基于短信的驗證碼長期以來都存在嚴(yán)重的安全缺陷，典型的惡意利用方式就包括 SIM 換卡劫持或者偽基站劫持，這些方式都可以在控制特定手機(jī)號碼后利用接收的驗證碼登錄賬戶。

目前已經(jīng)有部分平臺正在逐步棄用短信驗證碼，使用更安全的驗證方式例如通行密鑰 (Passkey)、TOTP (基于時間的一次性驗證碼) 和 MFA (多因素認(rèn)證) 等。

現(xiàn)在谷歌也準(zhǔn)備采用 MFA 驗證方式用來替代 Gmail 郵箱中的短信驗證碼，后續(xù)在 Gmail 登錄時不再支持使用短信驗證，用戶需使用谷歌應(yīng)用掃碼進(jìn)行認(rèn)證。

谷歌官方發(fā)言人表示：

我們不希望再通過發(fā)送短信進(jìn)行身份驗證，就像我們希望使用通行密鑰取代密碼那樣。短信驗證碼存在諸多安全問題，短信驗證碼可能會被網(wǎng)絡(luò)釣魚，人們并不總是能夠訪問接收驗證碼的設(shè)備，而短信驗證碼依賴于用戶運營商的安全措施。

如果詐騙者可以輕易通過運營商獲取某人的電話號碼時 (例如此前 SEC 賬號被盜的案例)，短信的安全性就不存在了，使用二維碼進(jìn)行掃碼認(rèn)證可以減少全球短信濫用猖獗的影響。

至于使用二維碼掃碼認(rèn)證的好處，谷歌表示：這可以降低 Gmail 用戶被誘騙向黑客分享安全代碼的釣魚風(fēng)險，畢竟驗證時用戶必須主動掃碼，因此根本沒有數(shù)字驗證碼可以分享。

谷歌還表示短信驗證碼時用戶面臨的高風(fēng)險來源，谷歌很高興推出一種創(chuàng)新方法 (微信：喵喵喵？) 以縮小攻擊范圍，讓用戶免受惡意活動的侵害。

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/