Više od 90 posto Gmail računa nema omogućenu autentifikaciju u dva faktora (2FA), prema Google, a 10 posto 2FA korisnika imalo je problema s korištenjem SMS kodova za provjeru autentičnosti poslanih na telefoni.
Ako ne koristite Gmailovu dvofaktorsku autentifikaciju, niste jedini. Na ovotjednoj konferenciji o sigurnosti Usenix Enigma 2018, Googleov softverski inženjer Grzegorz Milka otkrio je da je više od 90 posto aktivnih korisnika Gmaila nije omogućilo dvofaktorsku autentifikaciju na svojim računima, a 10 posto onih WHO imati aktivirali su imali problema s otkrivanjem kako koristiti SMS kodove za provjeru autentičnosti poslane na njihove telefone.
"Radi se o tome koliko bismo ljudi istjerali ako ih prisilimo na dodatnu sigurnost", rekla je Milka na pitanje zašto Google ne omogućuje autentifikaciju u dva faktora prema zadanim postavkama. "Odgovor je upotrebljivost."
Dvofaktorska autentifikacija ili 2FA je protokol koji dodaje dodatni sloj autentifikacije procesu prijave. Kada omogućite 2FA na mrežnoj usluzi i unesete svoje korisničko ime i lozinku, od vas će se tražiti dodatni dio informacije prije nego što vam je dopušteno da se prijavite -- obično nasumično generirani niz slova i brojeva poslan putem tekstualne poruke ili poput aplikacije
Pa zašto ga ljudi ne koriste? Prema nekim istraživačima, oni u to ne vjeruju. U studija koju je provela tvrtka za kibernetičku sigurnost Sophos 2016, više od 15 posto ispitanika navelo je zabrinutost zbog privatnosti u vezi s 2FA. Njihovi strahovi nisu neutemeljeni: neki su stručnjaci ukazali na slabosti u 2FA baziranom na SMS-u, navodeći rizik od presretanja od strane napadača koji uspiju lažirati telefonske brojeve.
Google, sa svoje strane, dopušta G Suite poslovni korisnici aktivno zabranjuju slabe tokene za autentifikaciju SMS-a i radi na alternativama.
U listopadu je pokrenuo novu metodu za 2FA koja je zamijenila SMS s "Googleov upit", ekran za potvrdu ugrađen u Google Play usluge na Androidu i Google aplikaciju na iOS-u. Ne zahtijeva unos zaporke, već pomoću heuristike kao što je geografska lokacija vašeg telefona i doba dana potvrđuje vaš identitet. Tvrtka je također pokrenula novu uslugu, Program napredne zaštite, koji zahtijeva da računi visokog profila koriste hardverske USB 2FA sigurnosne ključeve umjesto Googleove obavijesti ili SMS-a.
"Jedna od istina koje smo otkrili jest da ljudi neće prihvatiti više sigurnosti nego što misle da im je potrebno", Mark Risher, voditelj Googleovog tima za sustave identiteta ispričao The Verge u intervjuu u srpnju. "Kao davatelj internetskih usluga velikih razmjera, želimo pronaći pravu ravnotežu."
Izvor: Registar