使用 SMS 簡訊驗證碼 來進行身分驗證並非理想的安全措施早已不是秘密。就如同科技產業正在逐步從傳統密碼轉向更安全的生物辨識 Passkeys,過去幾年來,驗證碼應用程式(Authenticator Apps),甚至無需應用程式的雙重驗證(2FA)方式,已逐漸成為主流。然而相較於完全沒有身分驗證機制,SMS 確實仍然是一個不錯的選擇。
據《Forbes》引述 Google 內部人士報導,Gmail 現在準備淘汰 SMS 簡訊驗證碼,並改用 QR 碼 來提升安全性。
Gmail 發言人 Ross Richendrfer 指稱,就像我們希望透過 Passkeys 擺脫傳統密碼一樣,我們也希望停止使用 SMS 簡訊來進行身分驗證。Google 計劃全面淘汰 SMS 驗證碼,改以 QR 碼取而代之,以減少全球猖獗的 SMS 濫用問題。
目前 Google 使用簡訊驗證碼的二大用途在於:一是安全驗證,以確保用戶與先前登入的使用者相同;再者是防止濫用,防止詐騙者濫用 Google 服務,例如大量創建 Gmail 帳號來發送垃圾郵件或散播惡意軟體。
只不過 Google 內部專家 Richendrfer 和 Kimberly Samra 都表示,簡訊驗證碼仍存在許多安全風險,包括:
- 容易被釣魚攻擊:駭客可以透過社交工程手法,誘騙用戶提供驗證碼。
- 設備存取問題:用戶可能無法隨時存取收到驗證碼的裝置,影響使用便利性。
依賴電信業者的安全機制:如果駭客能夠輕易說服電信業者竊取用戶的電話號碼(例如 SIM 交換攻擊),那麼 SMS 驗證碼的安全性將蕩然無存。
Richendrfer 和 Samra 解釋,詐騙者會誘使網路服務提供商向他們控制的電話號碼發送大量 SMS 訊息,並透過這些簡訊的傳送獲取報酬。這種手法也被稱為人為流量膨脹(Artificial Traffic Inflation)或通訊詐欺(Toll Fraud),但本質上運作方式相同。
Richendrfer 表示,未來幾個月內 Google 將重新設計手機號碼驗證機制。具體來說,用戶不再輸入手機號碼並接收 6 位數驗證碼,而是會看到一個 QR 碼,使用手機相機掃描即可完成驗證。雖然 QR 碼並不是最受歡迎的技術(過去不少用戶曾對其表達不滿),但 Google 認為這將是一個重大安全進展,能有效減少與 SMS 相關的安全風險。
Google 認為,從驗證碼轉向使用 QR code 有兩大好處:降低釣魚攻擊風險、減少對電信業者的依賴。
但何時會做出這項轉變目前 Google 還未有具體時間表,不過 Richendrfer 表示,簡訊驗證碼對用戶而言是一個高風險因素,我們很高興能夠推出創新的驗證方式,減少攻擊者的可利用範圍,讓用戶更安全。
雖然 Google 尚未公布確切的實施時間,但這項安全升級無疑是一項迫切需要的變革,預計會在 Gmail 和 Google 帳號安全機制中逐步推行。
(首圖來源:科技新報)
線