Google elimina códigos SMS para autenticação do Gmail
Os usuários do Gmail logo verão uma grande mudança na forma como suas contas são protegidas e como seus logins autenticados em dois fatores são manipulados. O Google está planejando parar de enviar códigos de autenticação de dois fatores por mensagem de texto para verificar contas do Gmail em favor de ferramentas de segurança como chaves de acesso e códigos QR que os usuários escaneariam com seus dispositivos.
O Google está descobrindo que usar mensagens SMS para autenticação de dois fatores se tornou cada vez mais problemático, pois golpistas e fraudadores usam a tecnologia para falsificar contas de usuários. A notícia foi relatada pela primeira vez pela Forbes .
Ross Richendrfer, chefe de relações públicas de segurança e privacidade do Google, confirmou a reportagem à CNET.
"Assim como queremos deixar de usar senhas e passar a usar coisas como chaves de acesso, queremos deixar de enviar mensagens SMS para autenticação", disse ele.
De acordo com Richendrfer, nos próximos meses, o Google estará "reimaginando" como a empresa verifica números de telefone. O Gmail e outros serviços do Google mudarão de enviar códigos de seis dígitos por SMS para enviar um código QR que um usuário verificaria.
O objetivo seria eliminar instâncias de usuários compartilhando seu código SMS com um golpista que os enganou, e eliminar operadoras de telefonia como um possível ponto de violação. Alguns golpistas, diz o Google, usam mensagens SMS para um golpe chamado "bombeamento de tráfego" que permite que eles sejam pagos por mensagens SMS.
Richendrfer diz que o uso de códigos QR reduzirá os riscos de phishing, diminuirá o abuso global de SMS e tornará os usuários menos dependentes de suas operadoras de telefonia.
"Os códigos SMS são uma fonte de risco elevado para os usuários. Temos o prazer de apresentar uma nova abordagem inovadora para reduzir a área de superfície para invasores e manter os usuários mais seguros contra atividades maliciosas", disse ele.
O Gmail também usa outros métodos de dois fatores, como enviar um usuário ao aplicativo Gmail para verificar um login, bem como seu próprio software de segurança, o Google Authenticator .
O Google não é a única empresa a se afastar do SMS para autenticação de dois fatores. No ano passado, o Evernote removeu o SMS de seu serviço , e o aplicativo de mensagens seguras Signal o removeu em 2022. O X e a Apple também fizeram a transição de usuários do SMS, assim como a Microsoft . O Google vem sinalizando uma transição para longe do SMS desde 2017 .
Especialistas dizem que a mudança não é inesperada e provavelmente necessária para o Google.
"O Google está deixando de usar logins baseados em SMS como um passo inteligente para a segurança. Embora possa parecer um inconveniente no início, é um passo necessário para uma proteção mais forte", disse Amy Bunn, defensora da segurança online na McAfee, à CNET.
"Criminosos cibernéticos podem sequestrar números de telefone por meio de troca de SIM, interceptar códigos de segurança e até mesmo bloquear pessoas de suas contas", disse Bunn. "É por isso que mais empresas, incluindo o Google, estão mudando para métodos de login mais seguros, como chaves de acesso e aplicativos de autenticação."
Rob Allen, diretor de produtos da empresa de segurança ThreatLocker, disse que o SMS para autenticação de dois fatores, "é provavelmente o menos preferido (processo de autenticação de dois fatores). Embora seja definitivamente melhor ter do que não ter 2FA, é certamente o menos seguro."
Allen disse que usar um aplicativo autenticador em um celular é uma maneira muito mais segura de utilizar a autenticação de dois fatores.
"É bom ver as empresas caminhando para um ambiente mais seguro", acrescentou.
cnet
