近年來,科技業逐漸從傳統密碼驗證轉向生物識別等更安全的登入方式,其中簡訊驗證碼雖然比完全沒有驗證好,但問題開始浮現,Google 也計劃徹底改變 Gmail 的驗證機制。
《Forbes》報導,Google 計劃在未來幾個月內,將 Gmail 的簡訊驗證碼(SMS 驗證碼)全面改為 QR 碼驗證,以應對全球日益猖獗的簡訊濫用問題。
簡訊驗證碼有什麼問題?
Google 原本使用簡訊驗證的目的有兩個:安全驗證、濫用控制。Gmail 發言人 Ross Richendrfer 解釋,安全驗證是為了確認「我們正在與同一個用戶互動」,而濫用控制則是防止詐騙者濫用 Google 服務,例如,犯罪分子可能會成立數千個 Gmail 帳戶來散布垃圾郵件和惡意軟體。
棄用原因 1:簡訊驗證本身有安全疑慮
然而,Richendrfer 和其 Google 同事 Kimberly Samra 表示,簡訊驗證碼仍有許多安全挑戰。第一,容易被釣魚攻擊竊取;第二,用戶可能無法立即存取接收簡訊驗證碼的裝置;第三,安全性依賴於用戶的電信商安全性做得如何──如果詐騙者能輕易欺騙電信商獲取電話號碼,「簡訊的安全價值就會消失。」
棄用原因 2:新型詐騙手法「流量灌充」出現
除了前述安全隱憂,Google 還發現簡訊驗證碼常常成為犯罪活動的核心。在過去幾年,Google 觀察到一種被稱為「流量灌充」(traffic pumping)的新型詐騙手法,也被稱為「人工流量膨脹」或「電信詐欺」。
Richendrfer 和 Samra 解釋,詐騙者控制某些電話號碼,然後想辦法讓網路服務提供商(如 Google)向這些號碼發送大量簡訊。關鍵在於,每當一條簡訊被發送到這些號碼時,詐騙者就能從電信系統中獲得金錢報酬。這種手法直接利用了驗證系統本身來獲利。
為何改用 QR code 驗證身分?
「在接下來的幾個月內,我們將重新設計如何驗證電話號碼,」Richendrfer 透露,具體來說是顯示一個 QR 碼,讓使用者用手機相機掃描這個條碼。
為什麼是 QR code 呢?Google 指出 QR code 有兩大好處:第一,因為根本沒有可分享的驗證碼,可以降低 Gmail 用戶被騙分享驗證碼的釣魚風險。第二,多數情況下,Google 用戶可以不用再依賴電信商提供的防濫用保護。
外媒指出,Google 還沒宣布具體何時實施新的驗證措施,但這項安全升級對所有 Google 帳戶持有人和 Gmail 用戶來說將是重大變革。
免費報名 3/17-3/21【NVIDIA GTC 2025】
📢 活動辦法:成功報名 NVIDIA GTC 2025 並於 3/17-3/21 觀看任一場 GTC 線上演講,私訊 TechOrange 粉絲專頁提供報名時的註冊名稱、公司與信箱,即可抽 NVIDIA® GeForce RTX™ 4080 SUPER 顯卡!
【推薦閱讀】
◆ 加密貨幣詐騙破 3200 億!投資、愛情詐騙興起,AI 也推了一把
*本文初稿由 AI 生成,經《TechOrange》編撰,資料來源:《Forbes》、《The Verge》,首圖來源:Unsplash。