Gmail 계정의 90% 이상이 이중 인증(2FA)을 활성화하지 않은 것으로 나타났습니다. Google과 2FA 사용자 중 10%는 자신에게 전송된 SMS 인증 코드를 사용하는 데 문제를 경험했습니다. 전화기.
Gmail의 이중 인증을 사용하지 않는다면 당신만이 유일한 것은 아닙니다. 이번 주 Usenix Enigma 2018 보안 컨퍼런스에서 Google 소프트웨어 엔지니어 Grzegorz Milka는 다음과 같은 사실을 밝혔습니다. 활성 Gmail 사용자의 90%는 자신의 계정에서 이중 인증을 활성화하지 않았으며 그 중 10%는 WHO 가지다 활성화한 후 휴대폰으로 전송된 SMS 인증 코드를 어떻게 사용하는지 파악하는 데 어려움을 겪었습니다.
Google이 기본적으로 이중 인증을 활성화하지 않는 이유를 묻는 질문에 Milka는 "추가 보안을 사용하도록 강요한다면 얼마나 많은 사람들을 쫓아낼 것인가에 관한 것입니다"라고 말했습니다. “답은 유용성입니다.”
이중 인증(2FA)은 로그인 프로세스에 추가 인증 계층을 추가하는 프로토콜입니다. 온라인 서비스에서 2FA를 활성화하고 사용자 이름과 비밀번호를 입력하면 추가 정보를 입력하라는 메시지가 표시됩니다. 로그인이 허용되기 전 정보 - 일반적으로 문자 메시지나 전화를 통해 전송되는 무작위로 생성된 문자 및 숫자 문자열 같은 앱 구글 OTP. 다른 형태의 2FA에는 특수 하드웨어 토큰이 필요합니다(일반적으로 다음과 같은 USB 전자열쇠 형태). 유비코의 유비키) 상호 운용 가능한 보안 표준 개발을 담당하는 업계 컨소시엄인 FIDO Alliance의 인증을 받았습니다.
그렇다면 사람들은 왜 그것을 사용하지 않습니까? 일부 연구자들에 따르면 그들은 그것을 신뢰하지 않습니다. 안에 2016년 사이버 보안 회사 Sophos가 실시한 연구, 응답자의 15% 이상이 2FA에 대한 개인 정보 보호 문제를 언급했습니다. 그들의 두려움은 근거가 없는 것이 아닙니다. 일부 전문가들은 전화번호를 스푸핑하는 공격자가 가로챌 위험이 있다는 점을 언급하면서 SMS 기반 2FA의 약점을 지적했습니다.
Google은 다음을 허용합니다. G 스위트 기업 고객은 취약한 SMS 인증 토큰을 적극적으로 거부하고 있으며 대안을 모색하고 있습니다.
10월에는 SMS를 ""로 대체하는 2FA의 새로운 방법을 출시했습니다.구글 프롬프트"는 Android의 Google Play 서비스와 iOS의 Google 앱에 내장된 확인 화면입니다. 암호를 입력할 필요가 없으며 대신 휴대폰의 지리적 위치 및 시간과 같은 경험적 방법을 사용하여 신원을 확인합니다. 회사에서도 새로운 서비스를 출시했는데, 고급 보호 프로그램, Google 프롬프트나 SMS 대신 하드웨어 기반 USB 2FA 보안 키를 사용하려면 유명 계정이 필요합니다.
"우리가 발견한 사실 중 하나는 사람들이 필요하다고 생각하는 것보다 더 많은 보안을 받아들이지 않는다는 것입니다."라고 Google ID 시스템 팀의 관리자인 Mark Risher는 말합니다. 말했다 더 버지 7월 인터뷰에서 “대규모 소비자 인터넷 제공업체로서 우리는 적절한 균형을 찾고 싶습니다.”
출처: 레지스터