Новости

Google постепенно отказывается от использования SMS для многофакторной аутентификации

Google сообщили, что постепенно отказываются от использования SMS для многофакторной аутентификации (МФА). И это решение давно назрело.
SMS-аутентификация, несмотря на свою популярность, давно считается уязвимым методом. Вот основные риски:
  1. Подмена SIM-карт: Злоумышленники могут убедить оператора связи перевыпустить SIM-карту на их имя, перехватив таким образом SMS с одноразовыми кодами.
  2. Уязвимости в SS7: Протокол SS7, используемый для передачи SMS, имеет известные уязвимости, которые позволяют перехватывать сообщения.
  3. Фишинг и социальная инженерия: Пользователи могут стать жертвами мошенников, которые выманивают у них коды из SMS.
Еще в 2016 году NIST (Национальный институт стандартов и технологий США) рекомендовал отказаться от SMS для МФА, а в 2022 году CISA (Агентство кибербезопасности и инфраструктуры США) официально поддержала эту позицию. И Google, наконец, делает важный шаг в сторону более безопасных методов.
Google планирует внедрить QR-коды для верификации телефонных номеров. Это более безопасный подход, так как:
  • QR-коды не передаются по незащищенным каналам, в отличие от SMS.
  • Сканирование QR-кода требует физического доступа к устройству, что усложняет атаки удаленных злоумышленников.
  • Использование приложения камеры добавляет дополнительный уровень безопасности, так как злоумышленнику нужно будет получить доступ и к устройству, и к приложению.
Для обычных пользователей это изменение может показаться незначительным, но на самом деле оно существенно повышает уровень безопасности. Если вы до сих пор используете SMS для аутентификации, самое время задуматься о переходе на более надежные методы, такие как:

  • Аутентификаторы
  • Аппаратные ключи безопасности
  • Биометрическая аутентификация
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
2025-02-26 15:35 Прочее