ליותר מ-90 אחוז מחשבונות Gmail אין אימות דו-גורמי (2FA) מופעל, על פי גוגל, ו-10 אחוז ממשתמשי 2FA נתקלו בבעיות בשימוש בקודי אימות ה-SMS שנשלחו אל טלפונים.
אם אינך משתמש באימות דו-גורמי של Gmail, אתה לא היחיד. בכנס האבטחה Usenix Enigma 2018 השבוע, מהנדס התוכנה של גוגל Grzegorz Milka חשף כי יותר מ 90 אחוז ממשתמשי Gmail הפעילים לא הפעילו אימות דו-שלבי בחשבונות שלהם, וכי 10 אחוזים מאלה WHO יש שהופעלו התקשו להבין כיצד להשתמש בקודי אימות ה-SMS שנשלחו לטלפונים שלהם.
"זה בערך כמה אנשים נגרש אם נכריח אותם להשתמש באבטחה נוספת", אמר מילקה, כשנשאל מדוע גוגל לא מאפשרת אימות דו-גורמי כברירת מחדל. "התשובה היא שימושיות."
אימות דו-גורמי, או 2FA, הוא פרוטוקול המוסיף שכבה נוספת של אימות לתהליך הכניסה. לאחר שהפעלת את 2FA בשירות מקוון והזן את שם המשתמש והסיסמה שלך, תתבקש להזין עוד קצת מידע לפני שאתה מורשה להיכנס -- בדרך כלל מחרוזת של אותיות ומספרים שנוצרה באופן אקראי שנשלחת באמצעות הודעת טקסט או אפליקציה כמו Google Authenticator. צורות אחרות של 2FA דורשות אסימון חומרה מיוחד (בדרך כלל בצורה של שלט USB כגון Yubikey של Yubico) מוסמך על ידי FIDO Alliance, קונסורציום התעשייה שמשימה לפתח תקני אבטחה הדדיים.
אז למה אנשים לא משתמשים בזה? לדברי כמה חוקרים, הם לא סומכים על זה. ב מחקר שנערך על ידי חברת אבטחת הסייבר Sophos ב-2016, למעלה מ-15 אחוז מהמשיבים ציינו חששות לפרטיות לגבי 2FA. החששות שלהם אינם חסרי בסיס: כמה מומחים הצביעו על חולשות ב-2FA מבוסס SMS, תוך ציון הסיכון של יירוט על ידי תוקפים שמצליחים לזייף מספרי טלפון.
גוגל מצדה מאפשרת G Suite לקוחות ארגוניים פוסלים באופן פעיל אסימוני אימות חלשים של SMS, והוא עובד על חלופות.
באוקטובר, היא הוציאה שיטה חדשה עבור 2FA שהחליפה את ה-SMS ב-"הודעת גוגל", מסך אימות מובנה בשירותי Google Play באנדרואיד ובאפליקציית Google ב-iOS. זה לא מחייב אותך להזין ביטוי סיסמה, במקום זאת באמצעות היוריסטיות כמו המיקום הגיאוגרפי של הטלפון שלך והשעה ביום לאמת את זהותך. החברה גם השיקה שירות חדש, תוכנית הגנה מתקדמת, שדורש מחשבונות בעלי פרופיל גבוה להשתמש במפתחות אבטחה USB 2FA מבוססי חומרה במקום בהודעת Google או ב-SMS.
"אחת האמיתות שמצאנו היא שאנשים לא יקבלו יותר אבטחה ממה שהם חושבים שהם צריכים", מארק רישר, מנהל בצוות מערכות הזהות של גוגל סיפר הגבול בראיון ביולי. "כספק אינטרנט לצרכן גדול, אנחנו רוצים למצוא את האיזון הנכון הזה."
מקור: המרשם