Mer enn 90 prosent av Gmail-kontoene har ikke tofaktorautentisering (2FA) aktivert, ifølge Google og 10 prosent av 2FA-brukere har opplevd problemer med å bruke SMS-autentiseringskodene sendt til deres telefoner.
Hvis du ikke bruker Gmails tofaktorautentisering, er du ikke den eneste. På Usenix Enigma 2018 sikkerhetskonferanse denne uken avslørte Googles programvareingeniør Grzegorz Milka at mer enn 90 prosent av aktive Gmail-brukere har ikke aktivert tofaktorautentisering på kontoene sine, og at 10 prosent av disse WHO ha aktivert den har hatt problemer med å finne ut hvordan de skal bruke SMS-autentiseringskodene sendt til telefonene deres.
"Det handler om hvor mange mennesker vi ville kjørt ut hvis vi tvinger dem til å bruke ekstra sikkerhet," sa Milka på spørsmål om hvorfor Google ikke aktiverer tofaktorautentisering som standard. "Svaret er brukervennlighet."
Tofaktorautentisering, eller 2FA, er en protokoll som legger til et ekstra lag med autentisering til påloggingsprosessen. Når du har aktivert 2FA på en nettbasert tjeneste og skriver inn brukernavn og passord, blir du bedt om en ekstra bit informasjon før du får lov til å logge på -- vanligvis en tilfeldig generert streng med bokstaver og tall sendt via tekstmelding eller en app liker
Google Authenticator. Andre former for 2FA krever en spesiell maskinvaretoken (vanligvis i form av en USB-nøkkelfob som f.eks Yubicos Yubikey) sertifisert av FIDO Alliance, industrikonsortiet som har til oppgave å utvikle interoperable sikkerhetsstandarder.Så hvorfor bruker ikke folk det? Ifølge noen forskere stoler de ikke på det. I en studie utført av nettsikkerhetsfirmaet Sophos i 2016, over 15 prosent av de spurte siterte personvernbekymringer om 2FA. Frykten deres er ikke grunnløs: Noen eksperter har pekt på svakheter i SMS-basert 2FA, med henvisning til risikoen for avlytting av angripere som klarer å forfalske telefonnumre.
Google på sin side lar G Suite bedriftskunder tillater aktivt svake SMS-autentiseringstokener, og det jobbes med alternativer.
I oktober rullet den ut en ny metode for 2FA som erstattet SMS med "Google-forespørsel", en bekreftelsesskjerm innebygd i Google Play-tjenester på Android og Google-appen på iOS. Det krever ikke at du oppgir en passordfrase, i stedet bruker heuristikk som telefonens geografiske plassering og tidspunktet på dagen for å bekrefte identiteten din. Selskapet har også lansert en ny tjeneste, Avansert beskyttelsesprogram, som krever at høyprofilerte kontoer bruker maskinvarebaserte USB 2FA-sikkerhetsnøkler i stedet for Google-forespørselen eller SMS.
"En av sannhetene vi har funnet er at folk ikke vil akseptere mer sikkerhet enn de tror de trenger," Mark Risher, en leder i Googles identitetssystemteam fortalte The Verge i et intervju i juli. "Som en storstilt internettleverandør for forbrukere ønsker vi å finne den rette balansen."
Kilde: Registeret