Více než 90 procent účtů Gmail nemá povoleno dvoufaktorové ověřování (2FA). Google a 10 procent uživatelů 2FA zaznamenalo problémy s používáním SMS ověřovacích kódů, které jim byly zaslány telefony.
Pokud nepoužíváte dvoufaktorové ověřování Gmailu, nejste jediní. Na bezpečnostní konferenci Usenix Enigma 2018 tento týden softwarový inženýr Google Grzegorz Milka prozradil, že více než 90 procent aktivních uživatelů Gmailu si na svých účtech nepovolilo dvoufaktorové ověřování a 10 procent z nich SZO mít Po aktivaci měl problém zjistit, jak používat SMS autentizační kódy zaslané na jejich telefony.
„Jde o to, kolik lidí bychom vyhnali, kdybychom je donutili používat další zabezpečení,“ odpověděla Milka na otázku, proč Google ve výchozím nastavení nepovoluje dvoufaktorové ověřování. "Odpovědí je použitelnost."
Dvoufaktorová autentizace neboli 2FA je protokol, který přidává další vrstvu autentizace do procesu přihlašování. Když povolíte 2FA na online službě a zadáte své uživatelské jméno a heslo, budete vyzváni k zadání dalšího informace, než se budete moci přihlásit – obvykle náhodně vygenerovaný řetězec písmen a čísel odeslaný prostřednictvím textové zprávy nebo zprávy jako aplikace
Google Authenticator. Jiné formy 2FA vyžadují speciální hardwarový token (typicky ve formě USB klíčenky jako např Yubico's Yubikey) certifikovaný FIDO Alliance, průmyslové konsorcium pověřené vývojem interoperabilních bezpečnostních standardů.Tak proč to lidé nepoužívají? Podle některých badatelů tomu nevěří. V studie provedená společností Sophos pro kybernetickou bezpečnost v roce 2016Více než 15 procent respondentů uvedlo obavy ohledně ochrany osobních údajů ohledně 2FA. Jejich obavy nejsou neopodstatněné: Někteří odborníci poukázali na slabé stránky 2FA založeného na SMS a uvedli riziko zachycení útočníky, kterým se podaří podvrhnout telefonní čísla.
Google ze své strany umožňuje G Suite firemní zákazníci aktivně zakazují slabé autentizační tokeny SMS a pracuje se na alternativách.
V říjnu spustila novou metodu pro 2FA, která nahradila SMS s „Výzva Google“, ověřovací obrazovka integrovaná do služeb Google Play pro Android a aplikace Google pro iOS. Nevyžaduje zadání přístupové fráze, místo toho pomocí heuristiky, jako je geografická poloha vašeho telefonu a denní doba, ověří vaši identitu. Společnost také spustila novou službu, Program pokročilé ochrany, která vyžaduje, aby vysoce profilované účty používaly hardwarové bezpečnostní klíče USB 2FA namísto výzvy Google nebo SMS.
„Jednou z pravd, které jsme zjistili, je, že lidé nepřijmou více zabezpečení, než si myslí, že potřebují,“ Mark Risher, manažer týmu pro systémy identit Google. řekl The Verge v rozhovoru v červenci. "Jako velký spotřebitelský poskytovatel internetu chceme najít tu správnou rovnováhu."
Zdroj: The Register