Google wird unsichere Gmail-SMS-Codes durch QR-Scan-Verifizierung ersetzen

Eskere Guru

Seitdem Google die zweistufige Verifizierung für Gmail und andere gebundene Authentifizierungsprotokolle in seinem Ökosystem ermöglicht, sind SMS-Codes eine tragende Säule. Doch laut Sicherheitsanalysen sind SMS-Codes bekanntermaßen unsicher, insbesondere wenn der Kommunikationskanal nicht verschlüsselt ist. Das soll sich endlich ändern, denn SMS-Codes werden bald durch QR-Codes zur Gmail-Authentifizierung ersetzt.

Wenn es um die Kontosicherheit geht, ist SMS nicht die zuverlässigste Wahl für den Empfang sensibler Verifizierungscodes oder Einmalpasswörter (OTP) auf Telefonen. Aus diesem Grund hat Google in den letzten Jahren kontinuierlich Passwortalternativen wie Google-Eingabeaufforderungen auf dem Gerät , Authentifizierungs-Apps , Hardware-Sicherheitsschlüssel und das Passkey-System entwickelt, um Risiken wie SMS-Phishing zu minimieren.

Jetzt plant Google, die SMS-basierte Verifizierung für die Gmail-Authentifizierung (und damit auch für das Google-Konto) vollständig auslaufen zu lassen. „Genauso wie wir Passwörter mithilfe von Dingen wie Passkeys umgehen wollen. Wir wollen vom Versenden von SMS-Nachrichten zur Authentifizierung Abstand nehmen“, wurde Gmail-Sprecher Ross Richendrfer von Forbes zitiert.

Warum ist SMS unsicher?

Es wird versucht, sich über ein anderes Gerät mit einem Google-Konto anzumelden.
Google hat dieses Geräteaufforderungssystem zur Kontobestätigung bereits 2016 implementiert. Google

Codes per SMS zu erhalten ist bequem, aber es sind nicht nur der Weg und die ausgefeilten Phishing-Techniken, die SMS zu einem unsicheren Weg machen. SIM-Swapping, Social Engineering und Imitationsangriffe sind ebenfalls recht bekannte Techniken, und wenn diese Pläne ausgeführt werden, erhält der rechtmäßige Besitzer niemals seine SMS-Verifizierungscodes.

Dadurch sind sie von ihrem eigenen Gmail-Konto und allen damit verbundenen Kerndiensten ausgeschlossen, zu denen auch Dienste von Drittanbietern gehören, die eine Anmeldung bei einem Google-Konto erfordern. Darüber hinaus wird in Szenarien, in denen Benutzer keinen Zugang zu Mobilfunknetzen haben, der Erhalt von Anmeldecodes per SMS zu einer weiteren Herausforderung.

Wie können QR-Codes helfen?

In den nächsten Monaten will Google die sechsstelligen SMS-Codes ersetzen und einen QR-Code anzeigen, den Nutzer einfach mit der Kamera-App ihres Handys scannen müssen. Das Unternehmen hat nicht viele technische Details zu diesen Plänen mitgeteilt, aber es scheint, dass Google wahrscheinlich ein Protokoll erstellen würde, das einen sicheren QR-Code-Handshake mit einem verifizierten Telefon erfordern würde, auf dem die registrierte Telefonnummer läuft.

Beispiel eines SDMQR-Codes, der auf einem iPhone-Bildschirm angezeigt wird.
Anstelle von blockförmigen Punkten verwenden SDMQR-Codes Ellipsen. Nadeem Sarwar / Digitale Trends

Dabei nützt es nichts, dass QR-Codes nicht grundsätzlich narrensicher sind. QR-Betrügereien kommen ebenfalls recht häufig vor. Aber ein QR-Scansystem, das einen lokalen Dekodierschlüssel oder einen sicheren öffentlichen Schlüssel zwischen nur zwei vertrauenswürdigen Parteien erfordert, ist viel sicherer und schneller.

Wir haben kürzlich über eine solche Innovation namens Self-Authenticating Dual-Modulated QR (SDMQR) Code berichtet, die bereits eine staatliche Förderung erhalten hat und Barcodes in verschiedenen Geschäfts- und Industrieanwendungen bald ersetzen könnte.

Ein von Experten der Universität Rochester entwickelter SDMQR-Code basiert auf einem kryptografischen Signatursystem, das nur mit einem digitalen privaten Schlüssel entsperrt werden kann. Diese speziellen QR-Codes erfordern keine spezielle Scan-App und können auf Betriebssystemebene auf Mobilgeräten auf der ganzen Welt implementiert werden.