摘要：使用SMS短信验证码来进行身份验证并非理想的安全措施早已不是秘密。就如同科技产业正在逐步从传统密码转向更安全的生物识别Passkeys，过去几年来，验证码应用程序（Authenticator Apps），甚至无需应用程序的双重验证（2FA）方式，已逐渐成为主流

使用SMS短信验证码来进行身份验证并非理想的安全措施早已不是秘密。就如同科技产业正在逐步从传统密码转向更安全的生物识别Passkeys，过去几年来，验证码应用程序（Authenticator Apps），甚至无需应用程序的双重验证（2FA）方式，已逐渐成为主流。然而相较于完全没有身份验证机制，SMS确实仍然是一个不错的选择。

据《Forbes》引述Google内部人士报道，Gmail现在准备淘汰SMS短信验证码，并改用QR码来提升安全性。

Gmail发言人Ross Richendrfer指称，就像我们希望通过Passkeys摆脱传统密码一样，我们也希望停止使用SMS短信来进行身份验证。Google计划全面淘汰SMS验证码，改以QR码取而代之，以减少全球猖獗的SMS滥用问题。

目前Google使用短信验证码的二大用途在于：一是安全验证，以确保修户与先前登录的用户相同；再者是防止滥用，防止诈骗者滥用Google服务，例如大量创建Gmail账号来发送垃圾邮件或散播恶意软件。

只不过Google内部专家Richendrfer和Kimberly Samra都表示，短信验证码仍存在许多安全风险，包括：

依赖电信企业的安全机制：如果黑客能够轻易说服电信企业窃取用户的电话号码（例如SIM交换攻击），那么SMS验证码的安全性将荡然无存。

Richendrfer和Samra解释，诈骗者会诱使网络服务提供商向他们控制的电话号码发送大量SMS消息，并通过这些短信的发送获取报酬。这种手法也被称为人为流量膨胀（Artificial Traffic Inflation）或通信欺诈（Toll Fraud），但本质上运行方式相同。

Richendrfer表示，未来几个月内Google将重新设计手机号码验证机制。具体来说，用户不再输入手机号码并接收6位数验证码，而是会看到一个QR码，使用手机相机扫描即可完成验证。虽然QR码并不是最受欢迎的技术（过去不少用户曾对其表达不满），但Google认为这将是一个重大安全进展，能有效减少与SMS相关的安全风险。

Google认为，从验证码转向使用QR code有两大好处：降低钓鱼攻击风险、减少对电信企业的依赖。

但何时会做出这项转变目前Google还未有具体时间表，不过Richendrfer表示，短信验证码对用户而言是一个高风险因素，我们很高兴能够推出创新的验证方式，减少攻击者的可利用范围，让用户更安全。

虽然Google尚未公布确切的实施时间，但这项安全升级无疑是一项迫切需要的变革，预计会在Gmail和Google账号安全机制中逐步推行。

来源：十轮网