によると、Gmail アカウントの 90% 以上で 2 要素認証 (2FA) が有効になっていません。 Google と 2FA ユーザーの 10% が、ユーザーに送信された SMS 認証コードの使用で問題を経験しています。 電話。
Gmail の 2 要素認証を使用していないのは、あなただけではありません。 今週開催された Usenix Enigma 2018 セキュリティ カンファレンスで、Google ソフトウェア エンジニアの Grzegorz Milka 氏は、 アクティブな Gmail ユーザーの 90% はアカウントで 2 要素認証を有効にしていないが、そのうちの 10% は 誰が 持っている アクティブ化したユーザーは、携帯電話に送信された SMS 認証コードの使用方法を理解するのに苦労していました。
Googleがデフォルトで2要素認証を有効にしない理由を尋ねられたミルカ氏は、「追加のセキュリティの使用を強制した場合、どれだけの人を追い出すかが問題だ」と述べた。 「答えは使いやすさです。」
2 要素認証 (2FA) は、ログイン プロセスに追加の認証層を追加するプロトコルです。 オンライン サービスで 2FA を有効にし、ユーザー名とパスワードを入力すると、追加の入力を求めるプロンプトが表示されます。 サインインを許可される前の情報 -- 通常、ランダムに生成された文字と数字の文字列がテキスト メッセージまたはメッセージ経由で送信されます。 みたいなアプリ Google認証システム. 他の形式の 2FA では、特別なハードウェア トークン (通常は、次のような USB キーフォブの形式) が必要です。 ユビコのユビキー) 相互運用可能なセキュリティ標準の開発を使命とする業界コンソーシアムである FIDO Alliance によって認定されています。
では、なぜ人々はそれを使わないのでしょうか? 一部の研究者によると、彼らはそれを信用していません。 で サイバーセキュリティ企業ソフォスが 2016 年に実施した調査、回答者の 15% 以上が 2FA に関するプライバシーの懸念を挙げました。 彼らの懸念は根拠がないわけではありません。一部の専門家は、電話番号をなりすました攻撃者による傍受のリスクを挙げて、SMS ベースの 2FA の弱点を指摘しています。
Google 側としては、 G スイート 企業顧客は弱い SMS 認証トークンを積極的に禁止しており、代替手段の開発に取り組んでいます。
10 月には、SMS を「Googleプロンプト」は、Android の Google Play サービスと iOS の Google アプリに組み込まれている確認画面です。 パスフレーズを入力する必要はなく、代わりに携帯電話の地理的位置や時刻などのヒューリスティックを使用して身元を確認します。 同社では新たなサービスも開始しており、 高度な保護プログラム、これには、Google プロンプトや SMS の代わりにハードウェアベースの USB 2FA セキュリティ キーを使用するために、知名度の高いアカウントが必要です。
「私たちが発見した真実の 1 つは、人々は必要だと考えている以上のセキュリティを受け入れないということです」と Google の ID システム チームのマネージャーであるマーク・リッシャーは述べています 言った ザ・ヴァージ 7月のインタビューで。 「大規模な消費者向けインターネットプロバイダーとして、私たちはその適切なバランスを見つけたいと考えています。」
出典: レジスター