Menos del 10% de los usuarios de Gmail tienen habilitada la autenticación de dos factores

Más del 90 por ciento de las cuentas de Gmail no tienen habilitada la autenticación de dos factores (2FA), según Google y el 10 por ciento de los usuarios de 2FA han experimentado problemas al utilizar los códigos de autenticación por SMS enviados a sus Los telefonos.

Si no utilizas la autenticación de dos factores de Gmail, no eres el único. En la conferencia de seguridad Usenix Enigma 2018 esta semana, el ingeniero de software de Google Grzegorz Milka reveló que más de El 90 por ciento de los usuarios activos de Gmail no han habilitado la autenticación de dos factores en sus cuentas, y ese 10 por ciento de ellos OMS tener activado han tenido problemas para descubrir cómo utilizar los códigos de autenticación SMS enviados a sus teléfonos.

"Se trata de cuántas personas expulsaríamos si las obligamos a utilizar seguridad adicional", dijo Milka, cuando se le preguntó por qué Google no habilita la autenticación de dos factores de forma predeterminada. "La respuesta es la usabilidad".

La autenticación de dos factores, o 2FA, es un protocolo que agrega una capa adicional de autenticación al proceso de inicio de sesión. Cuando ha habilitado 2FA en un servicio en línea e ingresa su nombre de usuario y contraseña, se le solicitará un bit adicional de información antes de que se le permita iniciar sesión (generalmente una cadena de letras y números generada aleatoriamente enviada por mensaje de texto o un aplicación como

Autenticador de Google. Otras formas de 2FA requieren un token de hardware especial (normalmente en forma de llavero USB, como Yubikey de Yubico) certificado por FIDO Alliance, el consorcio industrial encargado de desarrollar estándares de seguridad interoperables.

Entonces, ¿por qué la gente no lo usa? Según algunos investigadores, no se fían. en un estudio realizado por la empresa de ciberseguridad Sophos en 2016, más del 15 por ciento de los encuestados mencionaron preocupaciones de privacidad sobre 2FA. Sus temores no son infundados: algunos expertos han señalado debilidades en 2FA basado en SMS, citando el riesgo de interceptación por parte de atacantes que logran falsificar números de teléfono.

Google, por su parte, permite Google Suite Los clientes empresariales rechazan activamente los tokens de autenticación de SMS débiles y está trabajando en alternativas.

En octubre, lanzó un nuevo método para 2FA que reemplazó los SMS con el "Aviso de Google", una pantalla de verificación integrada en los servicios de Google Play en Android y en la aplicación de Google en iOS. No requiere que ingrese una frase de contraseña, sino que utiliza heurísticas como la ubicación geográfica de su teléfono y la hora del día para verificar su identidad. La compañía también lanzó un nuevo servicio, Programa de protección avanzada, que requiere que las cuentas de alto perfil utilicen llaves de seguridad USB 2FA basadas en hardware en lugar de Google Prompt o SMS.

"Una de las verdades que hemos descubierto es que las personas no aceptarán más seguridad de la que creen que necesitan", Mark Risher, gerente del equipo de sistemas de identidad de Google. dijo El borde en una entrevista en julio. "Como proveedor de Internet para consumidores a gran escala, queremos encontrar el equilibrio adecuado".


Fuente: El Registro