Gmail การนำตัวเลือก SMS 2FA ออก และโค้ด QR ไร้สาระ
อัปเดต:25 กุมภาพันธ์ 2568
เช่นเดียวกับเด็กเนิร์ดหลายๆ คน เมื่อวานและวันนี้ ฉันอ่านข่าวมากมายเกี่ยวกับวิธีที่ Google ตั้งใจที่จะลบ SMS เพื่อเป็นทางเลือกสำหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) สำหรับบัญชี Gmail ด้วยตัวมันเองนี่จะไม่เป็นเรื่องใหญ่ บางทีอาจจะเป็นสิ่งที่ดีก็ได้ แต่การทดแทนดังกล่าวในรูปแบบของรหัส QR ถือเป็นการพัฒนาที่น่าตกใจ ไร้สาระสุดๆ ถ้าคุณถามฉัน
อันที่จริงฉันรู้สึกถูกบังคับให้เขียนบทความทันที Google ยังไม่ได้ประกาศการใช้งานโซลูชันนี้ อาจเป็นเพียงวิธีการแนะนำผู้คนให้รู้จักกับแอปตรวจสอบความถูกต้อง ซึ่งก็นับว่าเป็นสิ่งที่ดีด้วยซ้ำ หรืออาจเป็นความพยายามที่ทำให้ผู้คนยอมจำนนต่อระบบนิเวศของ Google มากขึ้นในนามของความปลอดภัย หรืออย่างอื่นโดยสิ้นเชิง เราจะได้เห็น. แต่ฉันต้องการพูดถึง "ประโยชน์" ที่ควรจะเป็นของสิ่งใดก็ตามที่เกี่ยวข้องกับ QR เริ่มกันเลย
SMS "ไม่ปลอดภัย"
Techbros จะบอกคุณ พวกเขาจะบอกคุณว่า SMS ถูกส่งในรูปแบบข้อความธรรมดาอย่างไร และอาจมีคนดักจับรหัสได้ และมีการโจมตี SIM Swap โดยที่หมายเลขโทรศัพท์ของเจ้าของที่ถูกต้องถูกย้ายไปยังคนร้ายโดยที่ผู้ใช้ไม่รู้ พวกเขาจะใช้กรณีที่แยกออกมาเหล่านี้เป็นตัวอย่างของการลงโทษที่รอดำเนินการ
มีสาเหตุสามประการที่ทำให้สิ่งนี้กลายเป็นเรื่องเกินจริง:
- ผู้ที่ตกเป็นเหยื่อของการแลกเปลี่ยน SIM ส่วนใหญ่หรือไม่ใช่ทั้งหมดนั้นเป็นบุคคลสาธารณะที่มีชื่อเสียง และพวกเขามีแนวโน้มที่จะมีความกังวลอื่น ๆ อีกนับพันเมื่อพูดถึงเรื่องการเฝ้าระวังและความเป็นส่วนตัว คนเหล่านั้นไม่ใช่คุณ ฉัน หรือชาวนาทั่วๆ ไป อย่ารวย หมดปัญหาแล้ว หรือหากคุณเป็นเช่นนั้น อาจเลือกใช้ 2FA/MA ที่ไม่ใช่ SMS ปัญหาได้รับการแก้ไขอีกครั้ง ไม่จำเป็นต้องมีอะไรใหม่
- ในเกือบทุกกรณีของการโจมตีด้วยการสลับ SIM การมุ่งเน้นไปที่คนกลาง เพื่อให้งานนี้สำเร็จได้ จำเป็นต้องมีพนักงานที่เต็มใจ หรือที่รู้จักในชื่อคนในที่คอร์รัปชันซึ่งจะช่วยเหลือในกระบวนการนี้ ไม่มีเทคโนโลยีใดสามารถเอาชนะความโลภที่เสริมด้วยสินบนอันหนักหน่วงได้
- นี่เป็นการกำหนดปัญหาของชาวอเมริกันส่วนใหญ่ ซึ่งเป็นประเทศที่ไม่ได้ออกบัตรประจำตัวประชาชนให้กับผู้อยู่อาศัย หรือประเทศอื่นใดที่ไม่ใช้บัตรประจำตัวประชาชน ในสถานที่ส่วนใหญ่ คุณต้องไปปรากฏตัวที่ไหนสักแห่ง แสดงบัตรของคุณซึ่งมีรายละเอียดที่เป็นเอกลักษณ์มากมาย จากนั้นหมายเลขของคุณจะถูกย้ายหรือคล้ายกันเท่านั้น แน่นอนว่าวิธีนี้ใช้ไม่ได้ผลกับพนักงานที่ติดสินบน และไม่ทำให้ SMS พ้นผิด แต่จะลดโอกาสในการสลับซิมแบบสุ่มตามรายละเอียดไร้สาระ เช่น รหัสไปรษณีย์ หรือวันที่หรือวันเกิดของคุณในฐานะตัวระบุที่ "ไม่ซ้ำกัน" นอกจากนี้ หากคุณดูการแฮ็กที่โดดเด่นทุกประเภทเมื่อเร็ว ๆ นี้ คุณจะพบกับกรณีมากมายที่แม้แต่พนักงานของบริษัทโทรคมนาคมและบริษัทรักษาความปลอดภัยที่จัดการข้อมูลที่ละเอียดอ่อนเป็นพิเศษก็ถูกหลอกและฟิชชิงเพื่อมอบข้อมูลประจำตัวของตนไปยังระบบที่สำคัญ แม้ว่าจะมีระบบ 2FA และ MFA ที่ไม่ใช่ SMS ก็ตาม ขอย้ำอีกครั้งว่าเทคโนโลยีไม่สามารถแก้ไขปัญหานี้ได้จริงๆ
หากมีใครสามารถสกัดกั้นสิ่งนี้ได้ คุณจะมีปัญหาที่ใหญ่กว่านี้อีกมาก
SMS คืออะไร เรียบง่ายและเชื่อถือได้ และมันไม่ได้ผูกมัดคุณกับการมีสมาร์ทโฟนหรือข้อมูลมือถือ คุณสามารถรับ SMS ได้เกือบทุกอย่างด้วยซิมการ์ด แม้แต่โทรศัพท์ตั้งแต่ปี 2005 หากคุณต้องการ และนั่นเป็นอุปกรณ์ที่ปลอดภัยมากในทุกวันนี้ โดยเฉพาะอย่างยิ่งหากไม่ได้เชื่อมต่อกับอินเทอร์เน็ต มากกว่าสมาร์ทโฟนที่คุณใช้อยู่หลายเท่า
รหัส QR หมายความว่าไม่อนุญาตให้คนจนหรือคนแก่
หากต้องการสแกนโค้ด QR คุณมักจะต้องใช้สมาร์ทโฟน ชาวแคลิฟอร์เนียจะพบว่ามันยากที่จะเชื่อ แต่มีคนยากจนอยู่ และคนเฒ่าคนแก่ก็เช่นกัน ซึ่งทั้งสองอย่างนี้ไม่มีเงินซื้อและ/หรือใช้แอปสมาร์ทโฟนเนิร์ดที่ซับซ้อน
ตัวอย่างเช่น ฉันรู้จักธนาคารบางแห่งที่นำแอปมือถือที่มีการสแกนรหัส QR มาใช้เพื่ออนุญาตกิจกรรมต่างๆ และคุณรู้ไหมว่าคนอายุมากจัดการเรื่องนั้นได้อย่างไร? พวกเขาปรากฏตัวที่สาขาและเข้าคิวจนกว่าพนักงานจะสามารถช่วยได้ ขณะนี้ เนื่องจากบริษัทต่างๆ โลภมาก ทุกอย่างจึงถูกส่งออกและ/หรือส่งต่อให้กับบอท "AI" หากคุณไม่ได้ใช้สมาร์ทโฟน โอกาสในการโต้ตอบกับบริการของคุณจะกลายเป็นศูนย์ จริงๆ แล้ว นี่คือนิ้วกลางที่ยิ่งใหญ่สำหรับทุกคนที่อายุเกิน 65 ปีหรือไม่รวยพอที่จะซื้ออุปกรณ์ใหม่เอี่ยม
สิ่งนี้ส่งผลกระทบต่อผู้คนจำนวนมากหรือไม่? บางทีอาจจะไม่ แต่ถ้านั่นดีพอที่จะตัด "สิ่งที่ไม่พึงประสงค์" ออกจากสังคมโดยพิจารณาจากการตัดสินใจทางเทคโนโลยีโดยพลการล่ะก็
QR นั้น "ปลอดภัย"
Techbros จะบอกคุณ ไม่พวกเขาไม่ได้ พวกเขาเป็นการใช้ "ความปลอดภัย" ที่โง่เขลาที่สุดเท่าที่เคยมีมา มันเป็นรูปสัญลักษณ์ที่อ่านไม่ออก สิ่งมหัศจรรย์และลึกลับสำหรับผู้ไม่รู้หนังสือ เรากำลังถดถอยจากการใช้ภาษาและคำพูดของมนุษย์ ไปใช้อักษรอียิปต์โบราณเหมือนเมื่อ 3,000 ปีก่อนคริสตศักราช แต่เดี๋ยวก่อน คนโง่ควบคุมได้ง่ายกว่า และพวกเขาก็ทำกำไรได้มากกว่ามาก
รหัส QR ไม่มีอะไรดีเลยนอกจากว่าต้องใช้กล้อง ต่อไปนี้เป็นตัวอย่างสองตัวอย่างล่าสุดของความเส็งเคร็งของเทคโนโลยีนี้ บนโทรศัพท์ Nokia X10 ของฉัน การอัปเดตระบบทำลายการสแกน QR มาระยะหนึ่งแล้ว ใช่ แม้ว่าฉันต้องการ ฉันก็สแกนอะไรไม่ได้เลย น่าทึ่งใช่ไหม ใน Samsung A54 ของฉัน หากคุณไม่ให้สิทธิ์พิเศษแก่บริการ Google Play คุณจะไม่สามารถสแกนโค้ด QR ด้วย Google Authenticator ซึ่งเป็นแอปที่แยกจากกันโดยสิ้นเชิง ภาพหน้าจอดิสโทเปียที่น่ารักสำหรับการบูต:
คุณสแกน แล้วไงต่อ
ตกลง สมมติว่านี่คือการดำเนินการ และ? ผู้คนยังคงถูกส่งไปยังไซต์ฟิชชิ่งที่จะมีลักษณะเหมือน Gmail และมีรหัส QR ได้ และไซต์เหล่านี้จะส่งผู้คนไปรอบ ๆ เว็บที่สนุกสนานและชั่วร้ายเหมือนเมื่อก่อน บางทีอาจจะง่ายกว่าด้วยซ้ำ โปรดจำไว้ว่าในการแฮ็กที่โดดเด่นหลายครั้ง ผู้ใช้ได้ให้รหัส 6 หลักที่เกี่ยวข้องแก่คนร้ายแบบเรียลไทม์ โดยการป้อนรหัสเหล่านั้นลงในช่องที่ดูเหมือนของจริง ขอย้ำอีกครั้งว่าเทคโนโลยีไม่สามารถแก้ไขสิ่งต่างๆ เช่น ความกลัว ความตื่นตระหนก ความสับสน ฯลฯ หากมีสิ่งใด เทคโนโลยี OBSCURE จะยิ่งเพิ่มอารมณ์เหล่านี้เท่านั้น ทำให้ผู้คนมีแนวโน้มที่จะทำผิดพลาดมากยิ่งขึ้น
มีความเป็นไปได้อีกอย่างหนึ่ง นี่แค่ละครใช้คำไม่สุภาพนะ บางทีนี่อาจหมายความว่าคุณต้องใช้แอปตรวจสอบสิทธิ์ง่ายๆ ที่สร้างรหัส OTP มีตัวเลือกนั้นอยู่แล้ว ดังนั้นจึงไม่มีเหตุผลที่จะดำเนินการใดๆ หรือประกาศสำคัญใดๆ แน่นอนว่าทางเลือกสำรองถือเป็นกุญแจสำคัญ แต่นั่นไม่เคยรบกวนบริษัทเทคโนโลยีเลย และเรื่องไร้สาระที่เคลื่อนไหวอย่างรวดเร็ว (สมมุติว่า SMS จะยังคงมีอยู่สำหรับบางฟังก์ชั่น) ไม่ว่ารหัส QR จะไม่มีประโยชน์และไม่มีประโยชน์ก็ตาม ท้ายที่สุดแล้ว รหัส QR ในแอปตรวจสอบความถูกต้องเป็นเพียงการแฮชเริ่มต้น ดังนั้นแอปจึงสามารถสร้างรหัสที่เกี่ยวข้องได้ มีอยู่เพราะการ "พิมพ์บนโทรศัพท์" เป็นเรื่องยาก โอ้ไม่! ร้องไห้ให้ฉันแม่น้ำ ดังที่เซลจ์โก โอบราโดวิช โค้ชบาสเกตบอลระดับตำนานเคยกล่าวไว้โดยถอดความ:รหัส QR ใด คิวอาร์โค้ดนี้? นี่เป็นเรื่องตลก เบร [sic]
และถ้ามันเป็นสิ่งใหม่ทั้งหมดล่ะ? เชื่อมโยงโทรศัพท์หนึ่งเครื่องกับบัญชีเดียวใช่ไหม นั่นหมายถึงความเป็นส่วนตัวน้อยลงแน่นอน ปัจจุบัน คุณไม่จำเป็นต้องดำเนินการใดๆ บนโทรศัพท์หากต้องการใช้ Gmail คุณสามารถใช้แอปตรวจสอบสิทธิ์ได้ ไม่ต้องซิงค์รหัสใดๆ กับคลาวด์ ใช้บัญชีที่แยกจากกันโดยสิ้นเชิงบนโทรศัพท์ของคุณจากสิ่งที่คุณใช้บนเดสก์ท็อป ใช้หลายบัญชี ฯลฯ ฉันไม่ต้องการที่จะเหยียดหยามเกินไป แต่นี่เป็นโอกาสทองที่จะบังคับให้ผู้คนตรวจสอบสิทธิ์บนโทรศัพท์ของพวกเขาตลอดไป และยอมจำนนต่อชีวิตที่ไร้จุดหมายของพวกเขาต่อผู้ควบคุมข้อมูล
ฉันไม่รู้ว่าจะเป็นเช่นนั้นหรือเปล่า แต่ฉันไม่มีเหตุผลที่จะมองโลกในแง่ดี ลองย้อนกลับไปดูสิบห้าปีที่ผ่านมาสิ บัญชีออนไลน์สำหรับทุกสิ่ง คลาวด์คลาวด์ คลาวด์ไร้สาระทุกที่ Manifest V3 โฆษณา โฆษณา "ความเป็นส่วนตัว" และขยะไร้ประโยชน์อื่น ๆ ทุกสิ่งได้รับการออกแบบมาเพื่อเก็บเกี่ยวข้อมูลจากคนโง่มากขึ้น และทำให้พวกเขาเชื่อมโยงกันมากขึ้น และติดใจและพึ่งพาบริษัทใหญ่ๆ ได้มากขึ้น ทำไมสิ่งนี้ถึงแตกต่างออกไป?
ความหวังเล็กๆ น้อยๆ ประการหนึ่งที่ฉันมีก็คือสหภาพยุโรปอาจบังคับให้มีความเป็นส่วนตัวและการไม่เปิดเผยตัวตนในระดับหนึ่งเข้ามาในสมการ แต่นั่นไม่สามารถแก้ปัญหาความต้องการของทุกคนทั่วโลกได้ และหวังว่าจะมีการต่อต้านและเสียงรบกวนเพียงพอ ดังนั้นอะไรก็ตามที่เข้ามาแทนที่ SMS ก็สมเหตุสมผล มีประโยชน์ และเรียบง่าย ฉันได้แต่หวังเท่านั้น
บทสรุป
ฉันไม่รังเกียจที่ Google พยายามทำให้การเข้าสู่ระบบปลอดภัยยิ่งขึ้น ใช่ 2FA ที่ใช้รหัส OTP ที่สร้างโดยแอปออฟไลน์นั้นดีกว่า SMS แต่รหัส QR ซึ่งเป็นแนวคิดด้านความปลอดภัยนั้นแย่กว่าล้านเท่า ในทำนองเดียวกัน การแตะมีไว้สำหรับคนโง่ รหัสรหัสผ่านนั้นไร้สาระ ยกเว้นผู้ที่มีความมุ่งมั่นเป็นพิเศษ และคีย์ฮาร์ดแวร์ก็เหมาะสมอย่างยิ่งสำหรับมืออาชีพและบุคคลที่มีชื่อเสียง สำหรับคนทั่วไป SMS เป็นตัวเลือกที่ง่ายและเชื่อถือได้ และยังคงเป็นเช่นนั้น แอปที่คล้ายกับ Authenticator เหมาะสำหรับผู้ที่รอบรู้และมีเงินและความรู้เพียงพอที่จะใช้สมาร์ทโฟน
การลบ SMS ไม่ใช่แค่เกี่ยวกับเทคโนโลยีเท่านั้น แต่ยังเกี่ยวกับสังคมด้วย การกำจัดอย่างมีประสิทธิภาพจะขจัดคนจนและคนแก่ออกจากสมการ นั่นคือการกีดกันทางการเงินและเทคโนโลยี แต่คนเหล่านั้นกลับไม่ทำกำไร พวกเขาจะไม่ "สมัคร" บริการหรือดูโฆษณา แล้วใครจะสนใจล่ะ? เรายังคงต้องดูว่า Google จะทำอะไร บางทีมันอาจจะเป็นสิ่งที่สมเหตุสมผลและเจ๋งจริงๆ หรือไม่เลย เราจะได้เห็น. ไม่ว่ามันจะเป็นอะไรก็ตาม ถ้ามันต้องใช้รหัส QR มันก็จะแย่ น่ากลัว โง่เขลา และไม่มีจุดหมาย ลาก่อน.
ไชโย
