Flerfaktor-autentisering har blitt en utbredt løsning for å minimere risikoen for at uvedkommende får tilgang til brukerkontoene dine på nettet, men noen av disse løsningene er heller ikke ideelle.
En av de mest utbredte metodene for flerfaktor-autentisering er SMS-engangskoder, som brukes blant annet av Google. Men nå ønsker selskapet å kvitte seg med denne løsningen for sin Gmail-tjeneste – av sikkerhetsmessige årsaker.
Vil bruke QR-koder i stedet
Forbes har vært i kontakt med kilder hos Google som opplyser at selskapet jobber med å erstatte SMS-basert verifikasjon med noe så originalt som QR-koder.
– I løpet av de neste månedene vil vi tenke nytt om hvordan vi verifiserer telefonnumre. Mer spesifikt, i stedet for å skrive inn nummeret ditt og motta en 6-sifret kode, vil du se en QR-kode som du må skanne med kamera-appen på telefonen din, sier Gmail-talsperson Ross Richendrfer i et intervju med Forbes.
Richendrfer peker på at selskapet ønsker å bevege seg bort fra SMS-verifisering på samme måte som man nå forsøker å komme seg bort fra passordbaserte løsninger og over til den nye passnøkkel-metoden – som blir stadig mer populær.
Talspersonen understreker at SMS har flere sikkerhetsmessige problemer. For eksempel er det mulig for ondsinnede aktører å fange opp kodene, noe mange hackeverktøy allerede er i stand til – deriblant et nytt verktøy som retter seg mot Microsoft 365-kontoer.
Skal snart dele mer informasjon
I tillegg peker Richendrfer på muligheten for at personen ikke alltid har tilgang til enheten som SMS-koden sendes til. Et tredje faremoment er at SMS-løsningen avhenger av sikkerhetspraksisen til mobiloperatøren, som kan være varierende.
– Dersom en svindler kan lure en operatør til å gi fra seg en persons telefonnummer, forsvinner enhver sikkerhetsverdi som SMS har, la han til.
QR-koder er altså ment å overkomme disse sikkerhetsutfordringene. Løsningen er ikke utsatt for phishing-angrep, siden det ikke finnes en kode å snappe opp i utgangspunktet. QR-koden er heller ikke avhengig av operatøren på noe måte – da man kun bruker kameraet til å skanne koden.
Detaljene rundt den kommende QR-løsningen foreligger ennå ikke, men ifølge Richendrfer vil det komme mer informasjon i «nær fremtid», uten et mer spesifikt tidsvindu.
QR-koder som sikkerhetsløsning er kanskje relativt nytt, men teknologien benyttes allerede av ondsinnede aktører. Digi har blant annet skrevet om hackere som bruker QR-koder til å spre skadevare og stjele sensitive data ved å skjule ondsinnede lenker i kodene.
Nylig kom det også frem at hele 60 prosent av QR-koder i e-poster er falske og ofte representerer svindelforsøk.
Advarer: QR-koder brukes til å spre skadevare og stjele person-data
