أكثر من 90 بالمائة من حسابات Gmail لا تحتوي على خاصية المصادقة الثنائية (2FA)، وفقًا لـ Google و10 بالمائة من مستخدمي المصادقة الثنائية واجهوا مشكلات في استخدام رموز مصادقة الرسائل القصيرة المرسلة إلى حساباتهم الهواتف.
إذا كنت لا تستخدم المصادقة الثنائية في Gmail، فأنت لست الوحيد. في مؤتمر الأمن Usenix Enigma 2018 هذا الأسبوع، كشف مهندس برمجيات Google، جريزيجورز ميلكا، أن أكثر من 90% من مستخدمي Gmail النشطين لم يقوموا بتمكين المصادقة الثنائية على حساباتهم، وأن 10% من هؤلاء من يملك لقد واجهوا مشكلة في معرفة كيفية استخدام رموز التحقق عبر الرسائل القصيرة المرسلة إلى هواتفهم.
قال ميلكا عندما سئل عن سبب عدم تمكين Google للمصادقة الثنائية بشكل افتراضي: "يتعلق الأمر بعدد الأشخاص الذين سنطردهم إذا أجبرناهم على استخدام أمان إضافي". "الجواب هو سهولة الاستخدام."
المصادقة الثنائية، أو 2FA، هي بروتوكول يضيف طبقة إضافية من المصادقة إلى عملية تسجيل الدخول. عندما تقوم بتمكين المصادقة الثنائية (2FA) على خدمة عبر الإنترنت وإدخال اسم المستخدم وكلمة المرور الخاصين بك، سيُطلب منك القليل من المعلومات قبل السماح لك بتسجيل الدخول - عادةً ما تكون سلسلة من الأحرف والأرقام يتم إنشاؤها عشوائيًا ويتم إرسالها عبر رسالة نصية أو رسالة نصية التطبيق مثل
أداة مصادقة جوجل. تتطلب الأشكال الأخرى من المصادقة الثنائية (2FA) رمزًا خاصًا للأجهزة (عادةً في شكل سلسلة مفاتيح USB مثل يوبيكو يوبيكي) معتمد من FIDO Alliance، وهو اتحاد الصناعة المكلف بتطوير معايير الأمان القابلة للتشغيل البيني.فلماذا لا يستخدمه الناس؟ ووفقا لبعض الباحثين، فإنهم لا يثقون به. في دراسة أجرتها شركة الأمن السيبراني سوفوس في عام 2016، أشار أكثر من 15 بالمائة من المشاركين إلى مخاوف تتعلق بالخصوصية بشأن المصادقة الثنائية. مخاوفهم ليست بلا أساس: فقد أشار بعض الخبراء إلى نقاط ضعف في المصادقة الثنائية المستندة إلى الرسائل القصيرة، مشيرين إلى خطر الاعتراض من قبل المهاجمين الذين يتمكنون من انتحال أرقام الهواتف.
جوجل، من جانبها، تسمح بذلك جي سويت لا يسمح عملاء المؤسسات بشكل نشط برموز مصادقة الرسائل القصيرة الضعيفة، ويعملون على إيجاد بدائل.
في أكتوبر، طرحت طريقة جديدة للمصادقة الثنائية التي استبدلت الرسائل القصيرة بـ "مطالبة جوجل"، شاشة تحقق مدمجة في خدمات Google Play على Android وتطبيق Google على iOS. لا يتطلب الأمر منك إدخال عبارة مرور، وبدلاً من ذلك يمكنك استخدام أدوات استدلالية مثل الموقع الجغرافي لهاتفك والوقت من اليوم للتحقق من هويتك. كما أطلقت الشركة خدمة جديدة وهي برنامج الحماية المتقدمة، والذي يتطلب حسابات رفيعة المستوى لاستخدام مفاتيح أمان USB 2FA المستندة إلى الأجهزة بدلاً من مطالبة Google أو الرسائل النصية القصيرة.
"إحدى الحقائق التي اكتشفناها هي أن الأشخاص لن يقبلوا قدرًا أكبر من الأمان مما يعتقدون أنهم يحتاجون إليه،" مارك ريشر، مدير فريق أنظمة الهوية في Google أخبر الحافة في مقابلة في يوليو. "باعتبارنا مزود خدمة إنترنت للمستهلكين على نطاق واسع، نريد إيجاد التوازن الصحيح."
المصدر: السجل