Компания Google объявила о планах по модернизации системы многофакторной аутентификации (МФА), постепенно отказываясь от использования SMS-кодов в пользу более современных и защищенных методов верификации пользователей. Это решение продиктовано растущими рисками компрометации SMS-каналов и общими тенденциями в области информационной безопасности.
История и причины отказа от SMS-аутентификации
Система двухфакторной аутентификации через SMS была внедрена в Gmail еще в 2011 году и стала обязательной для большинства сервисов Google в 2021 году. Однако за прошедшее десятилетие выявились существенные уязвимости этого метода. Национальный институт стандартов и технологий США (NIST) еще в 2016 году указывал на потенциальные риски SMS-аутентификации, а в 2023 году Агентство по кибербезопасности и защите инфраструктуры (CISA) официально рекомендовало отказаться от этого метода.
Основные угрозы SMS-аутентификации
Специалисты по информационной безопасности выделяют несколько ключевых уязвимостей SMS-аутентификации:
- SIM-своппинг — перехват управления номером телефона жертвы
- Уязвимости протокола SS7 — позволяют перехватывать SMS-сообщения
- Фишинговые атаки — социальная инженерия для получения кодов подтверждения
Новый подход к безопасности аккаунтов
По словам представителя Google по вопросам конфиденциальности Росса Ричендрафера, компания внедряет инновационный метод верификации с использованием QR-кодов. Вместо ввода телефонного номера и получения 6-значного кода пользователям будет предложено сканировать QR-код через приложение камеры смартфона. Это существенно повысит безопасность процесса аутентификации и снизит риски компрометации учетных данных.
Переходный период и альтернативные методы
Google планирует осуществлять переход постепенно, сохраняя временную поддержку SMS-верификации в отдельных случаях. Параллельно пользователям доступны альтернативные методы защиты аккаунтов, включая аппаратные ключи безопасности и программные токены. Точные сроки полного отказа от SMS-аутентификации компания обещает анонсировать в ближайшее время.
Эксперты в области кибербезопасности положительно оценивают инициативу Google, отмечая, что переход на современные методы аутентификации значительно повысит защищенность пользовательских аккаунтов от несанкционированного доступа. Рекомендуется уже сейчас начать использование альтернативных методов двухфакторной аутентификации, не дожидаясь полного отказа от SMS-верификации.
