По данным компании, более 90 процентов учетных записей Gmail не поддерживают двухфакторную аутентификацию (2FA). Google, и 10 процентов пользователей 2FA столкнулись с проблемами при использовании кодов аутентификации по SMS, отправленных на их телефоны.
Если вы не используете двухфакторную аутентификацию Gmail, вы не единственный. На конференции по безопасности Usenix Enigma 2018 на этой неделе инженер-программист Google Гжегож Милка рассказал, что более 90 процентов активных пользователей Gmail не включили двухфакторную аутентификацию в своих учетных записях, и эти 10 процентов из них ВОЗ иметь активированные, у них возникли проблемы с выяснением того, как использовать коды аутентификации по SMS, отправленные на их телефоны.
«Речь идет о том, сколько людей мы выгоним, если заставим их использовать дополнительную безопасность», — сказал Милка, когда его спросили, почему Google не включает двухфакторную аутентификацию по умолчанию. «Ответ — удобство использования».
Двухфакторная аутентификация, или 2FA, — это протокол, который добавляет дополнительный уровень аутентификации в процесс входа в систему. Когда вы включили 2FA в онлайн-сервисе и ввели свое имя пользователя и пароль, вам будет предложено ввести дополнительную информацию. информацию, прежде чем вам будет разрешено войти в систему. Обычно это случайно сгенерированная строка букв и цифр, отправленная с помощью текстового сообщения или приложение нравится
Google Аутентификатор. Для других форм 2FA требуется специальный аппаратный токен (обычно в виде USB-брелока, например Юбикей Юбико) сертифицирован FIDO Alliance, отраслевым консорциумом, которому поручено разработать совместимые стандарты безопасности.Так почему же люди этим не пользуются? По мнению некоторых исследователей, они этому не доверяют. В исследование, проведенное фирмой по кибербезопасности Sophos в 2016 году., более 15 процентов респондентов выразили обеспокоенность по поводу конфиденциальности 2FA. Их опасения не беспочвенны: некоторые эксперты указывают на недостатки 2FA на основе SMS, ссылаясь на риск перехвата злоумышленниками, которым удается подделать телефонные номера.
Google, со своей стороны, позволяет G Suite корпоративные клиенты активно запрещают использование слабых токенов аутентификации SMS, и компания работает над альтернативами.
В октябре компания представила новый метод 2FA, который заменил SMS на «Google-подсказка", экран проверки, встроенный в сервисы Google Play на Android и приложение Google на iOS. Вам не требуется вводить парольную фразу, вместо этого используются эвристические методы, такие как географическое положение вашего телефона и время суток, для проверки вашей личности. Компания также запустила новую услугу: Программа дополнительной защиты, который требует, чтобы высокопоставленные учетные записи использовали аппаратные ключи безопасности USB 2FA вместо приглашения Google или SMS.
«Одна из истин, которые мы обнаружили, заключается в том, что люди не согласятся с большей безопасностью, чем, по их мнению, им нужно», — Марк Ришер, менеджер команды систем идентификации Google. сказал Грань в интервью в июле. «Как крупный потребительский интернет-провайдер, мы хотим найти правильный баланс».
Источник: Регистр