Mais de 90 por cento das contas do Gmail não têm autenticação de dois fatores (2FA) habilitada, de acordo com Google e 10 por cento dos usuários 2FA tiveram problemas ao usar os códigos de autenticação SMS enviados para seus telefones.
Se você não usa a autenticação de dois fatores do Gmail, você não é o único. Na conferência de segurança Usenix Enigma 2018 esta semana, o engenheiro de software do Google Grzegorz Milka revelou que mais de 90% dos usuários ativos do Gmail não ativaram a autenticação de dois fatores em suas contas, e 10% deles Quem ter ativado tiveram problemas para descobrir como usar os códigos de autenticação SMS enviados para seus telefones.
“É sobre quantas pessoas expulsaríamos se as forçássemos a usar segurança adicional”, disse Milka, quando questionada por que o Google não habilita a autenticação de dois fatores por padrão. “A resposta é usabilidade.”
A autenticação de dois fatores, ou 2FA, é um protocolo que adiciona uma camada extra de autenticação ao processo de login. Quando você habilita 2FA em um serviço online e insere seu nome de usuário e senha, você será solicitado a fornecer alguns detalhes adicionais informações antes de você ter permissão para fazer login - geralmente uma sequência de letras e números gerada aleatoriamente e enviada por mensagem de texto ou um aplicativo como
Autenticador Google. Outras formas de 2FA requerem um token de hardware especial (normalmente na forma de um chaveiro USB, como Yubikey de Yubico) certificado pela FIDO Alliance, o consórcio industrial encarregado de desenvolver padrões de segurança interoperáveis.Então, por que as pessoas não usam isso? Segundo alguns pesquisadores, eles não confiam nisso. Em um estudo realizado pela empresa de segurança cibernética Sophos em 2016, mais de 15% dos entrevistados citaram preocupações com a privacidade em relação ao 2FA. Seus temores não são infundados: alguns especialistas apontaram pontos fracos no 2FA baseado em SMS, citando o risco de interceptação por invasores que conseguem falsificar números de telefone.
O Google, por sua vez, permite G Suite os clientes corporativos proíbem ativamente tokens de autenticação de SMS fracos e estão trabalhando em alternativas.
Em outubro, lançou um novo método para 2FA que substituiu o SMS pelo "Solicitação do Google", uma tela de verificação integrada ao Google Play Services no Android e ao Google app no iOS. Não exige que você insira uma senha; em vez disso, use heurísticas como a localização geográfica do seu telefone e a hora do dia para verificar sua identidade. A empresa também lançou um novo serviço, Programa de Proteção Avançada, que exige que contas de alto perfil usem chaves de segurança USB 2FA baseadas em hardware em vez do prompt do Google ou SMS.
“Uma das verdades que descobrimos é que as pessoas não aceitarão mais segurança do que pensam que precisam”, disse Mark Risher, gerente da equipe de sistemas de identidade do Google. contado A beira em uma entrevista em julho. “Como um provedor de Internet de consumo em grande escala, queremos encontrar o equilíbrio certo.”
Fonte: O Registro