтримку під час переходу. Тим часом Google рекомендує користувачам використовувати більш захищені методи двоетапної перевірки, такі як автентифікаційні додатки або апаратні ключі безпеки.