ADVERTISEMENT
長期以來,基於簡訊的驗證碼存在嚴重的安全漏洞。典型的惡意利用方式包括SIM卡換卡劫持或偽基地台劫持,這些手法都能在控制特定手機號碼後,利用接收到的驗證碼登入帳戶。
目前已有部分平台逐步棄用簡訊驗證碼,轉而採用更安全的驗證方式,例如通行密鑰(Passkey)、TOTP(基於時間的一次性驗證碼)以及MFA(多因素認證)等。
現在,Google也準備採用MFA驗證方式,取代Gmail信箱中的簡訊驗證碼。未來Gmail登入時將不再支援簡訊驗證,使用者需透過Google應用程式掃碼進行認證。
ADVERTISEMENT
Google官方發言人表示:「我們不希望再透過發送簡訊進行身份驗證,就像我們希望用通行密鑰取代密碼一樣。簡訊驗證碼存在許多安全問題,可能被網路釣魚攻擊竊取;人們不總能使用接收驗證碼的設備;而且簡訊驗證碼依賴電信商的安全措施。
如果詐騙者能輕易透過電信商取得某人的電話號碼(例如先前SEC帳號被盜的案例),簡訊的安全性就蕩然無存。使用二維碼掃碼認證能減少全球簡訊濫用的猖獗影響。」
ADVERTISEMENT
關於採用二維碼掃碼認證的優勢,Google指出:「這能降低Gmail使用者被誘騙向駭客分享安全碼的釣魚風險。畢竟驗證時使用者必須主動掃碼,根本沒有數位驗證碼可供分享。」
Google還強調,簡訊驗證碼是使用者面臨的高風險來源之一,Google很高興推出這種創新方式來縮小攻擊範圍,讓使用者免受惡意活動侵害。
ADVERTISEMENT