Demnach ist bei mehr als 90 Prozent der Gmail-Konten die Zwei-Faktor-Authentifizierung (2FA) nicht aktiviert Google und 10 Prozent der 2FA-Nutzer hatten Probleme bei der Verwendung der an sie gesendeten SMS-Authentifizierungscodes Telefone.
Wenn Sie die Zwei-Faktor-Authentifizierung von Gmail nicht nutzen, sind Sie nicht der Einzige. Auf der Sicherheitskonferenz Usenix Enigma 2018 diese Woche enthüllte der Google-Softwareentwickler Grzegorz Milka, dass mehr als 90 Prozent der aktiven Gmail-Nutzer haben die Zwei-Faktor-Authentifizierung für ihre Konten nicht aktiviert, und zwar nur 10 Prozent davon WHO haben aktiviert haben, hatten sie Probleme herauszufinden, wie sie die an ihre Telefone gesendeten SMS-Authentifizierungscodes verwenden sollten.
„Es geht darum, wie viele Menschen wir vertreiben würden, wenn wir sie zu zusätzlichen Sicherheitsmaßnahmen zwingen würden“, sagte Milka auf die Frage, warum Google die Zwei-Faktor-Authentifizierung nicht standardmäßig aktiviert. „Die Antwort ist Benutzerfreundlichkeit.“
Die Zwei-Faktor-Authentifizierung oder 2FA ist ein Protokoll, das dem Anmeldevorgang eine zusätzliche Authentifizierungsebene hinzufügt. Wenn Sie 2FA für einen Onlinedienst aktiviert haben und Ihren Benutzernamen und Ihr Passwort eingeben, werden Sie zur Eingabe eines weiteren Bits aufgefordert Informationen, bevor Sie sich anmelden dürfen – normalerweise eine zufällig generierte Folge von Buchstaben und Zahlen, die per SMS oder E-Mail gesendet werden App-like Google Authenticator. Andere Formen von 2FA erfordern einen speziellen Hardware-Token (typischerweise in Form eines USB-Schlüsselanhängers wie z. B Yubicos Yubikey) zertifiziert von der FIDO Alliance, dem Industriekonsortium, das mit der Entwicklung interoperabler Sicherheitsstandards beauftragt ist.
Warum nutzen die Leute es also nicht? Einigen Forschern zufolge trauen sie ihm nicht. In einem Studie des Cybersicherheitsunternehmens Sophos aus dem Jahr 2016, über 15 Prozent der Befragten gaben Datenschutzbedenken bezüglich 2FA an. Ihre Befürchtungen sind nicht unbegründet: Einige Experten haben auf Schwachstellen bei SMS-basierter 2FA hingewiesen und die Gefahr des Abfangens durch Angreifer angeführt, denen es gelingt, Telefonnummern zu fälschen.
Google seinerseits lässt G Suite Unternehmenskunden lehnen schwache SMS-Authentifizierungstoken aktiv ab und arbeiten an Alternativen.
Im Oktober wurde eine neue Methode für 2FA eingeführt, die SMS durch „Google-Eingabeaufforderung", ein Bestätigungsbildschirm, der in die Google Play-Dienste auf Android und die Google-App auf iOS integriert ist. Sie müssen keine Passphrase eingeben, sondern verwenden Heuristiken wie den geografischen Standort Ihres Telefons und die Tageszeit, um Ihre Identität zu überprüfen. Das Unternehmen hat außerdem einen neuen Service eingeführt: Erweitertes Schutzprogramm, das erfordert, dass hochkarätige Konten hardwarebasierte USB-2FA-Sicherheitsschlüssel anstelle der Google-Eingabeaufforderung oder SMS verwenden.
„Eine der Wahrheiten, die wir herausgefunden haben, ist, dass die Leute nicht mehr Sicherheit akzeptieren, als sie für nötig halten“, sagt Mark Risher, Manager im Identitätssysteme-Team von Google erzählt Der Rand in einem Interview im Juli. „Als großer Internetanbieter für Verbraucher wollen wir die richtige Balance finden.“
Quelle: Das Register