Ненавидите QR-коды? Google заставит вас отсканировать один из них, когда вы войдете в систему

Google отказывается от двухфакторной аутентификации по SMS в пользу QR-кодов. Новый метод 2FA обеспечит повышенную защиту от фишинга и других распространенных угроз, но он может быть менее удобным, чем SMS-верификация, в зависимости от реализации Google.

Большинство крупных веб-сайтов используют двухфакторную аутентификацию (2FA), чтобы предотвратить перехват взломанных учетных записей хакерами. Идея довольно проста: хакер, который украдет ваше имя пользователя и пароль, будет редко, если вообще когда-либо, иметь прямой доступ к вашему смартфону или почтовому ящику. Таким образом, вместо того, чтобы полагаться на имена пользователей и пароли в качестве единственной формы подтверждения входа в систему, веб-сайты будут отправлять одноразовые коды по SMS или электронной почте, чтобы убедиться, что попытки входа в систему являются законными.

Двухфакторная аутентификация значительно повышает безопасность учетной записи. К сожалению, это также значительно замедляет процесс входа в систему. Такие сайты, как Google, знают, что 2FA может раздражать, поэтому они часто выбирают самую безболезненную форму аутентификации — скромный одноразовый код подтверждения по SMS.

Мы часто называем SMS методом 2FA «абсолютного минимума». Это лучше, чем ничего, но это далеко не идеально. Давайте представим, что хакер украл логин и пароль от банковского счета бабушки. Хакер может обойти SMS-верификацию, позвонив бабушке, выдав себя за Google и прямо попросив ее дать код. Хотя SMS-аутентификация лучше, чем ничего, она не может предотвратить социальные манипуляции. В некоторых случаях это может даже обеспечить видимость подлинности для мошенников — если хакер запускает SMS-сообщение 2FA перед тем, как позвонить бабушке, он может использовать его в качестве предлога, чтобы сказать: «Мы обнаружили, что ваша учетная запись подвергается атаке, дайте нам этот код, чтобы мы могли это исправить».

В 2021 году SMS-аутентификация стала стандартным требованием входа в систему для всех учетных записей Google. Теперь, имея за плечами четырехлетний опыт работы, Google сообщает Forbes, что хочет внедрить более надежную систему 2FA. В качестве причины этого изменения компания указывает на фишинг, а также на недостатки безопасности на стороне оператора.

Выбранная замена SMS-аутентификации — QR-коды — должна повысить безопасность аккаунта для всех пользователей Google. Хакерам может быть трудно убедить бабушку в том, что она должна отсканировать случайный QR-код, и поскольку эта система QR-кодов не полагается на SMS, она не может быть скомпрометирована печально известными дерьмовыми методами безопасности операторов.

«В течение следующих нескольких месяцев мы будем переосмысливать то, как мы проверяем телефонные номера. В частности, вместо ввода своего номера и получения 6-значного кода вы увидите QR-код, который вам нужно отсканировать с помощью приложения камеры на вашем телефоне».

Что касается того, как Google будет реализовывать свой новый метод 2FA, компания говорит, что «вы увидите QR-код, отображаемый [когда вы пытаетесь войти в свою учетную запись Google], который вам нужно отсканировать с помощью приложения камеры на вашем телефоне». Это звучит довольно просто, но мне остается только удивляться более мелким деталям. Например, эта система предполагает, что вы уже вошли в Google на своем телефоне — что, если это не так? Как Google будет обрабатывать 2FA для входа в систему с мобильного телефона?

Кроме того, QR-коды не защищены от фишинга. Я предполагаю, что эти QR-коды являются просто веб-ссылками. Они, вероятно, перенаправят вас на веб-страницу, которая говорит: «Такое-то и такое-то устройство пытается войти в вашу учетную запись, вы хотите предоставить ему доступ?» Это лучше, чем шестизначный SMS-код, но вы можете полностью убедить бабушку нажать большую синюю кнопку «Подтвердить», если действительно попытаетесь. (Чтобы внести ясность, я делаю предположение о том, как будет работать QR-верификация Google. Возможно, я сильно ошибаюсь.)

Мы отчаянно нуждаемся в более безопасной, сложной и удобной методологии 2FA. Аппаратные ключи безопасности превосходны, но они не имеют массовой привлекательности и могут быть очень неумолимыми. Ключи доступа устраняют необходимость в двухфакторной аутентификации в некоторых сценариях, но они не делают 2FA устаревшей, и многие веб-сайты, использующие ключи доступа, по-прежнему требуют 2FA.

В любом случае, вы знаете эти странные рестораны, которые используют QR-коды вместо меню? Вход в свою учетную запись Google будет ощущаться немного похоже на это. Меня не особенно радует перспектива вытащить свой телефон и навести его на экран, когда я спешу на звонок Google Meet, и в целом я не фанат QR-кодов в первую очередь, но я согласен с решением Google принять более устойчивый метод 2FA.

Источник: Google через Forbes