Saskaņā ar datiem vairāk nekā 90 procentos Gmail kontu nav iespējota divu faktoru autentifikācija (2FA). Google un 10 procentiem 2FA lietotāju ir radušās problēmas, izmantojot viņiem nosūtītos SMS autentifikācijas kodus tālruņi.
Ja neizmantojat Gmail divu faktoru autentifikāciju, jūs neesat vienīgais. Drošības konferencē Usenix Enigma 2018 šonedēļ Google programmatūras inženieris Gžegožs Milka atklāja, ka vairāk nekā 90 procenti aktīvo Gmail lietotāju savos kontos nav iespējojuši divu faktoru autentifikāciju, un 10 procenti no tiem PVO ir aktivizējot to, ir bijušas problēmas izdomāt, kā izmantot SMS autentifikācijas kodus, kas nosūtīti uz viņu tālruņiem.
"Runa ir par to, cik cilvēku mēs padzītu, ja piespiestu viņus izmantot papildu drošību," sacīja Milka, uz jautājumu, kāpēc Google pēc noklusējuma neiespējo divu faktoru autentifikāciju. "Atbilde ir lietojamība."
Divu faktoru autentifikācija jeb 2FA ir protokols, kas pieteikšanās procesam pievieno papildu autentifikācijas slāni. Kad esat iespējojis 2FA tiešsaistes pakalpojumā un ievadījis savu lietotājvārdu un paroli, jums tiek prasīts ievadīt papildu informācija, pirms jums ir atļauts pierakstīties — parasti nejauši ģenerēta burtu un ciparu virkne, kas tiek nosūtīta, izmantojot īsziņu vai lietotnei patīk
Tātad, kāpēc cilvēki to neizmanto? Pēc dažu pētnieku domām, viņi tam neuzticas. Iekšā pētījums, ko 2016. gadā veica kiberdrošības uzņēmums Sophos, vairāk nekā 15 procenti respondentu minēja bažas par privātumu saistībā ar 2FA. Viņu bailes nav nepamatotas: daži eksperti ir norādījuši uz SMS 2FA nepilnībām, atsaucoties uz risku, ka uzbrucēji var pārtvert tālruņu numurus.
Google no savas puses ļauj G Suite uzņēmumu klienti aktīvi aizliedz vājus SMS autentifikācijas marķierus, un tas strādā pie alternatīvām.
Oktobrī tika ieviesta jauna metode 2FA, kas aizstāja SMS ar "Google uzvedne", verifikācijas ekrāns, kas iebūvēts Google Play pakalpojumos operētājsistēmā Android un Google lietotnē iOS. Tam nav jāievada ieejas frāze, tā vietā, izmantojot heiristikas, piemēram, tālruņa ģeogrāfiskās atrašanās vietas un diennakts laika, pārbaudiet savu identitāti. Uzņēmums arī ir ieviesis jaunu pakalpojumu, Papildu aizsardzības programma, kas prasa augsta profila kontiem izmantot aparatūras USB 2FA drošības atslēgas, nevis Google uzvedni vai SMS.
"Viena no patiesībām, ko esam atklājuši, ir tāda, ka cilvēki nepieņems lielāku drošību, nekā viņiem šķiet nepieciešams," Marks Rišers, Google identitātes sistēmu komandas vadītājs. stāstīja The Verge jūlijā intervijā. "Kā liela mēroga patērētāju interneta pakalpojumu sniedzējs mēs vēlamies atrast pareizo līdzsvaru."
Avots: The Register