Več kot 90 odstotkov računov Gmail nima omogočene dvofaktorske avtentikacije (2FA), glede na Google in 10 odstotkov uporabnikov 2FA je imelo težave pri uporabi kod za preverjanje pristnosti SMS, poslanih na telefoni.
Če ne uporabljate Gmailove dvofaktorske avtentikacije, niste edini. Na varnostni konferenci Usenix Enigma 2018 ta teden je Googlov programski inženir Grzegorz Milka razkril, da več kot 90 odstotkov aktivnih uporabnikov Gmaila ni omogočilo dvostopenjske avtentikacije v svojih računih in 10 odstotkov teh WHO imajo aktiviran je imel težave pri ugotavljanju, kako uporabiti kode za preverjanje pristnosti SMS, poslane na njihove telefone.
»Gre za to, koliko ljudi bi izgnali, če bi jih prisilili k uporabi dodatne varnosti,« je Milka odgovorila na vprašanje, zakaj Google privzeto ne omogoči dvofaktorske avtentikacije. "Odgovor je uporabnost."
Dvofaktorska avtentikacija ali 2FA je protokol, ki procesu prijave doda dodatno plast avtentikacije. Ko omogočite 2FA v spletni storitvi in vnesete svoje uporabniško ime in geslo, boste pozvani k dodatnemu koščku informacije, preden se vam dovoli vpis – običajno naključno ustvarjen niz črk in številk, poslan prek besedilnega sporočila ali všeč aplikacija
Google Authenticator. Druge oblike 2FA zahtevajo poseben žeton strojne opreme (običajno v obliki ključa USB, kot je npr. Yubicov Yubikey), certificirano s strani FIDO Alliance, industrijskega konzorcija, zadolženega za razvoj interoperabilnih varnostnih standardov.Zakaj ga torej ljudje ne uporabljajo? Po mnenju nekaterih raziskovalcev ji ne zaupajo. V Študija, ki jo je leta 2016 izvedlo podjetje za kibernetsko varnost Sophos, je več kot 15 odstotkov vprašanih navedlo pomisleke glede zasebnosti glede 2FA. Njihovi strahovi niso neutemeljeni: nekateri strokovnjaki so opozorili na slabosti 2FA, ki temelji na SMS-ih, in navedli tveganje prestrezanja s strani napadalcev, ki jim uspe ponarediti telefonske številke.
Google s svoje strani dopušča G Suite poslovne stranke aktivno zavračajo šibke žetone za preverjanje pristnosti SMS in delajo na alternativah.
Oktobra je uvedel novo metodo za 2FA, ki je zamenjala SMS z "Googlov poziv«, zaslon za preverjanje, vgrajen v storitve Google Play v sistemu Android in aplikacijo Google v sistemu iOS. Ne zahteva, da vnesete geslo, namesto tega z uporabo hevristike, kot sta geografska lokacija vašega telefona in ura, preverite svojo identiteto. Podjetje je uvedlo tudi novo storitev, Program napredne zaščite, ki zahteva, da računi z visokim profilom namesto Googlovega poziva ali SMS-a uporabljajo varnostne ključe USB 2FA na osnovi strojne opreme.
"Ena od resnic, ki smo jih ugotovili, je, da ljudje ne bodo sprejeli več varnosti, kot mislijo, da jo potrebujejo," Mark Risher, vodja Googlove ekipe za sisteme identitete povedal The Verge v intervjuju julija. "Kot velik potrošniški internetni ponudnik želimo najti pravo ravnovesje."
Vir: Register