ผู้ใช้ Gmail น้อยกว่า 10% เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย

สรุปข่าว XdaNov 06, 2023
click fraud protection

บัญชี Gmail มากกว่า 90 เปอร์เซ็นต์ไม่ได้เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) Google และผู้ใช้ 2FA ร้อยละ 10 ประสบปัญหาในการใช้รหัสตรวจสอบสิทธิ์ SMS ที่ส่งถึงพวกเขา โทรศัพท์

หากคุณไม่ได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยของ Gmail คุณไม่ใช่คนเดียว ในการประชุมด้านความปลอดภัย Usenix Enigma 2018 ในสัปดาห์นี้ วิศวกรซอฟต์แวร์ของ Google Grzegorz Milka เปิดเผยว่ามากกว่า 90 เปอร์เซ็นต์ของผู้ใช้ Gmail ที่ใช้งานไม่ได้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชีของตน และ 10 เปอร์เซ็นต์ของผู้ใช้เหล่านั้น WHO มี เปิดใช้งานแล้วมีปัญหาในการหาวิธีใช้รหัสยืนยันตัวตนทาง SMS ที่ส่งไปยังโทรศัพท์ของพวกเขา

“มันเป็นเรื่องของจำนวนคนที่เราจะขับไล่ออกไปหากเราบังคับให้พวกเขาใช้การรักษาความปลอดภัยเพิ่มเติม” มิลก้ากล่าว เมื่อถูกถามว่าทำไม Google จึงไม่เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเป็นค่าเริ่มต้น “คำตอบคือการใช้งาน”

การตรวจสอบสิทธิ์แบบสองปัจจัยหรือ 2FA เป็นโปรโตคอลที่เพิ่มการตรวจสอบสิทธิ์อีกชั้นหนึ่งให้กับกระบวนการเข้าสู่ระบบ เมื่อคุณได้เปิดใช้งาน 2FA ในบริการออนไลน์และป้อนชื่อผู้ใช้และรหัสผ่านของคุณ คุณจะได้รับแจ้งให้เพิ่มอีกเล็กน้อย ข้อมูลก่อนที่คุณจะได้รับอนุญาตให้ลงชื่อเข้าใช้ โดยปกติจะเป็นชุดตัวอักษรและตัวเลขที่สร้างขึ้นแบบสุ่มซึ่งส่งทางข้อความหรือ แอพที่ชอบ

Google Authenticator. 2FA รูปแบบอื่นๆ ต้องใช้โทเค็นฮาร์ดแวร์พิเศษ (โดยทั่วไปจะอยู่ในรูปแบบของพวงกุญแจ USB เช่น ยูบิโกะ ยูบิเคย์) ได้รับการรับรองโดย FIDO Alliance ซึ่งเป็นกลุ่มอุตสาหกรรมที่ได้รับมอบหมายให้พัฒนามาตรฐานความปลอดภัยที่ทำงานร่วมกันได้

แล้วทำไมคนถึงไม่ใช้ล่ะ? ตามที่นักวิจัยบางคนไม่เชื่อถือ ใน การศึกษาที่ดำเนินการโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Sophos ในปี 2559ผู้ตอบแบบสอบถามมากกว่า 15 เปอร์เซ็นต์อ้างถึงข้อกังวลด้านความเป็นส่วนตัวเกี่ยวกับ 2FA ความกลัวของพวกเขาไม่มีมูลความจริง: ผู้เชี่ยวชาญบางคนชี้ให้เห็นจุดอ่อนใน 2FA ที่ใช้ SMS โดยอ้างถึงความเสี่ยงที่จะถูกสกัดกั้นโดยผู้โจมตีที่สามารถปลอมแปลงหมายเลขโทรศัพท์ได้

ในส่วนของ Google ปล่อยให้เป็นเช่นนั้น จี สวีท ลูกค้าองค์กรไม่อนุญาตให้ใช้โทเค็นการตรวจสอบสิทธิ์ SMS ที่อ่อนแอ และกำลังดำเนินการหาทางเลือกอื่น

ในเดือนตุลาคม ได้เปิดตัววิธีการใหม่สำหรับ 2FA ซึ่งแทนที่ SMS ด้วย "Google พร้อมท์" ซึ่งเป็นหน้าจอยืนยันที่สร้างไว้ในบริการ Google Play บน Android และแอป Google บน iOS คุณไม่จำเป็นต้องป้อนข้อความรหัสผ่าน แต่ใช้การวิเคราะห์พฤติกรรม เช่น ตำแหน่งทางภูมิศาสตร์ของโทรศัพท์ของคุณ และเวลาในการยืนยันตัวตนของคุณแทน นอกจากนี้บริษัทยังได้เปิดตัวบริการใหม่ โปรแกรมการป้องกันขั้นสูงที่ต้องใช้บัญชีที่มีโปรไฟล์สูงเพื่อใช้คีย์ความปลอดภัย USB 2FA ที่ใช้ฮาร์ดแวร์แทน Google Prompt หรือ SMS

"ความจริงประการหนึ่งที่เราพบก็คือ ผู้คนจะไม่ยอมรับการรักษาความปลอดภัยเกินกว่าที่พวกเขาคิดว่าจำเป็น" Mark Risher ผู้จัดการทีมระบบข้อมูลประจำตัวของ Google บอก หมิ่น ในการให้สัมภาษณ์เมื่อเดือนกรกฎาคม “ในฐานะผู้ให้บริการอินเทอร์เน็ตสำหรับผู้บริโภครายใหญ่ เราต้องการค้นหาจุดสมดุลที่เหมาะสม”

ที่มา: ทะเบียน