Peste 90% dintre conturile Gmail nu au autentificarea cu doi factori (2FA) activată, conform datelor Google și 10% dintre utilizatorii 2FA au întâmpinat probleme la utilizarea codurilor de autentificare prin SMS trimise către telefoane.
Dacă nu utilizați autentificarea cu doi factori a Gmail, nu sunteți singurul. La conferința de securitate Usenix Enigma 2018 din această săptămână, inginerul de software Google Grzegorz Milka a dezvăluit că mai mult de 90% dintre utilizatorii activi de Gmail nu au activat autentificarea cu doi factori în conturile lor și că 10% dintre aceștia OMS avea activat, au avut probleme în a-și da seama cum să folosească codurile de autentificare SMS trimise pe telefoanele lor.
„Este vorba despre câți oameni am alunga dacă îi forțăm să folosească securitate suplimentară”, a spus Milka, când a fost întrebat de ce Google nu activează autentificarea cu doi factori în mod implicit. „Răspunsul este utilitatea.”
Autentificarea cu doi factori, sau 2FA, este un protocol care adaugă un strat suplimentar de autentificare procesului de conectare. Când ați activat 2FA pe un serviciu online și ați introdus numele de utilizator și parola, vi se solicită un pic suplimentar de informații înainte de a vi se permite să vă conectați -- de obicei, un șir de litere și numere generat aleatoriu trimis prin mesaj text sau prin ca aplicația
Google Authenticator. Alte forme de 2FA necesită un token hardware special (de obicei sub forma unei brelocuri USB, cum ar fi Yubikey-ul lui Yubico) certificat de FIDO Alliance, consorțiul industrial însărcinat cu dezvoltarea standardelor de securitate interoperabile.Deci de ce nu-l folosesc oamenii? Potrivit unor cercetători, ei nu au încredere. Într-o studiu realizat de firma de securitate cibernetică Sophos în 2016, peste 15% dintre respondenți au citat preocupări legate de confidențialitate cu privire la 2FA. Temerile lor nu sunt lipsite de temei: unii experți au subliniat punctele slabe ale 2FA bazate pe SMS, invocând riscul interceptării de către atacatorii care reușesc să falsifice numerele de telefon.
Google, la rândul său, permite G Suite Clienții întreprinderii interzic în mod activ jetoanele de autentificare SMS slabe și lucrează la alternative.
În octombrie, a lansat o nouă metodă pentru 2FA care a înlocuit SMS-urile cu „Google Prompt", un ecran de verificare integrat în serviciile Google Play pe Android și aplicația Google pe iOS. Nu necesită introducerea unei expresii de acces, ci utilizând elemente euristice precum locația geografică a telefonului și ora din zi pentru a vă verifica identitatea. De asemenea, compania a lansat un nou serviciu, Program de protecție avansată, care necesită ca conturile de profil înalt să utilizeze chei de securitate USB 2FA bazate pe hardware în loc de Google Prompt sau SMS.
„Unul dintre adevărurile pe care le-am găsit este că oamenii nu vor accepta mai multă securitate decât cred că au nevoie”, Mark Risher, un manager al echipei de sisteme de identitate Google. spuse The Verge într-un interviu din iulie. „Ca furnizor de internet pe scară largă pentru consumatori, dorim să găsim echilibrul potrivit.”
Sursa: Registrul