自从 Google 在其生态系统中启用 Gmail 和其他绑定身份验证协议的两步验证以来,短信代码一直是中流砥柱。但根据安全分析,短信代码是出了名的不安全,特别是当通信通道未加密时。这种情况终于要改变了,因为 Gmail 身份验证的 SMS 代码很快就会被 QR 代码取代。
就帐户安全而言,短信并不是在手机上接收敏感验证码或一次性密码 (OTP) 的最可靠选择。这就是为什么在过去几年中,谷歌稳步开发密码替代品,例如设备上的谷歌提示、 身份验证应用程序、硬件安全密钥和Passkey 系统,以最大限度地降低短信网络钓鱼等风险。
现在,Google 计划完全淘汰 Gmail(以及 Google 帐户)身份验证中基于短信的验证。 “就像我们想使用万能钥匙之类的东西来转移过去的密码一样。我们希望不再发送短信进行身份验证,” 《福布斯》援引 Gmail 发言人 Ross Richendrfer 的话说。
为什么短信不安全?
通过短信获取代码很方便,但不仅仅是短信途径和复杂的网络钓鱼技术使短信成为不安全的途径。 SIM 交换、社会工程和冒充攻击也是相当知名的技术,当这些计划被执行时,合法所有者永远不会收到他们的短信验证码。
这使得他们无法使用自己的 Gmail 帐户以及与之相关的所有核心服务,其中还包括需要 Google 帐户登录的第三方服务。此外,在用户无法访问蜂窝网络的情况下,通过短信获取登录代码成为另一个挑战。
二维码有何帮助?
在接下来的几个月里,谷歌计划更换六位数的短信代码,并将显示一个二维码,用户只需使用手机上的相机应用程序扫描即可。该公司尚未分享有关这些计划的许多技术细节,但谷歌似乎可能会创建一个协议,要求与运行注册电话号码的经过验证的手机进行安全的二维码握手。
值得一提的是,QR 码本质上并不是万无一失的。二维码诈骗也相当常见。但是,需要本地解码密钥或仅在两个受信任方之间的安全公钥的 QR 扫描系统要安全得多、速度更快。
我们最近报道了一项名为自认证双调制 QR (SDMQR) 代码的创新,该代码已获得政府资助,可能很快会在各种商业和工业应用中取代条形码。
SDMQR 代码由罗切斯特大学的专家开发,依赖于只能使用数字私钥解锁的加密签名系统。这些专用的 QR 码不需要任何特殊的扫描应用程序,并且可以在世界各地的移动设备上以操作系统级别实现。