簡訊驗證碼不再安全，Google Gmail 改用 QR code 提升安全性

使用 SMS 簡訊驗證碼來進行身分驗證並非理想的安全措施早已不是秘密。就如同科技產業正在逐步從傳統密碼轉向更安全的生物辨識 Passkeys，過去幾年來，驗證碼應用程式（Authenticator Apps），甚至無需應用程式的雙重驗證（2FA）方式，已逐漸成為主流。然而相較於完全沒有身分驗證機制，SMS 確實仍然是一個不錯的選擇。

據《Forbes》引述 Google 內部人士報導，Gmail 現在準備淘汰 SMS 簡訊驗證碼，並改用 QR 碼來提升安全性。

Gmail 發言人 Ross Richendrfer 指稱，就像我們希望透過 Passkeys 擺脫傳統密碼一樣，我們也希望停止使用 SMS 簡訊來進行身分驗證。Google 計劃全面淘汰 SMS 驗證碼，改以 QR 碼取而代之，以減少全球猖獗的 SMS 濫用問題。

目前 Google 使用簡訊驗證碼的二大用途在於：一是安全驗證，以確保用戶與先前登入的使用者相同；再者是防止濫用，防止詐騙者濫用 Google 服務，例如大量創建 Gmail 帳號來發送垃圾郵件或散播惡意軟體。

只不過 Google 內部專家 Richendrfer 和 Kimberly Samra 都表示，簡訊驗證碼仍存在許多安全風險，包括：

容易被釣魚攻擊：駭客可以透過社交工程手法，誘騙用戶提供驗證碼。
設備存取問題：用戶可能無法隨時存取收到驗證碼的裝置，影響使用便利性。

依賴電信業者的安全機制：如果駭客能夠輕易說服電信業者竊取用戶的電話號碼（例如 SIM 交換攻擊），那麼 SMS 驗證碼的安全性將蕩然無存。

Richendrfer 和 Samra 解釋，詐騙者會誘使網路服務提供商向他們控制的電話號碼發送大量 SMS 訊息，並透過這些簡訊的傳送獲取報酬。這種手法也被稱為人為流量膨脹（Artificial Traffic Inflation）或通訊詐欺（Toll Fraud），但本質上運作方式相同。

Richendrfer 表示，未來幾個月內 Google 將重新設計手機號碼驗證機制。具體來說，用戶不再輸入手機號碼並接收 6 位數驗證碼，而是會看到一個 QR 碼，使用手機相機掃描即可完成驗證。雖然 QR 碼並不是最受歡迎的技術（過去不少用戶曾對其表達不滿），但 Google 認為這將是一個重大安全進展，能有效減少與 SMS 相關的安全風險。

Google 認為，從驗證碼轉向使用 QR code 有兩大好處：降低釣魚攻擊風險、減少對電信業者的依賴。

但何時會做出這項轉變目前 Google 還未有具體時間表，不過 Richendrfer 表示，簡訊驗證碼對用戶而言是一個高風險因素，我們很高興能夠推出創新的驗證方式，減少攻擊者的可利用範圍，讓用戶更安全。

雖然 Google 尚未公布確切的實施時間，但這項安全升級無疑是一項迫切需要的變革，預計會在 Gmail 和 Google 帳號安全機制中逐步推行。