Менше 10% користувачів Gmail увімкнули двофакторну автентифікацію

Згідно з даними, понад 90 відсотків облікових записів Gmail не мають двофакторної автентифікації (2FA). Google і 10 відсотків користувачів 2FA стикалися з проблемами під час використання SMS-кодів автентифікації, надісланих на телефони.

Якщо ви не використовуєте двофакторну автентифікацію Gmail, ви не єдиний. Цього тижня на конференції з безпеки Usenix Enigma 2018 інженер-програміст Google Гжегож Мілка розповів, що понад 90 відсотків активних користувачів Gmail не ввімкнули двофакторну автентифікацію у своїх облікових записах, а 10 відсотків із них ВООЗ мати активували його, виникли проблеми з визначенням того, як використовувати коди автентифікації SMS, надіслані на їхні телефони.

«Мова йде про те, скільки людей ми виженемо, якщо змусимо їх використовувати додатковий захист», — відповів Мілка на запитання, чому Google не вмикає двофакторну автентифікацію за замовчуванням. «Відповідь полягає в зручності використання».

Двофакторна автентифікація, або 2FA, — це протокол, який додає до процесу входу додатковий рівень автентифікації. Коли ви ввімкнули 2FA в онлайн-сервісі та ввели своє ім’я користувача та пароль, вам буде запропоновано ввести додатковий біт інформацію, перш ніж вам буде дозволено ввійти – зазвичай це випадково згенерований рядок літер і цифр, надісланий через текстове повідомлення або додаток подобається

Google Authenticator. Для інших форм 2FA потрібен спеціальний апаратний маркер (зазвичай у формі USB-брелока, наприклад Yubikey від Yubico), сертифікований FIDO Alliance, галузевим консорціумом, який займається розробкою сумісних стандартів безпеки.

Тож чому люди цим не користуються? На думку деяких дослідників, вони не довіряють цьому. В Дослідження, проведене компанією з кібербезпеки Sophos у 2016 році, понад 15 відсотків респондентів висловили занепокоєння конфіденційністю щодо 2FA. Їхні побоювання не безпідставні: деякі експерти вказали на слабкі сторони 2FA на основі SMS, посилаючись на ризик перехоплення зловмисниками, яким вдається підробити телефонні номери.

Google, зі свого боку, дозволяє G Suite корпоративні клієнти активно забороняють слабкі маркери автентифікації SMS, і компанія працює над альтернативами.

У жовтні він запровадив новий метод для 2FA, який замінив SMS на "Підказка Google", екран підтвердження, вбудований у сервіси Google Play на Android і додаток Google на iOS. Вам не потрібно вводити парольну фразу, замість цього використовуючи евристичні методи, як-от географічне місцезнаходження вашого телефону та час доби, щоб підтвердити вашу особу. Компанія також запустила нову послугу, Програма додаткового захисту, що вимагає від облікових записів високого профілю використовувати апаратні ключі безпеки USB 2FA замість сповіщень Google або SMS.

«Одна з істин, яку ми знайшли, полягає в тому, що люди не погодяться на більшу безпеку, ніж вони думають, що їм потрібно», — Марк Рішер, менеджер команди систем ідентифікації Google розповів The Verge в інтерв'ю в липні. «Як великий інтернет-провайдер, ми хочемо знайти правильний баланс».


Джерело: Реєстр