Gmail: Έρχεται το τέλος των sms αυθεντικοποίησης – Με τι θα αντικατασταθεί

Η Google σκοπεύει να τερματίσει την αποστολή sms για την επιβεβαίωση του χρήστη στο Gmail μέσω της επαλήθευσης δύο παραγόντων (2FA), γνωστής ως two factor authentication. Αντί αυτού του θα χρησιμοποιεί QR Codes, δηλαδή δισδιάστατους γραμμωτούς κώδικες.

Σκοπός αυτής της αλλαγής είναι «να μειωθεί η ανεξέλεγκτη κατάχρηση των sms που γίνεται σε παγκόσμια κλίμακα», σχολίασε ο Ρος Ρίτσεντρφερ, εκπρόσωπος της Gmail στο αμερικανικό περιοδικό Forbes. Χαρακτηριστικό παράδειγμα της κατάχρησης των sms είναι όταν εγκληματίες δημιουργούν χιλιάδες λογαριασμούς στο Gmail για να στείλουν μηνύματα spam και κακόβουλα λογισμικά (malware).

Η επαλήθευση δύο παραγόντων (2FA) είναι ένα πρόσθετο επίπεδο ασφάλειας που χρησιμοποιείται για να διασφαλιστεί ότι οι λογαριασμοί στο διαδίκτυο είναι ασφαλείς. Απαιτεί δύο διαφορετικούς τρόπους ταυτοποίησης για την πρόσβαση σε έναν λογαριασμό. Συνήθως, ο ένας τρόπος είναι ο κωδικός πρόσβασης και ο άλλος ένας κωδικός που αποστέλλεται στο τηλέφωνο ή το email. Η επαλήθευση δύο παραγόντων καθιστά πολύ πιο δύσκολο για τους χάκερ να αποκτήσουν πρόσβαση σε λογαριασμούς, ακόμα κι αν κλέψουν τον κωδικό πρόσβασης καθώς ο πρόσθετος κωδικός OTP αποστέλλεται στο τηλέφωνο ή το email και ισχύει μόνον για λίγα λεπτά. Όμως, η κατάχρηση της τεχνολογίας εξελίσσεται, όπως και η εγκληματική δραστηριότητα μέσω του Διαδικτύου.

Η αποστολή κωδικών επαλήθευσης παρουσιάζει διάφορες προκλήσεις, σημειώνει η Κίμπερλι Σάρμα, στέλεχος της Google. Μπορεί ένας χρήστης να παραπλανηθεί και να αποκαλύψει τον κωδικό ή μπορεί να μην έχει πρόσβαση εκείνη τη στιγμή στη συσκευή όπου στάλθηκε ο OTP. Συν τοις άλλοις, οι απατεώνες συνήθως δημιουργούν ψεύτικες ιστοσελίδες που μοιάζουν με τη σελίδα σύνδεσης του Gmail. Στέλνουν email ή μηνύματα που φαίνονται να προέρχονται από την Google, ζητώντας από τους χρήστες να συνδεθούν στον λογαριασμό τους. Όταν ο χρήστης εισάγει τα διαπιστευτήριά του και τον κωδικό 2FA, οι απατεώνες τα καταγράφουν και αποκτούν πρόσβαση στον λογαριασμό. Η μέθοδος αυτή αποκαλείται «phishing».

Επίσης, οι απατεώνες πείθουν τους παρόχους κινητής τηλεφωνίας να μεταφέρουν τον αριθμό τηλεφώνου ενός θύματος στην κάρτα SIM τους. Αυτό τους επιτρέπει να λαμβάνουν τους κωδικούς 2FA που αποστέλλονται μέσω SMS. Λέγεται «SIM swapping». Απατεώνες δημιουργούν και κακόβουλες εφαρμογές που μιμούνται εφαρμογές ελέγχου ταυτότητας. Η Google έχει μελετήσει πως με τους κωδικούς QR μειώνονται τα περιθώρια ευελιξίας των απατεώνων και περιορίζεται η έκθεση των χρηστών σε κακόβουλα λογισμικά. Ουσιαστικά περιορίζεται ο κίνδυνος υποκλοπής στοιχείων ενώ η χρήση τους απλοποιεί τη διαδικασία σύνδεσης, ειδικά σε νέες συσκευές. Η Google έχει ξεκινήσει να εφαρμόζει σταδιακά τη χρήση κωδικών QR για την επαλήθευση δύο παραγόντων, αν και δεν έχει δοθεί συγκεκριμένη ημερομηνία για την έναρξη της νέας πολιτικής ασφάλειας.