Google Xử lý các mã SMS để xác thực Gmail

Người dùng Gmail sẽ sớm thấy một sự thay đổi lớn trong cách bảo mật tài khoản của họ và cách xử lý đăng nhập xác thực hai yếu tố của họ. Google đang có kế hoạch ngừng gửi mã 2FA qua tin nhắn văn bản để xác minh tài khoản Gmail có lợi cho các công cụ bảo mật như mật mã và mã QR mà người dùng sẽ quét với thiết bị của họ.

Google đang phát hiện ra rằng việc sử dụng tin nhắn SMS cho 2FA đã trở nên ngày càng có vấn đề khi những kẻ lừa đảo và kẻ lừa đảo sử dụng công nghệ để giả mạo tài khoản người dùng. Tin tức được báo cáo lần đầu tiên bởi Forbes.

Ross Richendrfer, Trưởng phòng Bảo mật và Quan hệ công chúng tại Google, đã xác nhận báo cáo cho CNET.

“Giống như chúng tôi muốn di chuyển mật khẩu trong quá khứ với việc sử dụng những thứ như Passkeys, chúng tôi muốn tránh xa việc gửi tin nhắn SMS để xác thực”, ông nói.

Theo Richendrfer, trong vài tháng tới, Google sẽ “tái hiện” cách công ty xác minh số điện thoại. Gmail và các dịch vụ khác của Google sẽ chuyển từ việc nhắn tin mã sáu chữ số qua SMS sang gửi mã QR mà người dùng sẽ xác minh.

Mục tiêu sẽ là loại bỏ các trường hợp người dùng chia sẻ mã SMS của họ với một kẻ lừa đảo đã lừa họ và loại bỏ các nhà mạng điện thoại như một điểm vi phạm có thể. Một số kẻ lừa đảo, Google nói, sử dụng tin nhắn SMS để lừa đảo có tên là “Bơm lưu lượng truy cập” cho phép họ được trả tiền cho các tin nhắn SMS.

Richendrfer cho biết sử dụng mã QR sẽ làm giảm rủi ro lừa đảo, cắt giảm lạm dụng SMS toàn cầu và khiến người dùng ít phụ thuộc vào người vận chuyển điện thoại của họ.

“Mã SMS là một nguồn rủi ro cao cho người dùng – chúng tôi vui mừng giới thiệu một cách tiếp cận mới sáng tạo để thu hẹp diện tích bề mặt cho những kẻ tấn công và giữ cho người dùng an toàn hơn trước hoạt động độc hại”, ông nói.

Gmail cũng sử dụng các phương thức 2FA khác như gửi người dùng đến ứng dụng Gmail để xác minh đăng nhập cũng như phần mềm bảo mật của riêng mình, Google Authenticator.

Một động thái cần thiết

Google không phải là công ty duy nhất chuyển từ SMS cho 2FA. Năm ngoái, Evernote đã loại bỏ SMS khỏi dịch vụ của mình và tín hiệu ứng dụng nhắn tin an toàn đã xóa nó vào năm 2022. X, Apple và Microsoft cũng đã chuyển người dùng khỏi SMS. Google đã báo hiệu sự chuyển đổi từ SMS kể từ đầu năm 2017.

Các chuyên gia nói rằng động thái này không bất ngờ và có lẽ cần thiết cho Google.

“Google tránh xa các đăng nhập dựa trên SMS là một bước thông minh để bảo mật-và trong khi ban đầu nó có vẻ bất tiện, nhưng đó là một bước cần thiết để bảo vệ mạnh mẽ hơn, Amy Bunn, một người ủng hộ an toàn trực tuyến tại McAfee, nói với CNET.

“Cybercrooks có thể chiếm quyền điều khiển số điện thoại thông qua quá trình trao đổi SIM, đánh chặn mã bảo mật và thậm chí khóa mọi người ra khỏi tài khoản của họ,” Bunn nói. “Đó là lý do tại sao nhiều công ty hơn, bao gồm cả Google, đang chuyển sang các phương thức đăng nhập an toàn hơn như passkey và ứng dụng xác thực.”

Rob Allen, giám đốc sản phẩm tại công ty bảo mật đe dọa cho biết rằng SMS cho xác thực hai yếu tố, “có lẽ là 2FA (quy trình) ít được ưu tiên nhất. Mặc dù nó chắc chắn tốt hơn là không có 2FA, nó chắc chắn là ít an toàn nhất. ”

Allen nói rằng sử dụng ứng dụng Authenticator trên điện thoại di động là một cách an toàn nhiều hơn nhiều để sử dụng xác thực hai yếu tố.

“Thật tốt khi thấy các công ty hướng tới một môi trường an toàn hơn”, ông nói thêm.