Prihlasovanie sa cez QR kód je bezpečnejšie, a proces pre používateľov začne behom nasledujúcich mesiacov.
Dňa 24. februára hovorca Google Ross Richendrfer oznámil, že postupne odstráni možnosť prihlasovania sa do Gmailu cez SMS kódy a nahradí ich QR kódmi, ktoré sa zobrazia pri autentifikovaní. Zmena začne v priebehu nasledujúcich mesiacov. Prihlasovanie sa cez QR kód bude súčasťou novej vízie spoločnosti o spôsobe „overovania telefónneho čísla”. Zobrazený kód bude nutné naskenovať kamerou a gigant tvrdí, že pomôže používateľom hneď dvoma spôsobmi.
Nový spôsob výrazne zredukuje riziko phishingu, nakoľko používatelia nebudú čeliť triku so zdieľaním SMS kódu a taktiež zníži úroveň nutnosti spoliehať sa na zabezpečenie proti zneužitiu od samotných mobilných operátorov. Druhý dôvod, ktorý bol zdôraznený samotným Richedrferom a predstaviteľkou spoločnosti Kimberly Samrovou, je že SMS kódy nie sú až také bezpečné.
Hlavným rizikom je získanie prístupu k číslu cudzou osobou, ktoré je častým spôsobom ako obísť prihlasovanie alebo 2FA cez SMS kódy. Použitie najdlhšieho možného PIN kódu a zmena PUK kódu od operátora, ktorý je vytlačený na fyzickej kartičke od SIM karty, vie pomôcť v prípade krádeže SIM karty alebo celého telefónu, v prípade eSIM kód na „kartu” slúži ako ďalšia vrstva ochrany.
Bez prístupového kódu (passcode) sa totiž eSIM v smartfóne po zapnutí zariadenia neaktivuje. Odporúčame vypnúť si zobrazovanie obsahu notifikácii na zamknutej obrazovke a nastaviť ich zobrazenie až po autentifikácií: či už cez passcode, alebo biometriu. Stále je však možné využiť iné druhy podvodov, ako SIM swapping. Ako ochrana pred SIM swappingom vie do určitej miery pomôcť využitie dedikovaného telefónneho čísla určeného čisto na 2FA.
Takéto číslo na 2FA, ktoré používateľ na nič iné nepoužíva a s nikým ho nezdieľa. Niektoré služby pri zasielaní kódov umožňujú zvoliť si na zaslanie kódu miesto klasickej SMS napríklad WhatsApp, pokiaľ je registrovaný na rovnaké telefónne číslo ako 2FA, pokiaľ sa však nedá nastaviť natvrdo takáto služba a možnosť zaslania cez SMS je stále dostupná, proti útokom to nepomôže.
Navyše SMS samotná sa dá odchytiť, riešenie tohto problému by mohli poskytnúť RCS správy, ktoré však v súčasnosti viac nefungujú ako fungujú. Google nezverejnil, kedy by sa mohla nová funkcia začať objavovať u prvých používateľov. Firma podala len tradičné vyjadrenie že „v blízkej budúcnosti”. Spoločnosť taktiež presadzuje passkeys (v preklade „prístupové kľúče”), a už nastavila prihlasovanie cez túto technológiu ako predvolenú pre osobné kontá.
Samozrejme stále je možnosť používať klasické heslá. Passkeys vyvinula aliancia FIDO a sú viazané na konkrétne zariadenie chránené autentifikáciou, ktorá je súčasťou samotného zariadenia, napríklad PIN kód, odtlačok prsta alebo sken tváre. Passkeys nemôžu byť ukradnuté alebo získané phishingom. Keďže passkeys sú viazané na konkrétne zariadenie, treba riešiť ich zálohu a synchronizáciu medzi rôznymi zariadeniami.
Platformy od spoločností ako Google, Apple, Microsoft a taktiež niektorých spoločností vyvíjajúcich manažérov hesiel síce ponúkajú riešenie, ale neskúsený používateľ sa v tom môže stratiť, zvlášť pri prechode na inú platformu, napríklad pri zmene Android telefónu za iPhone a naopak. Klasické nevýhody SMS kódov vie vyriešiť aplikácia na generovanie jednorazových kódov.
V tomto prípade však treba myslieť na to, že telefón s aplikáciou na kódy sa môže pokaziť, poškodiť pri páde, utopiť, stratiť, môže ho niekto ukradnúť a problémy vie spôsobiť aj nepodarená aktualizácia operačného systému. Realizácia zálohy takejto aplikácie nie je 100% triviálne a synchronizácia cez cloud, ktorú sme v minulosti testovali, príliš spoľahlivo nefungovala.
Používanie QR kódov je rozhodne bezpečnejšie ako využívanie SMS, a vie vyriešiť aj spomínané problémy aplikácií na generovanie jednorazových kódov. Žiadne zabezpečenie samozrejme nie je 100% a častokrát je slabým miestom samotný používateľ. Firma tiež vydala v minulosti balík viacerých bezpečnostných nástrojov, ktorého súčasťou je aj funkcia, ktorá pomôže majiteľom Gmail účtu zistiť, či sa ich e-mailová adresa nedostala do nejakej databázy na dark webe.
