Volgens ruim 90 procent van de Gmail-accounts is tweefactorauthenticatie (2FA) niet ingeschakeld Google en 10 procent van de 2FA-gebruikers hebben problemen ondervonden bij het gebruik van de sms-authenticatiecodes die naar hun zijn verzonden telefoons.
Als je de tweefactorauthenticatie van Gmail niet gebruikt, ben je niet de enige. Op de Usenix Enigma 2018-beveiligingsconferentie deze week onthulde Google-software-ingenieur Grzegorz Milka dat meer dan 90 procent van de actieve Gmail-gebruikers heeft geen tweefactorauthenticatie ingeschakeld voor hun accounts, en dat 10 procent daarvan WHO hebben geactiveerd, hebben problemen gehad met het uitzoeken hoe ze de sms-authenticatiecodes moesten gebruiken die naar hun telefoons werden verzonden.
“Het gaat erom hoeveel mensen we zouden verdrijven als we hen dwingen extra beveiliging te gebruiken”, zei Milka, toen hem werd gevraagd waarom Google tweefactorauthenticatie niet standaard inschakelt. “Het antwoord is bruikbaarheid.”
Tweefactorauthenticatie, of 2FA, is een protocol dat een extra authenticatielaag toevoegt aan het inlogproces. Wanneer u 2FA heeft ingeschakeld op een online service en uw gebruikersnaam en wachtwoord invoert, wordt u om een extra stukje gevraagd informatie voordat u zich mag aanmelden - meestal een willekeurig gegenereerde reeks letters en cijfers verzonden via sms of een app-achtig
Google Authenticator. Andere vormen van 2FA vereisen een speciaal hardwaretoken (meestal in de vorm van een USB-sleutelhanger zoals Yubico's Yubikey) gecertificeerd door de FIDO Alliance, het industrieconsortium dat belast is met het ontwikkelen van interoperabele beveiligingsstandaarden.Dus waarom gebruiken mensen het niet? Volgens sommige onderzoekers vertrouwen ze het niet. In een studie uitgevoerd door cyberbeveiligingsbedrijf Sophos in 2016, noemde ruim 15 procent van de respondenten privacyproblemen met betrekking tot 2FA. Hun angsten zijn niet ongegrond: sommige experts hebben gewezen op zwakke punten in op sms gebaseerde 2FA, daarbij verwijzend naar het risico van onderschepping door aanvallers die erin slagen telefoonnummers te vervalsen.
Google laat het op zijn beurt toe G Suite zakelijke klanten verbieden actief zwakke sms-authenticatietokens en werken aan alternatieven.
In oktober introduceerde het een nieuwe methode voor 2FA die SMS verving door de "Google-prompt", een verificatiescherm ingebouwd in Google Play-services op Android en de Google-app op iOS. U hoeft geen wachtwoordzin in te voeren, maar gebruikt in plaats daarvan heuristieken zoals de geografische locatie van uw telefoon en het tijdstip van de dag om uw identiteit te verifiëren. Het bedrijf heeft ook een nieuwe dienst gelanceerd, Geavanceerd beschermingsprogramma, waarvoor spraakmakende accounts hardwaregebaseerde USB 2FA-beveiligingssleutels moeten gebruiken in plaats van de Google Prompt of SMS.
"Een van de waarheden die we hebben ontdekt, is dat mensen niet meer beveiliging accepteren dan ze denken nodig te hebben", zegt Mark Risher, manager van het identiteitssystementeam van Google. verteld De rand in een interview in juli. “Als grootschalige internetprovider voor consumenten willen wij de juiste balans vinden.”
Bron: Het register