Gmail ანგარიშების 90 პროცენტზე მეტს არ აქვს ჩართული ორფაქტორიანი ავთენტიფიკაცია (2FA). Google-ს და 2FA მომხმარებელთა 10 პროცენტს შეექმნა პრობლემები მათზე გაგზავნილი SMS ავთენტიფიკაციის კოდების გამოყენებისას. ტელეფონები.
თუ არ იყენებთ Gmail-ის ორფაქტორიან ავთენტიფიკაციას, თქვენ ერთადერთი არ ხართ. ამ კვირაში Usenix Enigma 2018 უსაფრთხოების კონფერენციაზე Google-ის პროგრამული უზრუნველყოფის ინჟინერმა გჟეგორგ მილკამ გამოავლინა, რომ მეტი Gmail-ის აქტიური მომხმარებელთა 90 პროცენტს არ აქვს ჩართული ორფაქტორიანი ავტორიზაცია თავის ანგარიშებზე და მათ 10 პროცენტს ჯანმო აქვს გააქტიურებული იყო, უჭირდა იმის გარკვევა, თუ როგორ გამოიყენონ მათ ტელეფონებზე გაგზავნილი SMS ავტორიზაციის კოდები.
„ეს არის დაახლოებით რამდენ ადამიანს გავძევებით, თუ ვაიძულებთ მათ გამოიყენონ დამატებითი უსაფრთხოება“, - თქვა მილკამ, კითხვაზე, თუ რატომ არ რთავს Google ნაგულისხმევად ორფაქტორიან ავთენტიფიკაციას. ”პასუხი არის გამოყენებადობა.”
ორფაქტორიანი ავთენტიფიკაცია, ანუ 2FA, არის პროტოკოლი, რომელიც ავტორიზაციის დამატებით ფენას ამატებს შესვლის პროცესს. როდესაც ჩართავთ 2FA ონლაინ სერვისზე და შეიყვანთ თქვენს მომხმარებლის სახელსა და პაროლს, მოგეთხოვებათ დამატებითი ბიტი ინფორმაცია, სანამ სისტემაში შესვლის უფლებას მოგცემთ -- ჩვეულებრივ, შემთხვევით გენერირებული ასოებისა და რიცხვების სტრიქონი, რომელიც გაგზავნილია ტექსტური შეტყობინების ან აპლიკაციის მსგავსი
Google Authenticator. 2FA-ს სხვა ფორმები საჭიროებს სპეციალურ აპარატურულ ჟეტონს (ჩვეულებრივ, USB კლავიშის სახით, როგორიცაა Yubico-ს Yubikey) სერტიფიცირებულია FIDO Alliance-ის მიერ, ინდუსტრიის კონსორციუმი, რომელსაც ევალება უსაფრთხოების თავსებადობის სტანდარტების შემუშავება.მაშ, რატომ არ იყენებს ხალხი მას? ზოგიერთი მკვლევარის აზრით, ისინი არ ენდობიან მას. Ში კიბერუსაფრთხოების ფირმა Sophos-ის მიერ 2016 წელს ჩატარებული კვლევა, გამოკითხულთა 15 პროცენტზე მეტმა დაასახელა კონფიდენციალურობის შეშფოთება 2FA-სთან დაკავშირებით. მათი შიშები არ არის უსაფუძვლო: ზოგიერთმა ექსპერტმა მიუთითა SMS-ზე დაფუძნებული 2FA-ს სისუსტეებზე, ასახელებს თავდამსხმელების მიერ ჩარევის რისკს, რომლებიც ახერხებენ ტელეფონის ნომრების გაყალბებას.
Google, თავის მხრივ, საშუალებას იძლევა G Suite საწარმოს მომხმარებლები აქტიურად კრძალავენ სუსტი SMS ავტორიზაციის ჟეტონებს და ის მუშაობს ალტერნატივებზე.
ოქტომბერში მან გამოუშვა ახალი მეთოდი 2FA-სთვის, რომელმაც შეცვალა SMS-ით "Google Prompt", დამადასტურებელი ეკრანი ჩაშენებული Google Play სერვისებში Android-ზე და Google აპში iOS-ზე. ეს არ მოითხოვს თქვენგან პაროლის შეყვანას, ნაცვლად ამისა, გამოიყენეთ ევრისტიკა, როგორიცაა თქვენი ტელეფონის გეოგრაფიული მდებარეობა და დღის დრო, გადაამოწმეთ თქვენი ვინაობა. კომპანიამ ასევე დაიწყო ახალი სერვისი, გაფართოებული დაცვის პროგრამა, რომელიც მოითხოვს მაღალი დონის ანგარიშებს, რათა გამოიყენონ მოწყობილობაზე დაფუძნებული USB 2FA უსაფრთხოების გასაღებები Google-ის მოთხოვნის ან SMS-ის ნაცვლად.
„ერთ-ერთი ჭეშმარიტება, რომელიც ჩვენ აღმოვაჩინეთ, არის ის, რომ ადამიანები არ მიიღებენ იმაზე მეტ უსაფრთხოებას, ვიდრე ფიქრობენ, რომ სჭირდებათ“, — მარკ რიშერი, Google-ის პირადობის სისტემების გუნდის მენეჯერი. უთხრა ზღვარზე ივლისში მიცემულ ინტერვიუში. ”როგორც ფართომასშტაბიანი სამომხმარებლო ინტერნეტის პროვაიდერი, ჩვენ გვინდა ვიპოვოთ სწორი ბალანსი.”
წყარო: რეესტრი