Πάνω από το 90 τοις εκατό των λογαριασμών Gmail δεν έχουν ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA), σύμφωνα με Η Google και το 10 τοις εκατό των χρηστών 2FA αντιμετώπισαν προβλήματα χρησιμοποιώντας τους κωδικούς ελέγχου ταυτότητας SMS που αποστέλλονται στους τηλέφωνα.
Εάν δεν χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων του Gmail, δεν είστε ο μόνος. Στο συνέδριο ασφαλείας Usenix Enigma 2018 αυτή την εβδομάδα, ο μηχανικός λογισμικού της Google Grzegorz Milka αποκάλυψε ότι περισσότερα από Το 90 τοις εκατό των ενεργών χρηστών του Gmail δεν έχουν ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων στους λογαριασμούς τους και αυτό το 10 τοις εκατό ΠΟΥ έχω Το ενεργοποιημένο είχε πρόβλημα να καταλάβουν πώς να χρησιμοποιήσουν τους κωδικούς ελέγχου ταυτότητας SMS που αποστέλλονται στα τηλέφωνά τους.
«Είναι περίπου πόσα άτομα θα διώχναμε αν τους αναγκάζαμε να χρησιμοποιήσουν πρόσθετη ασφάλεια», είπε η Milka, όταν ρωτήθηκε γιατί η Google δεν ενεργοποιεί τον έλεγχο ταυτότητας δύο παραγόντων από προεπιλογή. «Η απάντηση είναι η χρηστικότητα».
Ο έλεγχος ταυτότητας δύο παραγόντων, ή 2FA, είναι ένα πρωτόκολλο που προσθέτει ένα επιπλέον επίπεδο ελέγχου ταυτότητας στη διαδικασία σύνδεσης. Όταν έχετε ενεργοποιήσει το 2FA σε μια ηλεκτρονική υπηρεσία και εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, σας ζητείται ένα επιπλέον κομμάτι πληροφορίες πριν σας επιτραπεί να συνδεθείτε -- συνήθως μια τυχαία δημιουργημένη σειρά γραμμάτων και αριθμών που αποστέλλονται μέσω μηνύματος κειμένου ή όπως η εφαρμογή Επαληθευτής Google. Άλλες μορφές 2FA απαιτούν ένα ειδικό διακριτικό υλικού (συνήθως με τη μορφή κλειδιού USB, όπως π. Το Yubikey της Yubico) πιστοποιημένο από την FIDO Alliance, τη βιομηχανική κοινοπραξία που έχει επιφορτιστεί με την ανάπτυξη διαλειτουργικών προτύπων ασφαλείας.
Γιατί λοιπόν δεν το χρησιμοποιούν οι άνθρωποι; Σύμφωνα με ορισμένους ερευνητές, δεν το εμπιστεύονται. Σε ένα μελέτη που πραγματοποιήθηκε από την εταιρεία κυβερνοασφάλειας Sophos το 2016, πάνω από το 15 τοις εκατό των ερωτηθέντων ανέφεραν ανησυχίες για το απόρρητο σχετικά με το 2FA. Οι φόβοι τους δεν είναι αβάσιμοι: Ορισμένοι ειδικοί έχουν επισημάνει τις αδυναμίες του 2FA που βασίζεται σε SMS, αναφέροντας τον κίνδυνο υποκλοπής από επιτιθέμενους που καταφέρνουν να πλαστογραφήσουν αριθμούς τηλεφώνου.
Η Google, από την πλευρά της, αφήνει G Suite Οι εταιρικοί πελάτες αποκλείουν ενεργά τα αδύναμα διακριτικά ελέγχου ταυτότητας SMS και εργάζεται σε εναλλακτικές λύσεις.
Τον Οκτώβριο, κυκλοφόρησε μια νέα μέθοδο για το 2FA που αντικατέστησε τα SMS με το "Προτροπή Google", μια οθόνη επαλήθευσης ενσωματωμένη στις υπηρεσίες Google Play στο Android και στην εφαρμογή Google στο iOS. Δεν απαιτεί από εσάς να εισαγάγετε μια φράση πρόσβασης, αλλά χρησιμοποιώντας ευρετικές μεθόδους, όπως η γεωγραφική θέση του τηλεφώνου σας και η ώρα της ημέρας, επαληθεύστε την ταυτότητά σας. Η εταιρεία ξεκίνησε επίσης μια νέα υπηρεσία, Πρόγραμμα Προηγμένης Προστασίας, που απαιτεί από λογαριασμούς υψηλού προφίλ να χρησιμοποιούν κλειδιά ασφαλείας USB 2FA που βασίζονται σε υλικό αντί για το μήνυμα προτροπής ή SMS της Google.
"Μια από τις αλήθειες που βρήκαμε είναι ότι οι άνθρωποι δεν θα δεχτούν περισσότερη ασφάλεια από ό, τι νομίζουν ότι χρειάζονται", ο Mark Risher, διευθυντής στην ομάδα συστημάτων ταυτότητας της Google είπε Το χείλος σε συνέντευξή του τον Ιούλιο. «Ως μεγάλης κλίμακας πάροχος διαδικτύου για καταναλωτές, θέλουμε να βρούμε τη σωστή ισορροπία».
Πηγή: The Register