如果您不使用Gmail的双重身份验证,那么您将不是唯一的一个。在本周的Usenix Enigma 2018安全会议上,谷歌软件工程师Grzegorz Milka透露,超过90%的活跃Gmail用户未对其帐户启用两因素身份验证,并且激活该帐户的人中有 10% 遇到了问题弄清楚如何使用发送到手机的SMS验证码。
当被问及为什么谷歌默认情况下不启用两因素身份验证时,米尔卡说:“这是如果迫使他们使用额外的安全性,我们将驱逐出多少人。” “答案就是可用性。”
两因素身份验证或2FA是一种协议,它在登录过程中增加了一层额外的身份验证。在在线服务上启用2FA并输入用户名和密码后,系统会提示您输入其他信息,然后再允许您登录-通常是通过短信或像Google Authenticator这样的应用。其他形式的2FA需要经过FIDO联盟认证的特殊硬件令牌(通常以USB 密钥卡的形式,例如Yubico的Yubikey),该联盟是负责开发可互操作安全性标准的行业联盟。
那为什么人们不使用它呢?根据一些研究人员,他们不信任它。在网络安全公司Sophos于2016年进行的一项研究中,超过15%的受访者提到了有关2FA的隐私问题。他们的担心并非没有根据:一些专家指出了基于SMS的2FA的弱点,理由是设法欺骗电话号码的攻击者可能会拦截它们。
Google允许G Suite企业客户积极禁止弱SMS身份验证令牌,并正在研究替代方案。
十月份,它推出了2FA的新方法,用“ Google Prompt ” 代替了SMS,这是内置在Android上的Google Play服务和iOS上的Google应用程序中的验证屏幕。它不需要您输入密码,而是使用试探法(例如手机的地理位置和一天中的时间)来验证您的身份。该公司还推出了一项新服务“ 高级保护计划”,该服务要求知名帐户使用基于硬件的USB 2FA安全密钥而不是Google Prompt或SMS。
“我们发现的事实之一是,人们不会接受比他们认为需要的更多的安全性,”谷歌身份系统团队经理马克·里舍尔(Mark Risher)在7月的一次采访中告诉《The Verge》。“作为一家大型消费互联网提供商,我们希望找到适当的平衡。”
