На конференции Usenix Enigma 2018, которая проходит в эти дни в Калифорнии, специалист компании Google Гжегож Милка (Grzegorz Milka) представил доклад, описывающий весьма печальное положение вещей в сфере двухфакторной аутентификации.

Хотя прошло уже семь лет с тех пор, как компания Google разрешила пользователям Gmail применять двухфакторную аутентификацию для своих аккаунтов, пользователи до сих пор задействуют эту полезнейшую функцию крайне редко.

По данным специалиста, менее 10% активных аккаунтов Google в настоящее время защищены двухфакторной аутентификацией. Более того, согласно исследованию Pew Research Center, проведенному в 2016 году, лишь 12% американских пользователей применяют для защиты своих учетных записей хотя бы парольный менеджер.

После презентации журналисты издания The Register поинтересовались у специалиста, почему Google до сих пор не сделала двухфакторную аутентификацию обязательной, учитывая столь печальное положение вещей. Гжегож Милка пояснил, что проблема заключается в простоте использования. В Google опасаются, что многие воспримут такое принудительное навязывание дополнительных мер защиты негативно, сочтут все это чересчур сложным и вообще прекратят пользоваться сервисами компании. Хотя компания стремится сделать двухфакторную аутентификацию более простой и понятной, предлагая различные варианты на выбор, для большинства пользователей даже ввести свой телефон, для последующего получения SMS-сообщений с кодами подтверждения, слишком сложно.

В результате в настоящее время инженеры Google вынуждены наращивать мощности эвристических алгоритмов, которые были созданы для обнаружения подозрительного поведения (читай – взлома аккаунтов).

Гжегож Милка рассказал, что после проникновения в чужую учетную запись большинство злоумышленников действуют по одной и той же схеме: отключают уведомления реального владельца, ищут среди писем ценную информацию (данные криптовалютных кошельков или банковских карт, интимные фото и так далее), копируют список контактов, а затем устанавливают фильтр, который маскирует их действия от настоящего владельца учетной записи.

Фото:  The Register

7 комментариев

  1. Lmar

    18.01.2018 at 22:36

    sms аутентификацию признали же ненадежной

  2. john_

    19.01.2018 at 03:43

    >>лишь 12% американских пользователей применяют для защиты своих учетных записей хотя бы парольный менеджер.

    Мне больше интересно как этот показатель считали))))

  3. FarSeerMellon

    22.01.2018 at 20:53

    Нытье гугла о том что им не предоставляют больше данных. Ведь все ведет в 1 сторону. Хотят все обо всем знать.
    Ишь ты, юзер тебе цифры свои не дал, распустил сопли. Не хочет значится. Зело задолбали вытряхивать из нас вси и вся.
    Пы.Сы.: Шапочка на месте. Двухслойная.

Оставить мнение