Według danych ponad 90 procent kont Gmail nie ma włączonego uwierzytelniania dwuskładnikowego (2FA). Google i 10 procent użytkowników 2FA doświadczyło problemów z użyciem kodów uwierzytelniających SMS wysyłanych na ich konta telefony.
Jeśli nie korzystasz z uwierzytelniania dwuskładnikowego Gmaila, nie jesteś jedyny. W tym tygodniu na konferencji poświęconej bezpieczeństwu Usenix Enigma 2018 inżynier oprogramowania Google Grzegorz Milka ujawnił, że ponad 90 procent aktywnych użytkowników Gmaila nie włączyło uwierzytelniania dwuskładnikowego na swoich kontach, a 10 procent z nich Kto Posiadać aktywowany, miał problemy ze znalezieniem sposobu użycia kodów uwierzytelniających SMS wysyłanych na ich telefony.
„Chodzi o to, ile osób byśmy wypędzili, jeśli zmusilibyśmy ich do korzystania z dodatkowych zabezpieczeń” – stwierdziła Milka zapytana, dlaczego Google domyślnie nie włącza uwierzytelniania dwuskładnikowego. „Odpowiedzią jest użyteczność.”
Uwierzytelnianie dwuskładnikowe (2FA) to protokół, który dodaje dodatkową warstwę uwierzytelniania do procesu logowania. Po włączeniu 2FA w usłudze online i wprowadzeniu nazwy użytkownika i hasła zostanie wyświetlony monit o podanie dodatkowego bitu informacje, zanim będziesz mógł się zalogować – zwykle losowo wygenerowany ciąg liter i cyfr wysyłany SMS-em lub pocztą elektroniczną aplikacja taka jak
Autoryzator Google. Inne formy 2FA wymagają specjalnego tokena sprzętowego (zwykle w postaci pilota USB, np Yubico Yubikey) certyfikowany przez FIDO Alliance, konsorcjum branżowe, którego zadaniem jest opracowanie interoperacyjnych standardów bezpieczeństwa.Dlaczego więc ludzie z tego nie korzystają? Zdaniem części badaczy, nie mają do tego zaufania. W badanie przeprowadzone przez firmę Sophos zajmującą się cyberbezpieczeństwem w 2016 rponad 15 procent respondentów wspomniało o obawach związanych z prywatnością w związku z 2FA. Ich obawy nie są bezpodstawne: niektórzy eksperci wskazali na słabe strony 2FA opartego na SMS-ach, powołując się na ryzyko przechwycenia przez atakujących, którym uda się sfałszować numery telefonów.
Google ze swojej strony pozwala G Suite klienci korporacyjni aktywnie uniemożliwiają stosowanie słabych tokenów uwierzytelniających SMS i pracuje nad alternatywami.
W październiku wprowadzono nową metodę 2FA, która zastąpiła SMS-y „Podpowiedź Google”, ekran weryfikacyjny wbudowany w Usługi Google Play na Androida i aplikację Google na iOS. Nie wymaga podawania hasła, zamiast tego korzysta z heurystyki, takiej jak lokalizacja geograficzna telefonu i pora dnia, weryfikując Twoją tożsamość. Firma uruchomiła także nową usługę, Zaawansowany program ochrony, co wymaga, aby konta o wysokim profilu korzystały ze sprzętowych kluczy bezpieczeństwa USB 2FA zamiast podpowiedzi Google lub SMS-ów.
„Jedna z prawd, które odkryliśmy, jest taka, że ludzie nie zaakceptują większego bezpieczeństwa, niż im się wydaje, że potrzebują” – Mark Risher, menedżer w zespole ds. systemów tożsamości Google powiedział Krawędź w lipcu w wywiadzie. „Jako wielkoskalowy dostawca Internetu dla konsumentów chcemy znaleźć odpowiednią równowagę”.
Źródło: Rejestr