基于短信的验证码长期以来都存在严重的安全缺陷,典型的恶意利用方式就包括 SIM 换卡劫持或者伪基站劫持,这些方式都可以在控制特定手机号码后利用接收的验证码登录账户。
目前已经有部分平台正在逐步弃用短信验证码,使用更安全的验证方式例如通行密钥 (Passkey)、TOTP (基于时间的一次性验证码) 和 MFA (多因素认证) 等。
现在谷歌也准备采用 MFA 验证方式用来替代 Gmail 邮箱中的短信验证码,后续在 Gmail 登录时不再支持使用短信验证,用户需使用谷歌应用扫码进行认证。
谷歌官方发言人表示:
我们不希望再通过发送短信进行身份验证,就像我们希望使用通行密钥取代密码那样。短信验证码存在诸多安全问题,短信验证码可能会被网络钓鱼,人们并不总是能够访问接收验证码的设备,而短信验证码依赖于用户运营商的安全措施。
如果诈骗者可以轻易通过运营商获取某人的电话号码时 (例如此前 SEC 账号被盗的案例),短信的安全性就不存在了,使用二维码进行扫码认证可以减少全球短信滥用猖獗的影响。
至于使用二维码扫码认证的好处,谷歌表示:这可以降低 Gmail 用户被诱骗向黑客分享安全代码的钓鱼风险,毕竟验证时用户必须主动扫码,因此根本没有数字验证码可以分享。
谷歌还表示短信验证码时用户面临的高风险来源,谷歌很高兴推出一种创新方法以缩小攻击范围,让用户免受恶意活动的侵害。