Google stopt met sms-codes voor Gmail-authenticatie

Gmail-gebruikers zullen binnenkort een grote verandering zien in de manier waarop hun accounts worden beveiligd en hoe hun tweefactorauthenticatie-logins worden afgehandeld. Google is van plan om te stoppen met het verzenden van tweefactorauthenticatiecodes via sms om Gmail-accounts te verifiëren ten gunste van beveiligingstools zoals wachtwoorden en QR-codes die gebruikers met hun apparaten zouden scannen.

Google ontdekt dat het gebruik van sms-berichten voor tweefactorauthenticatie steeds problematischer wordt, omdat oplichters en fraudeurs de technologie gebruiken om gebruikersaccounts te vervalsen. Het nieuws werd als eerste gemeld door Forbes .

Ross Richendrfer, hoofd beveiliging en privacy public relations bij Google, bevestigde het rapport aan CNET.

"Net zoals we voorbij wachtwoorden willen stappen en bijvoorbeeld over willen stappen op wachtwoordsleutels, willen we ook af van het versturen van sms-berichten voor authenticatie", aldus hij.

Volgens Richendrfer zal Google de komende maanden "heruitvinden" hoe het bedrijf telefoonnummers verifieert. Gmail en andere Google-services zullen overstappen van het versturen van zescijferige codes via sms naar het versturen van een QR-code die een gebruiker zou verifiëren.

Het doel zou zijn om gevallen te elimineren waarin gebruikers hun sms-code delen met een oplichter die hen heeft misleid, en om telefoonproviders uit te sluiten als mogelijk punt van inbreuk. Sommige oplichters, zegt Google, gebruiken sms-berichten voor een scam genaamd "traffic pumping" waarmee ze betaald kunnen worden voor sms-berichten.

Volgens Richendrfer zal het gebruik van QR-codes de risico's op phishing verkleinen, het wereldwijde sms-misbruik terugdringen en gebruikers minder afhankelijk maken van hun telefoonprovider.

"Sms-codes vormen een bron van verhoogd risico voor gebruikers. We zijn verheugd om een ​​innovatieve nieuwe aanpak te introduceren om het oppervlak voor aanvallers te verkleinen en gebruikers te beschermen tegen kwaadaardige activiteiten", aldus hij.

Gmail maakt ook gebruik van andere tweefactorauthenticatiemethoden, zoals het doorsturen van een gebruiker naar de Gmail-app om een ​​login te verifiëren, en van zijn eigen beveiligingssoftware, Google Authenticator .

Google is niet het enige bedrijf dat afstapt van sms voor tweefactorauthenticatie. Vorig jaar verwijderde Evernote sms uit zijn service en de beveiligde berichten-app Signal verwijderde het in 2022. X en Apple hebben gebruikers ook van sms afgehaald, net als Microsoft . Google signaleert al sinds 2017 een overgang van sms.

Volgens deskundigen komt deze stap niet onverwacht en is het waarschijnlijk noodzakelijk voor Google.

"Dat Google afstapt van sms-gebaseerde logins is een slimme stap voor de beveiliging. En hoewel het in eerste instantie misschien onhandig lijkt, is het een noodzakelijke stap naar een betere bescherming", vertelde Amy Bunn, een online veiligheidsadvocaat bij McAfee, aan CNET.

"Cybercriminelen kunnen telefoonnummers kapen door SIM-swapping, beveiligingscodes onderscheppen en zelfs mensen uit hun accounts sluiten," zei Bunn. "Daarom stappen meer bedrijven, waaronder Google, over op veiligere inlogmethoden zoals passkeys en authenticatie-apps."

Rob Allen, Chief Product Officer bij het beveiligingsbedrijf ThreatLocker, zei dat SMS voor tweefactorauthenticatie "waarschijnlijk het minst geprefereerde (tweefactorauthenticatieproces) is. Hoewel het zeker beter is om 2FA te hebben dan helemaal geen 2FA, is het zeker het minst veilig."

Volgens Allen is het gebruik van een authenticatie-app op een mobiele telefoon een veel veiligere manier om tweefactorauthenticatie te gebruiken.

"Het is goed om te zien dat bedrijven overstappen op een veiligere omgeving", voegde hij toe.