Plus de 90 % des comptes Gmail n'ont pas d'authentification à deux facteurs (2FA), selon Google et 10 % des utilisateurs 2FA ont rencontré des problèmes lors de l'utilisation des codes d'authentification SMS envoyés à leur compte. Téléphone (s.
Si vous n'utilisez pas l'authentification à deux facteurs de Gmail, vous n'êtes pas le seul. Lors de la conférence sur la sécurité Usenix Enigma 2018 cette semaine, l'ingénieur logiciel de Google, Grzegorz Milka, a révélé que plus de 90 % des utilisateurs actifs de Gmail n'ont pas activé l'authentification à deux facteurs sur leurs comptes, et 10 % d'entre eux OMS avoir activé, ils ont eu du mal à comprendre comment utiliser les codes d'authentification SMS envoyés à leurs téléphones.
"Il s'agit de savoir combien de personnes nous chasserions si nous les forcions à utiliser une sécurité supplémentaire", a déclaré Milka, lorsqu'on lui a demandé pourquoi Google n'activait pas l'authentification à deux facteurs par défaut. "La réponse est la convivialité."
L'authentification à deux facteurs, ou 2FA, est un protocole qui ajoute une couche d'authentification supplémentaire au processus de connexion. Lorsque vous avez activé 2FA sur un service en ligne et que vous entrez votre nom d'utilisateur et votre mot de passe, vous êtes invité à saisir un peu plus d'informations. informations avant que vous soyez autorisé à vous connecter - généralement une chaîne de lettres et de chiffres générée de manière aléatoire et envoyée par message texte ou par un application comme Authentificateur Google. D'autres formes de 2FA nécessitent un jeton matériel spécial (généralement sous la forme d'une clé USB telle que Yubikey de Yubico) certifié par la FIDO Alliance, le consortium industriel chargé de développer des normes de sécurité interopérables.
Alors pourquoi les gens ne l’utilisent-ils pas? Selon certains chercheurs, ils ne lui font pas confiance. Dans un étude menée par la société de cybersécurité Sophos en 2016, plus de 15 % des personnes interrogées ont évoqué des problèmes de confidentialité concernant la 2FA. Leurs craintes ne sont pas sans fondement: certains experts ont souligné les faiblesses du 2FA basé sur les SMS, citant le risque d'interception par des attaquants qui parviennent à usurper les numéros de téléphone.
Google, de son côté, laisse G Suite Les entreprises clientes refusent activement les jetons d'authentification SMS faibles et travaillent sur des alternatives.
En octobre, il a déployé une nouvelle méthode pour 2FA qui a remplacé les SMS par le "Invite Google", un écran de vérification intégré aux services Google Play sur Android et à l'application Google sur iOS. Il ne vous est pas nécessaire de saisir une phrase secrète, mais d'utiliser des heuristiques telles que l'emplacement géographique de votre téléphone et l'heure de la journée pour vérifier votre identité. L'entreprise a également lancé un nouveau service, Programme de protection avancée, qui nécessite que les comptes de haut niveau utilisent des clés de sécurité USB 2FA matérielles au lieu de l'invite Google ou des SMS.
"L'une des vérités que nous avons découvertes est que les gens n'accepteront pas plus de sécurité que ce dont ils pensent avoir besoin", Mark Risher, responsable de l'équipe des systèmes d'identité de Google. dit Le bord dans une interview en juillet. « En tant que fournisseur Internet grand public à grande échelle, nous souhaitons trouver ce juste équilibre. »
Source: Le Registre