Secondo quanto riportato da Google, oltre il 90% degli account Gmail non ha l'autenticazione a due fattori (2FA) abilitata Google e il 10% degli utenti 2FA hanno riscontrato problemi nell'utilizzo dei codici di autenticazione SMS inviati ai propri telefoni.
Se non utilizzi l'autenticazione a due fattori di Gmail, non sei l'unico. Alla conferenza sulla sicurezza Usenix Enigma 2018 di questa settimana, l’ingegnere informatico di Google Grzegorz Milka ha rivelato che più di Il 90% degli utenti Gmail attivi non ha attivato l'autenticazione a due fattori sui propri account e quel 10% di questi Chi Avere attivato hanno avuto difficoltà a capire come utilizzare i codici di autenticazione SMS inviati ai loro telefoni.
"Si tratta di quante persone scacceremmo se le costringessimo a utilizzare misure di sicurezza aggiuntive", ha detto Milka, quando gli è stato chiesto perché Google non abilita l'autenticazione a due fattori per impostazione predefinita. “La risposta è l’usabilità.”
L'autenticazione a due fattori, o 2FA, è un protocollo che aggiunge un ulteriore livello di autenticazione al processo di accesso. Quando hai abilitato 2FA su un servizio online e inserisci nome utente e password, ti verrà richiesto un ulteriore bit di informazioni prima che ti sia consentito accedere, in genere una stringa di lettere e numeri generata casualmente inviata tramite messaggio di testo o un file app come
Autenticatore di Google. Altre forme di 2FA richiedono un token hardware speciale (in genere sotto forma di un telecomando USB come Yubikey di Yubico) certificato dalla FIDO Alliance, il consorzio industriale incaricato di sviluppare standard di sicurezza interoperabili.Allora perché le persone non lo usano? Secondo alcuni ricercatori, non si fidano. In un studio condotto dalla società di sicurezza informatica Sophos nel 2016, oltre il 15% degli intervistati ha citato preoccupazioni sulla privacy relative alla 2FA. I loro timori non sono infondati: alcuni esperti hanno sottolineato i punti deboli della 2FA basata su SMS, citando il rischio di intercettazione da parte di aggressori che riescono a falsificare i numeri di telefono.
Google, da parte sua, lo lascia fare GSuite i clienti aziendali impediscono attivamente i token di autenticazione SMS deboli e sta lavorando su alternative.
In ottobre ha lanciato un nuovo metodo per 2FA che ha sostituito gli SMS con il "Richiesta di Google", una schermata di verifica integrata nei servizi Google Play su Android e nell'app Google su iOS. Non richiede l'inserimento di una passphrase, ma utilizza invece euristiche come la posizione geografica del tuo telefono e l'ora del giorno per verificare la tua identità. L'azienda ha anche lanciato un nuovo servizio, Programma di protezione avanzata, che richiede che gli account di alto profilo utilizzino chiavi di sicurezza USB 2FA basate su hardware anziché il prompt di Google o gli SMS.
"Una delle verità che abbiamo scoperto è che le persone non accetteranno più sicurezza di quella di cui pensano di aver bisogno", Mark Risher, manager del team dei sistemi di identità di Google detto Il limite in un'intervista a luglio. “In qualità di fornitore Internet di consumo su larga scala, vogliamo trovare il giusto equilibrio”.
Fonte: Il Registro