Yli 90 prosentissa Gmail-tileistä ei ole käytössä kaksivaiheista todennusta (2FA) Google ja 10 prosenttia 2FA-käyttäjistä ovat kokeneet ongelmia heille lähetettyjen SMS-todennuskoodien käytössä puhelimet.
Jos et käytä Gmailin kaksivaiheista todennusta, et ole ainoa. Usenix Enigma 2018 -tietoturvakonferenssissa tällä viikolla Googlen ohjelmistoinsinööri Grzegorz Milka paljasti, että enemmän kuin 90 prosenttia aktiivisista Gmailin käyttäjistä ei ole ottanut kaksivaiheista todennusta käyttöön tileillään, ja 10 prosenttia heistä WHO omistaa aktivoituneena, heillä on ollut vaikeuksia selvittää, kuinka käyttää heidän puhelimiinsa lähetettyjä SMS-todennuskoodeja.
"Kyse on siitä, kuinka monta ihmistä ajaisimme ulos, jos pakotamme heidät käyttämään lisäturvaa", Milka sanoi, kun kysyttiin, miksi Google ei ota oletusarvoisesti käyttöön kaksivaiheista todennusta. "Vastaus on käytettävyys."
Kaksivaiheinen todennus tai 2FA on protokolla, joka lisää ylimääräisen todennuskerroksen kirjautumisprosessiin. Kun olet ottanut 2FA: n käyttöön verkkopalvelussa ja kirjoittanut käyttäjätunnuksesi ja salasanasi, sinua pyydetään lisäämään tiedot ennen kuin voit kirjautua sisään – yleensä satunnaisesti luotu kirjain- ja numerosarja, joka lähetetään tekstiviestillä tai sovelluksen kaltainen
Joten miksi ihmiset eivät käytä sitä? Joidenkin tutkijoiden mukaan he eivät luota siihen. Jonkin sisällä Kyberturvallisuusyhtiö Sophosin vuonna 2016 tekemä tutkimus, yli 15 prosenttia vastaajista mainitsi 2FA: n tietosuojahuolet. Heidän pelkonsa eivät ole perusteettomia: Jotkut asiantuntijat ovat huomauttaneet SMS-pohjaisen 2FA: n heikkouksista vetoamalla siihen, että hyökkääjät voivat siepata puhelinnumeroita.
Google puolestaan sallii G Suite yritysasiakkaat kieltävät aktiivisesti heikot SMS-todennustunnukset, ja se etsii vaihtoehtoja.
Lokakuussa se otti käyttöön uuden menetelmän 2FA: lle, joka korvasi tekstiviestin "Google-kehote", vahvistusnäyttö, joka on sisäänrakennettu Google Play -palveluihin Androidissa ja Google-sovellukseen iOS: ssä. Se ei edellytä salasanan syöttämistä, vaan henkilöllisyytesi vahvistamiseen käytetään heuristiikkaa, kuten puhelimesi maantieteellinen sijainti ja kellonaika. Yhtiö lanseerasi myös uuden palvelun, Lisäsuojausohjelma, joka vaatii korkean profiilin tilejä käyttämään laitteistopohjaisia USB 2FA -suojausavaimia Google-kehotteen tai tekstiviestin sijaan.
"Yksi löytämistämme totuuksista on, että ihmiset eivät hyväksy enempää turvallisuutta kuin he luulevat tarvitsevansa", Mark Risher, Googlen identiteettijärjestelmätiimin johtaja. kertonut The Verge haastattelussa heinäkuussa. "Laajamittainen kuluttaja-internet-palveluntarjoajana haluamme löytää oikean tasapainon."
Lähde: The Register