谷歌一直以來透過文字簡訊SMS將一組驗證碼發送到用戶手機來進行雙重身份驗證,商業雜誌《福布斯》(Forbes)披露,谷歌有意終止此舉,希望解決潛在保安問題。
Gmail部門發言人向《福布斯》表示,此舉「旨在減少全球猖獗的SMS濫用造成的影響」,目前計劃改用二維碼取代。
谷歌計劃,用戶未來不用輸入手機號碼來接收一封內含驗證碼的文字簡訊,而是利用手機掃描谷歌生成的二維碼進行驗證。此舉依賴於智能手機,但起碼不必仰賴安全性鬆懈的簡訊系統。
利用SMS雙重驗證總比沒有好,但此舉未如其他方法般安全可靠。犯罪份子只要說服用戶的電訊業者將用戶號碼移植到新手機上,就能攔截受害人的訊息。谷歌表示,透過誘騙電訊業者將多封SMS簡訊發送至犯罪份子所控制的號碼,這種過程叫做「流量灌水」(traffic pumping),犯罪份子甚至從每封簡訊中賺錢。
谷歌需要發送大量SMS簡訊,既用於驗證用戶,也用於確保人們不會建立大量帳號來發送垃圾訊息,不難看出SMS可能成為一個問題。
谷歌和其他科技公司致力確保驗證可靠性,最終目標是利用密鑰,完全棄用密碼,但採用進度緩慢,因此轉而就更為人熟悉的的程序提高安全性。本報訊
