长期以来,基于简讯的验证码存在严重的安全漏洞。典型的恶意利用方式包括SIM卡换卡劫持或伪基地台劫持,这些手法都能在控制特定手机号码后,利用接收到的验证码登入帐户。
目前已有部分平台逐步弃用简讯验证码,转而採用更安全的验证方式,例如通行密钥(Passkey)、TOTP(基于时间的一次性验证码)以及MFA(多因素认证)等。
现在,Google也準备採用MFA验证方式,取代Gmail信箱中的简讯验证码。未来Gmail登入时将不再支援简讯验证,使用者需透过Google应用程式扫码进行认证。
Google官方发言人表示:「我们不希望再透过发送简讯进行身份验证,就像我们希望用通行密钥取代密码一样。简讯验证码存在许多安全问题,可能被网路钓鱼攻击窃取;人们不总能使用接收验证码的设备;而且简讯验证码依赖电信商的安全措施。
如果诈骗者能轻易透过电信商取得某人的电话号码(例如先前SEC帐号被盗的案例),简讯的安全性就蕩然无存。使用二维码扫码认证能减少全球简讯滥用的猖獗影响。」
关于採用二维码扫码认证的优势,Google指出:「这能降低Gmail使用者被诱骗向骇客分享安全码的钓鱼风险。毕竟验证时使用者必须主动扫码,根本没有数位验证码可供分享。」
Google还强调,简讯验证码是使用者面临的高风险来源之一,Google很高兴推出这种创新方式来缩小攻击範围,让使用者免受恶意活动侵害。