Повече от 90 процента от акаунтите в Gmail нямат активирана двуфакторна автентификация (2FA), според Google и 10 процента от потребителите на 2FA са имали проблеми при използването на SMS кодовете за удостоверяване, изпратени до техните телефони.
Ако не използвате двуфакторното удостоверяване на Gmail, не сте единственият. На конференцията за сигурност на Usenix Enigma 2018 тази седмица софтуерният инженер на Google Гжегож Милка разкри, че повече от 90 процента от активните потребители на Gmail не са активирали двуфакторно удостоверяване на акаунтите си, а 10 процента от тях СЗО имат активирали са имали проблеми да разберат как да използват кодовете за удостоверяване на SMS, изпратени до техните телефони.
„Става въпрос за това колко хора ще изгоним, ако ги принудим да използват допълнителна сигурност“, каза Милка, попитана защо Google не активира двуфакторно удостоверяване по подразбиране. „Отговорът е използваемостта.“
Двуфакторното удостоверяване или 2FA е протокол, който добавя допълнителен слой удостоверяване към процеса на влизане. Когато сте активирали 2FA в онлайн услуга и въведете вашето потребителско име и парола, ще бъдете подканени да въведете допълнителен бит от информация, преди да ви бъде разрешено да влезете - обикновено произволно генериран низ от букви и цифри, изпратени чрез текстово съобщение или харесване на приложение
Google Authenticator. Други форми на 2FA изискват специален хардуерен токен (обикновено под формата на USB ключодържател, като напр. Yubikey на Yubico), сертифициран от FIDO Alliance, индустриалният консорциум, натоварен с разработването на оперативно съвместими стандарти за сигурност.Така че защо хората не го използват? Според някои изследователи те не му вярват. В проучване, проведено от фирмата за киберсигурност Sophos през 2016 г, над 15 процента от респондентите цитират опасения за поверителността относно 2FA. Страховете им не са безпочвени: Някои експерти посочиха слабостите в базираната на SMS 2FA, цитирайки риска от прихващане от нападатели, които успеят да подправят телефонни номера.
Google от своя страна позволява G Suite корпоративните клиенти активно забраняват слаби токени за удостоверяване на SMS и работи върху алтернативи.
През октомври той пусна нов метод за 2FA, който замени SMS с "Подкана от Google“, екран за потвърждение, вграден в услугите на Google Play на Android и приложението Google на iOS. Не изисква да въвеждате парола, вместо това с помощта на евристика като географското местоположение на телефона ви и времето от деня потвърждавате самоличността си. Компанията стартира и нова услуга, Програма за разширена защита, което изисква акаунти с висок профил да използват хардуерно базирани USB 2FA ключове за сигурност вместо подканата на Google или SMS.
„Една от истините, които открихме, е, че хората няма да приемат повече сигурност, отколкото смятат, че имат нужда“, Марк Ришър, мениджър в екипа на Google за системи за самоличност каза На ръба в интервю през юли. „Като голям потребителски интернет доставчик, ние искаме да намерим правилния баланс.“
Източник: Регистърът