Mer än 90 procent av Gmail-konton har inte tvåfaktorsautentisering (2FA) aktiverad, enligt Google och 10 procent av 2FA-användarna har upplevt problem med att använda de SMS-autentiseringskoder som skickats till deras telefoner.
Om du inte använder Gmails tvåfaktorsautentisering är du inte den enda. Vid säkerhetskonferensen Usenix Enigma 2018 denna vecka avslöjade Googles mjukvaruingenjör Grzegorz Milka att mer än 90 procent av aktiva Gmail-användare har inte aktiverat tvåfaktorsautentisering på sina konton, och att 10 procent av dessa WHO ha aktiverat den har haft problem med att ta reda på hur man använder de SMS-autentiseringskoder som skickas till deras telefoner.
"Det handlar om hur många människor vi skulle köra ut om vi tvingar dem att använda ytterligare säkerhet," sa Milka på frågan varför Google inte aktiverar tvåfaktorsautentisering som standard. "Svaret är användbarhet."
Tvåfaktorsautentisering, eller 2FA, är ett protokoll som lägger till ett extra lager av autentisering till inloggningsprocessen. När du har aktiverat 2FA på en onlinetjänst och anger ditt användarnamn och lösenord, uppmanas du att ange ytterligare information innan du får logga in -- vanligtvis en slumpmässigt genererad sträng av bokstäver och siffror som skickas via textmeddelande eller en app som
Google Authenticator. Andra former av 2FA kräver en speciell hårdvarutoken (vanligtvis i form av en USB-nyckelring som t.ex Yubicos Yubikey) certifierad av FIDO Alliance, industrikonsortiet med uppgift att utveckla driftskompatibla säkerhetsstandarder.Så varför använder inte folk det? Enligt vissa forskare litar de inte på det. I en studie utförd av cybersäkerhetsföretaget Sophos 2016, över 15 procent av de tillfrågade citerade integritetsproblem kring 2FA. Deras farhågor är inte grundlösa: Vissa experter har pekat på svagheter i SMS-baserad 2FA, med hänvisning till risken för avlyssning av angripare som lyckas förfalska telefonnummer.
Google å sin sida låter G Suite företagskunder förbjuder aktivt svaga SMS-autentiseringstokens, och det arbetar med alternativ.
I oktober rullade den ut en ny metod för 2FA som ersatte SMS med "Google Prompt", en verifieringsskärm inbyggd i Google Play-tjänster på Android och Google-appen på iOS. Det kräver inte att du anger en lösenfras, utan använder istället heuristik som telefonens geografiska plats och tiden på dygnet för att verifiera din identitet. Företaget har också lanserat en ny tjänst, Avancerat skyddsprogram, som kräver att högprofilerade konton använder hårdvarubaserade USB 2FA-säkerhetsnycklar istället för Google-meddelandet eller SMS.
"En av de sanningar vi har funnit är att människor inte accepterar mer säkerhet än de tror att de behöver," Mark Risher, chef för Googles team för identitetssystem berättade Gränsen i en intervju i juli. "Som en storskalig internetleverantör för konsumenter vill vi hitta den rätta balansen."
Källa: Registret