Google wyłączy usługę w Gmailu, bo jest niebezpieczna

Uwierzytelnianie dwuskładnikowe (2FA) to technika logowania wymagana przez Google i wielu innych dostawców usług internetowych ze względów bezpieczeństwa. Dzięki temu, że użytkownik musi potwierdzić tożsamość dodatkowym "składnikiem", np. przepisać kod SMS, można uniknąć próby przejęcia konta, gdy niepowołana osoba pozna login i hasło. Okazuje się jednak, że weryfikacja SMS nie jest do końca bezpieczna, dlatego Gmail z niej rezygnuje. Co oferuje w zamian?

Gmail to dziś najpopularniejszy dostawca usług e-mail, posiadający 1,8 miliarda użytkowników na świecie. Mimo wielu kontrowersji, jakie wywołuje postępowanie firmy Google, Gmail nadal plasuje się w czołówce najbezpieczniejszych klientów poczty i jest praktycznie nie do złamania. Wewnętrzne zabezpieczenia IT nie zdają się jednak na wiele, gdy zawodzi czynnik ludzki lub pojawią się luki w zabezpieczeniach innych systemów. Dotyczy to również tego, w jaki sposób SMS-y trafiają na nasze telefony. Dlaczego Google tak się ich obawia?

Potwierdzenie logowania SMS-em jest lepsze niż nic, ale to metoda jest wrażliwa na różne podatności. Nie ma gwarancji, że SMS, który widzisz na smartfonie, pochodzi ze źródła, które wyświetla się na ekranie. Sporo namieszać mogą choćby ataki typu SIM-Swapping, w których przestępcy przejmują numer telefonu użytkownika metodami inżynierii społecznej. Socjotechnika może polegać na skłanianiu użytkownika to wpisania kodu na stronie phishingowej, czyli udającej prawdziwą.

Protokół SMS jest również podatny na ataki Man-in-the-Middle (MITM), w których hakerzy atakują luki w zabezpieczeniach sieci i przechwytują wiadomości tekstowe w trakcie ich przekazywania. Cyberprzestępcy korzystają też z techniki o nazwie spoofing SMS, czyli fałszowania nadawcy SMS-a. Dzięki temu hakerzy mogą wprowadzić dowolny numer telefonu albo nazwę w polu "Nadawca". Jak widać, SMS-om nie można do końca ufać. Nie ufa im także Google, który chce lepiej chronić swoich użytkowników.

Aby zalogować się na pocztę Gmail, miliony użytkowników będą musiały skorzystać z nowej dla nich techniki weryfikacji. Chodzi o kod QR, który należy zeskanować aparatem smartfona. Ta metoda MFA/2FA jest bezpieczniejsza od wprowadzania 6-cyfrowego kodu SMS z kilku powodów:

• Szyfrowanie od końca do końca: kody QR są chronione przez szyfrowanie end-to-end, co drastycznie zmniejsza ryzyko, że coś zakłóci ten proces na którymkolwiek etapie.
• Brak zaangażowania operatora sieci: operatorzy sieci komórkowych nie uczestniczą w procesie weryfikacji, więc podatności w protokole SMS tracą rację bytu.
• Odporność na phishing: kody QR są mniej podatne na ataki phishingowe, bowiem wymagają bezpośredniego skanowania, przez co cyberprzestępcom trudniej jest skłonić użytkowników do udostępnienia poświadczeń.
• Wsparcie dla wielu platform: użytkownicy mogą dokończyć proces uwierzytelniania za pomocą wielu urządzeń - bez polegania na wyłącznie jednym numerze telefonu albo operatorze mobilnym.

Kody QR nie są jedynym dopuszczalnym przez Google sposobem weryfikacji dwuetapowej. Inne obsługiwane metody obejmują aplikację Google Authenticator, fizyczne klucze bezpieczeństwa (np. YubiKey) oraz monity w aplikacji. Co ciekawe, Google nie oferuje użytkownikom Gmaila biometrycznych metod logowania, takich jak rozpoznawanie odcisku palca albo twarzy. Można z nich korzystać jedynie za pośrednictwem zewnętrznych weryfikatorów, takich jak np. AppLock. Dwuetapowe logowanie z użyciem biometrii od lat oferują Apple i Microsoft.

Google zamierza pozbyć się weryfikacji SMS-em przy zakładaniu konta czy logowaniu do Gmaila w ciągu najbliższych kilku miesięcy. Wiemy, że zamiast proszenia o kod, Gmail na komputerze zacznie wyświetlać kod QR, który należy zeskanować aplikacją aparatu na telefonie. Czy każdy może to zrobić? Niekoniecznie, dlatego warto się przygotować.

Przede wszystkim należy pamiętać o aktualizacjach na telefonie - warto zaktualizować system operacyjny smartfona oraz aplikację aparatu, tak aby umożliwić bezproblemowe skanowanie kodu QR. Dobra wiadomość jest taka, że w miarę nowe wersje Androida czy iOS posiadają już te funkcje i są one łatwo dostępne. Można też włączyć alternatywne metody uwierzytelniania 2FA w ustawieniach konta Google, aby korzystać z nich już teraz.

Google oferuje też możliwość zabezpieczenia dostępu w przypadku, gdy nie dysponujesz telefonem, np. w podróży lub sytuacji, gdy urządzenie przestanie działać, zostanie zgubione albo skradzione. W tym wypadku w ustawieniach konta możesz utworzyć jednorazowe kody dostępu do wykorzystania w przyszłości lub ustawić alternatywny adres e-mail, którym potwierdzisz logowanie do Gmaila. Warto, by ten adres mailowy znajdował się u innego dostawcy poczty i nie wymagał potwierdzenia tą samą metodą.