Google zavádza do svojej e-mailovej služby Gmail novinku, ktorá má zvýšiť úroveň zabezpečenia. Už čoskoro bude dvojfaktorová autentifikácia prebiehať inak bež doteraz. SMSky nahradia QR kódy. Tie sú vraj účinnejšie a zabránia phishingu.
Ako informoval portál Android Authority, využívanie klasických SMS správ ide neustále do úzadia. SMS správy už dávnejšie nahradili RCS alebo rôzne četovacie aplikácie pre každodenná komunikáciu. Napriek tomu sa SMS používajú v špecifických prípadoch a viaceré spoločnosti či inštitúcie ich využívajú na dvojfaktorovú autentifikáciu (napr. banky). Výnimkou nebol ani Google, avšak teraz chce kódy zasielané cez SMSky nahradiť QR kódmi.
QR kódy namiesto SMS správ
Magazín Forbes citoval hovorcu Gmailu Rossa Richendrfera, ktorý naznačil, že Google sa chce zbaviť SMS správ na overovanie. Tie majú nahradiť QR kódy, pričom sa očakáva, že novinka zníži globálne zneužívanie SMS správ na phishingové kampane. Spoločnosť Google tiež dodala, že v priebehu niekoľkých mesiacov prehodnotí, ako overuje telefóne čísla. Novinka teda nebude zavedená náhle, ale jej nasadenie sa predpokladá niekedy v druhej polovici tohto roka.
Používatelia uvidia QR kód, ktorý musia naskenovať pomocou aplikácie fotoaparátu. Viac podrobností o tom, ako bude novinka fungovať a kedy presne sa nasadí do praxe, nateraz nie je známych. Odborníci na bezpečnosť v online svete však túto zmenu vítajú, pretože prinesie do overovania nový bezpečnostný prvok, ktorý je ťažšie zneužiteľný než v prípade klasických SMS správ.
Riziká autentifikácie cez SMSky
Dvojfaktorová autentifikácia (2FA) pomocou SMS je síce lepšia než žiadna dodatočná ochrana, ale ako sme naznačili, má svoje riziká. Tu sú hlavné:
- SIM swapping – Útočník presvedčí operátora, aby preniesol vaše telefónne číslo na jeho SIM kartu. Získa tak prístup ku všetkým SMS správam, vrátane overovacích kódov.
- SMS bez šifrovania – Mobilní operátori SMS správy nešifrujú, preto môžu byť zachytené pomocou techník ako SS7 útoky, ktoré zneužívajú slabiny telekomunikačnej infraštruktúry.
- Fyzická krádež telefónu – Ak vám niekto ukradne smartfón a má k nemu odomknutý prístup, môže čítať SMS správy s overovacími kódmi.
- Závislosť od mobilného signálu – V prípade, že sa nachádzate v oblasti so zlým pokrytím alebo v zahraničí, nemusíte dostať overovací kód včas alebo vám nepríde vôbec.
- Phishing – Útočník môže vytvoriť falošnú prihlasovaciu stránku a nalákať vás, aby ste zadali svoje prihlasovacie údaje, prípadne aj kód z SMS správy. Ak to urobíte, útočník získa okamžitý prístup k vášmu účtu.
