Эксперт привел печальную статистику в сфере двухфакторной аутентификации

Опубликовано: Пятница, 19 января 2018 01:58

На конференции Usenix Enigma 2018, которая проходит в эти дни в Калифорнии, специалист компании Google Гжегож Милка (Grzegorz Milka) представил доклад, описывающий весьма печальное положение вещей в сфере двухфакторной аутентификации.

Об этом сообщает издание The Register.

Хотя прошло уже семь лет с тех пор, как компания Google разрешила пользователям Gmail применять двухфакторную аутентификацию для своих аккаунтов, пользователи до сих пор задействуют эту полезнейшую функцию крайне редко.

По данным специалиста, менее 10% активных аккаунтов Google в настоящее время защищены двухфакторной аутентификацией. Более того, согласно исследованию Pew Research Center, проведенному в 2016 году, лишь 12% американских пользователей применяют для защиты своих учетных записей хотя бы парольный менеджер. 

grzegorz milka

Аутенфикация

Фото: The Register

После презентации журналисты поинтересовались у специалиста, почему Google до сих пор не сделала двухфакторную аутентификацию обязательной, учитывая столь печальное положение вещей. Гжегож Милка пояснил, что проблема заключается в простоте использования. В Google опасаются, что многие воспримут такое принудительное навязывание дополнительных мер защиты негативно, сочтут все это чересчур сложным и вообще прекратят пользоваться сервисами компании. Хотя компания стремится сделать двухфакторную аутентификацию более простой и понятной, предлагая различные варианты на выбор, для большинства пользователей даже ввести свой телефон, для последующего получения SMS-сообщений с кодами подтверждения, слишком сложно.

В результате в настоящее время инженеры Google вынуждены наращивать мощности эвристических алгоритмов, которые были созданы для обнаружения подозрительного поведения.

Аутенфикация1

Фото: The Register

Гжегож Милка отметил, что после проникновения в чужую учетную запись большинство злоумышленников действуют по одной и той же схеме: отключают уведомления реального владельца, ищут среди писем ценную информацию (данные криптовалютных кошельков или банковских карт, интимные фото и так далее), копируют список контактов, а затем устанавливают фильтр, который маскирует их действия от настоящего владельца учетной записи.

"Пожалуйста, если вы еще этого не сделали, просто включите двухэтапную аутентификацию. Это означает, что когда вы или кто-то другой пытается войти в свой аккаунт, им нужен не только ваш пароль, но и авторизация другого устройства, например телефона. Итак, просто украсть пароль недостаточно - им нужен ваш разблокированный телефон, чтобы зайти", - резюмировал эксперт.