A Gmail-fiókok több mint 90 százalékában nincs engedélyezve a kéttényezős hitelesítés (2FA) A Google és a 2FA felhasználók 10 százaléka tapasztalt problémákat a nekik küldött SMS-hitelesítési kódok használatával telefonok.
Ha nem használja a Gmail kéttényezős hitelesítését, akkor nem Ön az egyetlen. A héten a Usenix Enigma 2018 biztonsági konferencián Grzegorz Milka, a Google szoftvermérnöke felfedte, hogy több mint Az aktív Gmail-felhasználók 90 százaléka nem engedélyezte a kétlépcsős azonosítást a fiókjában, és ez a 10 százalékuk WHO van aktiválva volt, és nem sikerült kitalálniuk, hogyan használják a telefonjukra küldött SMS-hitelesítési kódokat.
"Arról van szó, hogy hány embert hajtanánk ki, ha további biztonságra kényszerítenénk őket" - mondta Milka arra a kérdésre, hogy a Google miért nem engedélyezi alapértelmezés szerint a kéttényezős hitelesítést. "A válasz a használhatóság."
A kéttényezős hitelesítés vagy a 2FA egy olyan protokoll, amely további hitelesítési réteget ad a bejelentkezési folyamathoz. Ha engedélyezte a 2FA-t egy online szolgáltatásban, és megadja felhasználónevét és jelszavát, a rendszer kérni fogja egy további információkat a bejelentkezés előtt -- általában egy véletlenszerűen generált betű- és számsor, amelyet szöveges üzenetben vagy egy alkalmazás tetszik
Google Authenticator. A 2FA más formáihoz speciális hardver token szükséges (jellemzően USB távirányító formájában, mint pl. Yubico Yubikey-je), amelyet a FIDO Alliance, az interoperábilis biztonsági szabványok kidolgozásával megbízott iparági konzorcium tanúsított.Akkor miért nem használják az emberek? Egyes kutatók szerint nem bíznak benne. Az a a Sophos kiberbiztonsági cég által 2016-ban végzett tanulmány, a válaszadók több mint 15 százaléka hivatkozott a 2FA-val kapcsolatos adatvédelmi aggályaira. Félelmük nem alaptalan: Egyes szakértők az SMS-alapú 2FA gyengeségeire hívták fel a figyelmet arra hivatkozva, hogy a támadók lehallgathatják a telefonszámokat, akiknek sikerül meghamisítaniuk a telefonszámokat.
A Google a maga részéről megengedi G Suite a vállalati ügyfelek aktívan tiltják a gyenge SMS-hitelesítési tokeneket, és alternatív megoldásokon dolgozik.
Októberben bevezetett egy új módszert a 2FA számára, amely az SMS-t a "Google Prompt", a Google Play-szolgáltatásokba beépített ellenőrző képernyő Android rendszeren és a Google alkalmazás iOS rendszeren. Nincs szükség jelmondat megadására, ehelyett olyan heurisztika használatával igazolja személyazonosságát, mint a telefon földrajzi elhelyezkedése és a napszak. A cég egy új szolgáltatást is elindított, Speciális védelmi program, amelyhez nagy horderejű fiókokhoz hardveralapú USB 2FA biztonsági kulcsok szükségesek a Google-parancs vagy SMS helyett.
Mark Risher, a Google identitásrendszerekkel foglalkozó csapatának menedzsere: „Az egyik igazság, amit felfedeztünk, az, hogy az emberek nem fogadnak el nagyobb biztonságot, mint amennyire szükségük van. mondta A perem júliusi interjúban. „Nagykörű fogyasztói internetszolgáltatóként szeretnénk megtalálni ezt a megfelelő egyensúlyt.”
Forrás: The Register