Mere end 90 procent af Gmail-konti har ikke to-faktor-godkendelse (2FA) aktiveret, ifølge Google og 10 procent af 2FA-brugere har oplevet problemer med at bruge de sms-godkendelseskoder, der er sendt til deres telefoner.
Hvis du ikke bruger Gmails to-faktor-godkendelse, er du ikke den eneste. På Usenix Enigma 2018 sikkerhedskonferencen i denne uge afslørede Googles softwareingeniør Grzegorz Milka, at mere end 90 procent af aktive Gmail-brugere har ikke aktiveret to-faktor-godkendelse på deres konti, og at 10 procent af disse WHO har aktiveret den har haft problemer med at finde ud af, hvordan man bruger de SMS-godkendelseskoder, der sendes til deres telefoner.
"Det handler om, hvor mange mennesker vi ville drive ud, hvis vi tvinger dem til at bruge yderligere sikkerhed," sagde Milka, da han blev spurgt, hvorfor Google ikke aktiverer to-faktor-godkendelse som standard. "Svaret er brugervenlighed."
To-faktor autentificering, eller 2FA, er en protokol, der tilføjer et ekstra lag af autentificering til login-processen. Når du har aktiveret 2FA på en onlinetjeneste og indtaster dit brugernavn og din adgangskode, bliver du bedt om en ekstra smule oplysninger, før du får lov til at logge ind -- normalt en tilfældigt genereret streng af bogstaver og tal sendt via sms eller en app som
Så hvorfor bruger folk det ikke? Ifølge nogle forskere stoler de ikke på det. I en undersøgelse udført af cybersikkerhedsfirmaet Sophos i 2016, citerede over 15 procent af de adspurgte bekymringer om privatlivets fred omkring 2FA. Deres frygt er ikke grundløs: Nogle eksperter har peget på svagheder i SMS-baseret 2FA, med henvisning til risikoen for aflytning af angribere, der formår at forfalske telefonnumre.
Google på sin side lader G Suite virksomhedskunder afviser aktivt svage SMS-godkendelsestokens, og det arbejder på alternativer.
I oktober udrullede det en ny metode til 2FA, der erstattede SMS med "Google-prompt", en bekræftelsesskærm indbygget i Google Play-tjenester på Android og Google-appen på iOS. Det kræver ikke, at du indtaster en adgangssætning, i stedet bruger heuristik som din telefons geografiske placering og tidspunktet på dagen for at bekræfte din identitet. Virksomheden har også lanceret en ny tjeneste, Avanceret beskyttelsesprogram, der kræver, at højprofilerede konti bruger hardwarebaserede USB 2FA-sikkerhedsnøgler i stedet for Google-prompt eller SMS.
"En af de sandheder, vi har fundet, er, at folk ikke vil acceptere mere sikkerhed, end de tror, de har brug for," Mark Risher, en leder på Googles identitetssystemteam fortalte Randen i et interview i juli. "Som en storstilet forbrugerinternetudbyder ønsker vi at finde den rigtige balance."
Kilde: Registret