Viac ako 90 percent účtov Gmail nemá povolenú dvojfaktorovú autentifikáciu (2FA). Google a 10 percent používateľov 2FA mali problémy s používaním SMS overovacích kódov, ktoré im boli odoslané telefónov.
Ak nepoužívate dvojfaktorové overenie Gmailu, nie ste jediný. Na bezpečnostnej konferencii Usenix Enigma 2018 tento týždeň softvérový inžinier Google Grzegorz Milka prezradil, že viac ako 90 percent aktívnych používateľov Gmailu si na svojich účtoch nepovolilo dvojfaktorové overenie a 10 percent z nich SZO mať Po aktivácii mali problém zistiť, ako používať SMS overovacie kódy odoslané na ich telefóny.
„Ide o to, koľko ľudí by sme vyhnali, keby sme ich prinútili používať dodatočné zabezpečenie,“ odpovedala Milka na otázku, prečo Google štandardne nepovoľuje dvojfaktorové overenie. "Odpoveďou je použiteľnosť."
Dvojfaktorová autentifikácia alebo 2FA je protokol, ktorý pridáva ďalšiu vrstvu autentifikácie do procesu prihlásenia. Keď povolíte 2FA v online službe a zadáte svoje používateľské meno a heslo, zobrazí sa výzva na zadanie ďalšieho informácie predtým, ako sa budete môcť prihlásiť – zvyčajne náhodne vygenerovaný reťazec písmen a čísel odoslaný prostredníctvom textovej správy alebo správy ako aplikácia
Google Authenticator. Iné formy 2FA vyžadujú špeciálny hardvérový token (typicky vo forme USB kľúčenky ako napr Yubicov Yubikey) certifikovaný FIDO Alliance, priemyselné konzorcium poverené vývojom interoperabilných bezpečnostných noriem.Tak prečo to ľudia nepoužívajú? Podľa niektorých výskumníkov tomu neveria. V Štúdia vykonaná spoločnosťou Sophos v oblasti kybernetickej bezpečnosti v roku 2016Viac ako 15 percent respondentov uviedlo obavy o súkromie týkajúce sa 2FA. Ich obavy nie sú neopodstatnené: Niektorí experti poukázali na slabé stránky v 2FA založenom na SMS, pričom uviedli riziko zachytenia útočníkmi, ktorým sa podarí sfalšovať telefónne čísla.
Google za seba umožňuje G Suite podnikoví zákazníci aktívne zakazujú slabé autentifikačné tokeny SMS a pracuje sa na alternatívach.
V októbri zaviedla novú metódu pre 2FA, ktorá nahradila SMS s „Výzva Google“, overovacia obrazovka zabudovaná do služieb Google Play pre Android a aplikácie Google pre iOS. Nevyžaduje sa, aby ste zadali prístupovú frázu, namiesto toho pomocou heuristiky, ako je geografická poloha vášho telefónu a čas dňa, overte vašu identitu. Spoločnosť tiež spustila novú službu, Program rozšírenej ochrany, ktorá vyžaduje, aby účty s vysokým profilom používali hardvérové bezpečnostné kľúče USB 2FA namiesto výzvy Google alebo SMS.
„Jednou z právd, ktoré sme zistili, je, že ľudia nebudú akceptovať viac zabezpečenia, než si myslia, že potrebujú,“ Mark Risher, manažér tímu pre systémy identity Google. povedal The Verge na pohovore v júli. "Ako veľký poskytovateľ internetu pre spotrebiteľov chceme nájsť tú správnu rovnováhu."
Zdroj: Register