أكره رموز QR؟ ستجعلك Google تفحص واحدة عند تسجيل الدخول

تقوم Google بتخليص مصادقة SMS ثنائية العوامل لصالح رموز QR. ستوفر طريقة 2FA الجديدة حماية متزايدة ضد التصيد والتهديدات الشائعة الأخرى ، ولكنها قد تكون أقل ملاءمة من التحقق من الرسائل القصيرة ، اعتمادًا على تنفيذ Google.

تستخدم معظم مواقع الويب الرئيسية مصادقة ثنائية العوامل (2FA) لمنع المتسللين من اختطاف الحسابات المعرضة للخطورة. الفكرة بسيطة للغاية: نادراً ما يكون للمتسللين الذي يسرق اسم المستخدم وكلمة المرور الخاصة بك ، إن وجدت ، وصولًا مباشرًا إلى هاتفك الذكي أو صندوق البريد الإلكتروني. لذلك ، بدلاً من الاعتماد على أسماء المستخدمين وكلمات المرور كشكل وحيد للتحقق من تسجيل الدخول ، سترسل مواقع الويب رموزًا لمرة واحدة عبر الرسائل القصيرة أو البريد الإلكتروني لضمان أن تكون محاولات تسجيل الدخول شرعية.

المصادقة ثنائية العوامل تزيد بشكل كبير من أمان الحساب. لسوء الحظ ، فإنه يجعل عملية تسجيل الدخول أبطأ كثيرًا. تعرف مواقع الويب مثل Google أن 2FA يمكن أن تكون مزعجة ، لذلك غالبًا ما تختار أكثر أشكال المصادقة غير المؤلمة-رمز التحقق من الرسائل القصيرة لمرة واحدة.

في كثير من الأحيان نشير إلى الرسائل القصيرة على أنها طريقة 2FA “الحد الأدنى”. إنه أفضل من لا شيء ، لكنه أبعد ما يكون عن الكمال. دعنا ندعي أن المتسلل قد سرق اسم المستخدم وكلمة المرور لحساب الجدة المصرفية. يمكن للمتسلل التغلب على التحقق من الرسائل القصيرة عن طريق الاتصال بالجدة ، وانتحال شخصية Google ، واطلب منها مباشرة تقديم الرمز. في حين أن مصادقة الرسائل القصيرة أفضل من لا شيء ، إلا أنها لا يمكن أن تمنع التلاعب الاجتماعي. في بعض الحالات ، قد يوفر حتى قشرة من الأصالة للمحتالين – إذا كان المتسلل يطلق الرسائل القصيرة 2FA قبل استدعاء الجدة ، قد يستخدمونها كذريعة ليقولوا ، “لقد اكتشفنا أن حسابك يتعرض للهجوم ، أعطينا هذا الرمز حتى نتمكن من إصلاحه”.

أصبحت مصادقة الرسائل القصيرة شرط تسجيل الدخول الافتراضي لجميع حسابات Google في عام 2021. الآن ، مع أربع سنوات من الخبرة تحت حزامها ، تخبر Google فوربس أنه يريد ذلك تنفيذ نظام 2FA أكثر قوة. تشير الشركة إلى التصيد ، وكذلك عيوب أمنية من جانب الناقل ، كسبب لهذا التغيير.

الاستبدال المختار لمصادقة الرسائل القصيرة – رموز QR –يجب زيادة أمان الحساب لجميع مستخدمي Google. قد يكافح المتسللون من أجل إقناع الجدة بأنها يجب أن تقوم بمسح رمز الاستجابة السريعة العشوائية ، ولأن نظام رمز الاستجابة السريعة هذا لا يعتمد على الرسائل القصيرة ، لا يمكن المساس به بسبب ممارسات الأمن السيئة الشاقة.

“خلال الأشهر القليلة المقبلة ، سنعيد تخيل كيفية التحقق من أرقام الهواتف. على وجه التحديد ، بدلاً من إدخال رقمك وتلقي رمز مكون من 6 أرقام ، سترى رمز الاستجابة السريعة يتم عرضه ، والذي تحتاج إلى مسحه باستخدام الكاميرا التطبيق على هاتفك. “

كما كيف ستنفذ Google طريقة 2FA الجديدة ، تقول الشركة “سترى رمز الاستجابة السريعة يتم عرضه (عندما تحاول تسجيل الدخول إلى حساب Google الخاص بك) ، والتي تحتاج إلى مسحها باستخدام تطبيق الكاميرا على هاتفك.” يبدو الأمر واضحًا ومباشرًا ، لكنني تركت أتساءل عن التفاصيل الدقيقة. مثل ، يفترض هذا النظام أنك قمت بتسجيل الدخول بالفعل إلى Google على هاتفك – ماذا لو لم تكن كذلك؟ كيف ستتعامل Google 2FA لتسجيلات الهاتف المحمول؟

أيضا ، رموز QR ليست غير محصنة للتصيد. أفترض أن رموز QR هذه هي مجرد روابط ويب. ربما يأخذونك إلى صفحة ويب تقول ، مثل ، “هذا الجهاز ويحاول هذا الجهاز تسجيل الدخول إلى حسابك ، هل تريد إمكانية الوصول إليه؟” إنه أفضل من رمز الرسائل القصيرة المكونة من ستة أرقام ، ولكن يمكنك إقناع الجدة تمامًا بالنقر فوق الزر “تأكيد” الأزرق الكبير إذا حاولت بالفعل. (لتوضيح ، أنا أصنع افتراض حول كيفية عمل التحقق من QR من Google. قد أكون خطأ ميت.)

نحن في حاجة ماسة إلى منهجية 2FA أكثر أمانًا وتطوراً ومريحة. مفاتيح أمان الأجهزة ممتازة ، لكن ليس لديها جاذبية جماعية ويمكن أن تكون لا ترحم للغاية. تزيل المفاتيح الحاجة إلى مصادقة ثنائية العوامل في بعض السيناريوهات ، لكنها لا تجعل 2FA عفا عليها الزمن ، ولا تزال العديد من مواقع الويب التي تستخدم مفاتيح الممرات تتطلب 2FA.

على أي حال ، أنت تعرف تلك المطاعم الغريبة التي تستخدم رموز QR بدلاً من القوائم؟ إن تسجيل الدخول إلى حساب Google الخاص بك سيشعر بهذه الطريقة. أنا لست متحمسًا بشكل خاص من احتمال سحب هاتفي وتوجيهه إلى الشاشة أثناء اندفاعه للدخول إلى مكالمة Google Meet ، وأنا عمومًا لست من محبي رموز QR في المقام الأول ، لكنني أوافق مع قرار Google بتبني طريقة 2FA أكثر مرونة.

المصدر: جوجل عبر فوربس