O Google substituirá os códigos SMS inseguros do Gmail pela verificação de digitalização QR

gurinho

Desde que o Google habilitou a verificação em duas etapas para o Gmail e outros protocolos de autenticação vinculados em seu ecossistema, os códigos SMS têm sido um pilar. Mas, de acordo com análises de segurança, os códigos SMS são notoriamente inseguros, especialmente quando o canal de comunicação não é criptografado. Isso finalmente está prestes a mudar, já que os códigos SMS serão em breve substituídos por códigos QR para autenticação do Gmail.

Quando se trata de segurança de conta, o SMS não é a escolha mais confiável para receber códigos de verificação confidenciais ou senhas de uso único (OTP) em telefones. É por isso que, nos últimos anos, o Google tem desenvolvido constantemente alternativas de senha, como prompts do Google no dispositivo , aplicativos autenticadores , chaves de segurança de hardware e o sistema Passkey para minimizar riscos como phishing por SMS.

Agora, o Google está planejando eliminar completamente a verificação baseada em SMS para autenticação do Gmail (e com ela, da conta do Google). “Assim como queremos ultrapassar as senhas com o uso de coisas como chaves de acesso. Queremos deixar de enviar mensagens SMS para autenticação”, disse o porta-voz do Gmail, Ross Richendrfer, citado pela Forbes .

Por que o SMS não é seguro?

Tentando fazer login a partir de outro dispositivo, solicitando da conta do Google.
O Google implementou este sistema de prompt de dispositivo para verificação de conta em 2016. Google

Obter códigos por meio de uma mensagem de texto é conveniente, mas não é apenas o caminho e as técnicas elaboradas de phishing que tornam o SMS uma rota insegura. Troca de SIM, engenharia social e ataques de personificação também são técnicas bastante conhecidas e, quando esses planos são executados, o proprietário legítimo nunca recebe seus códigos de verificação por SMS.

Isso os deixa bloqueados em sua própria conta do Gmail e em todos os serviços principais vinculados a ela, que também incluem serviços de terceiros que exigem login na conta do Google. Além disso, em cenários onde os usuários não têm acesso às redes celulares, obter códigos de login via SMS torna-se outro desafio.

Como os códigos QR podem ajudar?

Nos próximos meses, o Google planeja substituir os códigos SMS de seis dígitos e mostrará um código QR que os usuários simplesmente precisam escanear com o aplicativo da câmera do telefone. A empresa não compartilhou muitos detalhes técnicos sobre esses planos, mas parece que o Google provavelmente criaria um protocolo que exigiria um handshake de código QR seguro com um telefone verificado executando o número de telefone registrado.

Amostra de um código SDMQR que aparece na tela de um iPhone.
Em vez de pontos em blocos, os códigos SDMQR usam reticências. Nadeem Sarwar / Tendências Digitais

Não vale a pena aqui que os códigos QR não sejam inerentemente infalíveis. Golpes de QR também são bastante comuns. Mas um sistema de digitalização QR que requer uma chave de decodificação local ou uma chave pública segura entre apenas duas partes confiáveis ​​é muito mais seguro e rápido.

Recentemente, abordamos uma dessas inovações chamada código QR de modulação dupla e autoautenticação (SDMQR), que já recebeu uma subvenção governamental e poderá em breve substituir os códigos de barras em diversas aplicações comerciais e industriais.

Desenvolvido por especialistas da Universidade de Rochester, um código SDMQR depende de um sistema de assinatura criptográfica que só pode ser desbloqueado com uma chave privada digital. Esses códigos QR especializados não requerem nenhum aplicativo de digitalização especial e podem ser implementados em dispositivos móveis em todo o mundo no nível do sistema operacional.