Vastavalt andmetele ei ole enam kui 90 protsendil Gmaili kontodest kahefaktoriline autentimine (2FA) lubatud. Google ja 10 protsenti 2FA kasutajatest on kogenud neile saadetud SMS-i autentimiskoodide kasutamisega probleeme telefonid.
Kui te Gmaili kahefaktorilist autentimist ei kasuta, pole te ainus. Sel nädalal toimunud turvakonverentsil Usenix Enigma 2018 paljastas Google'i tarkvarainsener Grzegorz Milka, et rohkem kui 90 protsenti aktiivsetest Gmaili kasutajatest pole oma kontodel kahefaktorilist autentimist lubanud ja 10 protsenti neist WHO on aktiveeritud on olnud raskusi nende telefonidele saadetud SMS-i autentimiskoodide kasutamisega.
"Asi on selles, kui palju inimesi me välja ajaksime, kui sundime neid kasutama täiendavat turvalisust," vastas Milka küsimusele, miks Google ei luba vaikimisi kahefaktorilist autentimist. "Vastus on kasutatavus."
Kahefaktoriline autentimine ehk 2FA on protokoll, mis lisab sisselogimisprotsessile täiendava autentimiskihi. Kui olete võrguteenuses 2FA lubanud ja sisestanud oma kasutajanime ja parooli, palutakse teil sisestada veel üks teave enne sisselogimist – tavaliselt juhuslikult genereeritud tähtede ja numbrite jada, mis saadetakse tekstisõnumi või rakendus meeldib
Google Authenticator. Muud 2FA vormid nõuavad spetsiaalset riistvaramärki (tavaliselt USB-puldi kujul, näiteks Yubico Yubikey), mille on sertifitseerinud FIDO Alliance, tööstuskonsortsium, mille ülesandeks on koostalitlusvõimeliste turvastandardite väljatöötamine.Miks siis inimesed seda ei kasuta? Mõnede teadlaste sõnul nad seda ei usalda. Sees Küberjulgeolekufirma Sophose poolt 2016. aastal läbi viidud uuring, üle 15 protsendi vastanutest viitas 2FA-ga seotud privaatsusprobleemidele. Nende hirmud ei ole alusetud: mõned eksperdid on viidanud SMS-põhise 2FA nõrkustele, viidates telefoninumbrite võltsimisega tegelevate ründajate pealtkuulamise ohule.
Google omalt poolt laseb G Suite ettevõtte kliendid keelavad aktiivselt nõrgad SMS-i autentimismärgid ja see töötab alternatiivide kallal.
Oktoobris käivitas see 2FA jaoks uue meetodi, mis asendas SMS-iGoogle'i viip", Androidi Google Play teenustesse ja iOS-i Google'i rakendusse sisseehitatud kinnitusekraan. See ei nõua parooli sisestamist, selle asemel kasutage oma identiteedi kinnitamiseks heuristikat, nagu telefoni geograafiline asukoht ja kellaaeg. Ettevõte tõi turule ka uue teenuse, Täiustatud kaitse programm, mis nõuab kõrge profiiliga kontodel riistvarapõhiste USB 2FA turvavõtmete kasutamist Google'i viipa või SMS-i asemel.
"Üks tõde, mille oleme leidnud, on see, et inimesed ei aktsepteeri suuremat turvalisust, kui nad arvavad, et nad vajavad," Mark Risher, Google'i identiteedisüsteemide meeskonna juht. rääkis The Verge juulil antud intervjuus. "Suuremahulise Interneti-teenuse pakkujana tahame leida selle õige tasakaalu."
Allikas: The Register