3 Minutės
Google testuoja QR kodo patvirtinimą kaip saugesnę alternatyvą SMS kodams
„Google“ bando įdiegti QR kodu paremtą patvirtinimo sistemą, kuri galėtų sumažinti priklausomybę nuo tradicinių SMS kodų autentifikacijai. Tai buvo paskelbta pranešimuose po „Google“ 2025 m. pristatymų ir dabar pereina į beta testavimą; nauja patvirtinimo eiga siekia padaryti trumpąsias žinutes ir prisijungimo procesus saugesnius bei mažiau pažeidžiamus perėmimams, SIM keitimui (SIM-swap) ir kitoms telekomunikacijų atakoms.
Kodėl „Google“ pereina nuo SMS
SMS pagrįsta dviejų veiksnių autentifikacija (2FA) ir patvirtinimas ilgą laiką buvo populiarūs dėl paprastumo ir ryšio operatorių palaikymo. Tačiau kibernetinio saugumo tyrėjai ir pramonės lyderiai nuolat atkreipia dėmesį į SMS trūkumus: žinutės gali būti perimtos, paskyros – užgrobtos per SIM pakeitimą, o užpuolikai gali išnaudoti operatorių sistemas apgaulės schemoms. Didėjant phishingui ir paskyrų užgrobimo atvejams, „Google“ eksperimentas atspindi platesnį pramonės siekį pereiti prie tvirtesnių autentifikavimo alternatyvų.
Kaip veikia QR kodo patvirtinimas
QR patvirtinimo metodas ekrane rodo nuskaityti tinkamą kodą – kai vartotojas nuskaito jį išmaniojo telefono kamera, įrenginys ir tapatybė yra kriptografiškai patvirtinami, todėl nebereikia gauti ar rankiniu būdu įvesti teksto kodo. Šis požiūris susieja autentifikaciją su fiziniu įrenginiu ir saugia sesija, todėl užpuolikams tampa sunkiau perimti kodą ar nukreipti žinutes per operatoriaus lygmens išnaudojimus.
Produkto funkcijos ir diegimas
- Beta prieinamumas: „Google“ pradėjo ribotą diegimą, kad išbandytų eigą ir surinktų telemetriją bei naudotojo sąsajos atsiliepimus.
- Įrenginio susiejimas: QR nuskaitymai gali susieti naršyklę arba žiniatinklio sesiją su patvirtintu mobiliuoju įrenginiu.
- Sumažinta priklausomybė nuo operatorių: modelis vengia išimtinai pasikliauti telekomunikacijų pateikiamu SMS pristatymu.
- Tarpinis suderinamumas: veikia kartu su esamomis autentifikavimo galimybėmis, tokiomis kaip passkeys ir programėlės autentifikatoriai.
Palyginimai: QR patvirtinimas prieš SMS kodus ir passkeys
Kai palyginama su SMS kodais, QR patvirtinimas žymiai sumažina riziką SIM pakeitimo ir žinučių perėmimo atakoms. Lyginant su passkeys ir specializuotomis autentifikavimo programėlėmis, QR kodai suteikia labiau vizualų ir paprastesnį sprendimą, kuriam nereikia iš anksto įdiegti autentifikatoriaus kiekviename įrenginyje—nors passkeys vis tiek siūlo tvirtą, phishingui atsparią kriptografinę prisijungimo metodiką. Daugybei vartotojų ir įmonių QR patvirtinimas reiškia kompromisą: geresnė sauga nei SMS ir mažesnė kliūtis nei kai kurie pažangesni kriptografiniai sprendimai.
Privalumai ir saugumo nauda
Pagrindiniai privalumai apima:
- Gerinta atsparumas phishingui ir paskyrų užgrobimo bandymams.
- Mažesnė priklausomybė nuo operatorių, kas sumažina atakų paviršių telekomunikacijų apgaulėms.
- Supaprastinta naudotojo patirtis – nuskaitykite ir patvirtinkite vietoj kodo kopijavimo.
- Suderinamumas su esamomis „Google“ paskyros saugumo ekosistemomis, tokiomis kaip passkeys.
Pritaikymai ir praktinis įsisavinimas
QR patvirtinimas tinka situacijoms, kai vartotojai prisijungia iš bendrinamų kompiuterių, viešųjų terminalų ar naujų įrenginių. Įmonės gali pritaikyti šią eigą, norėdamos apsaugoti vidinius įrankius, nesiverždamos darbuotojams naudoti SMS. Vartotojų paslaugos – bankininkystė, e. prekyba ir įrašų siuntimas – taip pat gali pasinaudoti ir pasiūlyti QR parinktis kaip daugelio faktorių autentifikacijos strategijos dalį.
Rinkos aktualumas ir pramonės tendencija
„Google“ bandymai pabrėžia platesnę rinkos tendenciją atsiriboti nuo SMS kaip autentifikavimo stuburo. Didžiosios technologijų kompanijos ir saugumo standartų institucijos rekomenduoja passkeys, FIDO2 ir platformų palaikomus autentifikatorius. QR patvirtinimas prideda dar vieną praktišką sluoksnį šiai migracijai, siūlydamas draugišką vartotojui kelią organizacijoms ir vartotojams pagerinti saugų pranešimų siuntimą ir prisijungimo srautus be didelių infrastruktūros pakeitimų.
Kol „Google“ tobulins beta versiją, galima tikėtis gilesnės integracijos su „Google“ paskyromis, aiškesnės kūrėjų dokumentacijos QR patvirtinimo įgyvendinimui ir nuolatinio dėmesio phishingui atspariai autentifikacijai tiek žiniatinklyje, tiek mobiliose platformose.
Šaltinis: wccftech
Komentarai