Почему большинство людей не используют двухфакторную аутентификацию?

    Менее 10% аккаунтов используют двухфакторную аутентификацию, около 12% — менеджеры паролей




    Прошло почти семь лет с того момента, как Google представила двухфакторную аутентификацию (2FA), но до сих пор практически никто не использует её.

    На январской конференции по информационной безопасности Usenix's Enigma 2018 с презентацией выступил инженер-программист Google Гжегож Милка (Grzegorz Milka). Он опубликовал печальную статистику того, как обычные пользователи относятся к своей безопасности: менее чем на 10% активных аккаунтов Google используется 2FA и всего около 12% американцев используют менеджеры паролей (статистика Pew Research Center). Недавно эта тема обсуждалась на Geektimes.

    Оставим за скобками то, что Google при активации 2FA требует обязательного указания номера телефона — это не устраивает тех, кто не готов делиться персональными данными с корпорацией. Вполне разумная позиция. Но большинство пользователей предпочитают игнорировать 2FA по другим причинам. Почему?

    Google является одним из первопроходцев по внедрению 2FA среди крупных интернет-сервисов. Кроме того, компания активно пропагандирует этот метод и распространяет приложение Google Authentificator App для привязки аккаунта к конкретному устройству. Двухфакторная аутентификация работает и просто по SMS.

    Небезопасность 2FA по SMS


    Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.

    Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.



    Конкретный случай проведения атаки со всеми необходимыми командами и скриншотами опубликован в корпоративном блоге Positive Technologies на Хабре.

    Перехват чужих SMS — вовсе не теоретические изыски, такие атаки уже проводились неоднократно как хакерами, так и спецслужбами разных стран (см. статью «Спецслужбы начали перехватывать SMS-коды авторизации Telegram»). Хотя в российском случае это могли быть вовсе не спецслужбы, ведь атака через SS7 доступна любому желающему: кто угодно мог перехватить эти SMS, необязательно это были спецслужбы.

    Так или иначе, 2FA по SMS уже не является безопасным способом двухфакторной аутентификации. Это официально признал NIST (Национальный институт стандартов и технологий США), который в 2016 году опубликовал новую версию Руководства по цифровой аутентификации. Там сказано, что аутентификация по SMS более не поддерживается и не будет включена как рекомендованный способ аутентификации в будущих версиях Руководства.

    Другими словами, в некоторых случаях двухфакторная аутентификация не является безопасной, а скорее внушает пользователям чувство ложной безопасности. Они думают, что их аккаунт не может быть скомпрометирован без мобильного телефона — и поэтому устанавливают, например, более слабый пароль для аккаунта. То есть в таком случае 2FA даже ухудшает безопасность пользователя.

    Google не реализовала иные способы 2FA, например, с отправкой кода на другой адрес электронной почты — возможно, посчитала их тоже не слишком безопасными, как и 2FA по SMS. Но какой бы способ 2FA мы ни использовали — в любом случае это дополнительные телодвижения для пользователя. То есть людям банально неудобно. Похоже, что многие готовы пожертвовать безопасностью ради удобства.

    Неудобно?


    Собственно, предположение о неудобстве подтвердил и Гжегож Милка, тот самый докладчик из Google. Журналисты The Register спросили у него, почему Google не включит двухфакторную аутентификацию по умолчанию для всех аккаунтов? Ответ был такой: юзабилити. «Речь о том, сколько пользователей уйдёт, если вынудим их использовать дополнительную безопасность».

    Google как может пытается упростить процесс. Например, в июле 2017 года компания запустила быстрый вход с помощью уведомлений на телефоне (Google Prompt). Здесь коды подтверждения не используются, а вместо этого достаточно нажать на уведомление от Google на телефоне и подтвердить вход.



    Но судя по статистике, пользователям даже такой способ 2FA кажется излишне сложным. Любое лишнее нажатие клавиши, любой дополнительный экран — это затруднение, ухудшение удобства использования. Даже самое простейшее действие в интернете может вызвать затруднение у части аудитории. Google говорит, что при попытке установить этот защитный механизм более 10% пользователей не смогли ввести в окно код, присланный по SMS.

    Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности. Кто-то считает, что ему «нечего скрывать». Или что его аккаунт не представляет ценности для злоумышленников и поэтому он никогда не станет жертвой взлома. Чтобы защитить таких людей, Google пытается совершенствовать эвристики и обнаруживать факты взлома по действиям пользователя. Проблема в том, что реагировать в таких случаях нужно очень быстро: в течение нескольких минут, пока злоумышленник не осуществил все свои планы.


    Анатомия типичного взлома. Из презентации Google. Как видим, злоумышленник успевает осуществить все действия за 15 минут

    Google говорит, что активность во взломанных аккаунтах имеет ряд схожих признаков. Сразу после входа злоумышленник отключает уведомления, проводит поиск ценных активов в архиве писем (кошельки Bitcoin, интимные фотографии, файлы с паролями и проч.), копирует контакт-лист и устанавливает фильтр для скрытия своих действий от владельца.

    Google как может пытается бороться с такой активностью, уведомляя владельца аккаунта разными способами и подталкивая его активировать 2FA. Но как говорила Маша Седова, сооснователь компании Elevate Security, тривиальные способы не работают из-за общего отсутствия интереса к безопасности у пользователей.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Вы используете 2FA на сайте Google или другом сайте?

    Если вы не используете 2FA, то почему?

    GlobalSign
    167,34
    Компания
    Поделиться публикацией

    Комментарии 49

      +4
      К сожалению SMS иногда очень подолгу ходят или вообще не приходят.
      Потому это не удобно. У банков вот с такой проблемой не встречался, может потому что внутри России как то договорились и доставляют. А вот с SMS от акканта Макрософта — постоянно проблемы.
        +2
        И у банков тоже. Лично два раза сталкивался с тем, что SMS от Сбера не приходили более часа. Хотя я больше склонен грешить на проблемы у Сбера с их отправкой. Но кто знает?
        И конечно же это происходит в самый не подходящий момент. Потому что в в принципе момент не может быть подходящим если тебе нужны твои деньги, а ты не можешь ими воспользоваться.
        Нужно давать альтернативу. Те же банки некоторые дают и электронные генераторы, и карточки с одноразовыми ключами.
          +1

          У того же сбера раньше была альтернатива: листок с одноразовыми паролями,
          который можно было распечатать в любом банкомате.
          Гораздо удобнее, чем смс, но почему-то сбер убрал этот способ.

          +3
          Особенно если ты уехал куда-нибудь в Индию, а SMS шлют на московский номер. Труба.
          Пришлось завести U2F token. И Яндекс-ключ в качестве резерва.
          +5

          потому что я активировал 2FA через гугл на криптобирже, имел неосторожность незабекапить ключ (заметьте — сверхнеочевидная задача для обычного человека), девайс сломался, и я потом месяц ждал ответа от техподдержки для подтверждения что я — это я, и нужно сбросить код

            0
            В Google Authenticator нельзя сделать back-up ключа, рекомендую обратить внимание на Authy. Его можно использовать в тех же местах, что и GA, но так же там есть back-up и возможность поделиться ключом с другими устройствами.
              0

              ну как это нельзя… как минимум в расширении хрома можно. Только я не до конца разобрался как это работает, когда только начал пользоваться им.

                +2

                Можно, сделайте скриншот QR кода и распечатайте

                  0
                  Authy не безопасен по определению (т.к. данные уходят к ним на сервер и там лежат).
                  Есть же куча других реализаций, где можно бэкапить. Например Authenticator Plus.
                    0
                    Огромное спасибо за наводку! Странно, что в обсуждении на reddit его никто не упомянул. Теперь буду пользоваться Authenticator Plus!
                +2

                Для меня основная проблема с 2FA — это то, что большинство реализаций завязаны на SMS, с доставкой которых проблемы вечно возникают в самый неудобный момент.


                У гугла с этим все отлично, есть и totp, и phone prompt.

                  +1

                  Восстановление профиля Totp все равно по телефону

                  +2
                  Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

                  Угу, как будто раньше этого не знали. Просто таки сюрприз — люди не хотят пользоваться тем, что неудобно, ненадежно и неочевидно в плане практической пользы.


                  Вообще говоря, было бы интересно увидеть статистику по предотвращению угонов аккаунта благодаря 2FA.

                    +1
                    Во-первых — уже было на GT.
                    Во-вторых, это просто свидетельство того, сколько ящиков на Gmail создано «одноразовых», ботами, технических, для которых обычно не нужна повышенная безопасность (у меня, например, несколько домашних девайсов, типа NAS-ов присылают таким образом алерты и репорты), и так далее.
                      +1

                      а еще больше их от регистраций в маркете андроид телефонов, где тоже никому не нужна безопасность. Вообще я не представляю как там можно хоть что-то посчитать, когда существуют огромное количество сайтов, продающих почты от бот регистраций тысячами…

                      –1
                      При смене номера будет геморрой 200тыщ аккаунтов переносить на новый номер.
                      Не практично, и 2FA — это рак.
                        0
                        Хватает сервисов которые не привязывают 2FA к девайсу.
                        0
                        Двухфакторная аутенфикация конкретно от гугла и хайп который они пытаются поднять это просто способ получить номер телефона и координату не только для андроидов а и для всех абсолютно. Так что я если что против такой псевдобезопасности
                          +4
                          И все равно это так
                            0
                            И я продублирую свой комментарий к посту на ГТ (2FA на TOTP, а не на СМС):

                            Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
                            как выглядит в настройках
                            image

                            Телефона нигде нет, специально проверил.
                              0
                              За totp не знал включу себе на одном из эккаунтов. Но это не снимает вопросов с смс. Т.к. 1 при логине предлагается защититься все же телефоном и для большинства к которому я отношу себя это смс и только и 2 если установить Аутентификатор на ios то не за требует ли он повышенного доступа? Что касается андроид то вопрос от разработчиков ОС разрешение ли вы определить свою координатузвучит риторически
                                0
                                Я пытаюсь с totp но гугл мне не позволяет это сделать без телефона. Возможно если это делать с другого девайса или же если уже было раньше активировано то можно. Сейчас только телефон. Даже если это можно сделать зайдя в какой-то режим через лабиринт меню этоне меняет основного. Гугл хочет мой телефонный номер.
                                Картинка
                                image

                                Аттракцион невиланной щедрости (в смысле что он готов заплатить)
                            0
                            Вам тогда нужно переехать в тайгу и жить там без технологий вообще. Ибо любой аккаунт — это по факту осознанная (видимо не для всех) делёжка личной информацией с третьими лицами (корпорациями и т.д.)
                            И даже если они говорят что ваши данные зашифрованы, что они в безопасности, что даже сама корпорация их не может расшифровать и даже если это правда — в любом случае эти данные у них есть. Не важно в каком виде, но вы ими поделились.
                            И да, ой сюрприз, но даже налоговая, паспортный стол и военкомат кое-что о вас знают. И у многих ваш номер и адрес проживания, данные паспорта и т.д.
                            Ну что, вы там ещё не против вообще существовать??
                              +1
                              Не совсем уместный сарказм. Я как раз не призываю «усиливать» безопасность предоставлением гуглу свою координату и номер телефона (заодно и образец голоса).
                              Я всего лишь говорю что 2-х факторная это хорошо там где это нужно. Но не стоит отдавать больше контроля над своими личными данными (координата, голос, номер телефона) там где это не нужно.
                            0
                            Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.

                            Получается, что большинство пользователей просто не готовы жертвовать удобством ради чувства ложной безопасности. Вы же сами об этом пишете.
                              +5
                              Безопасность все же не ложная. Я как минимум знаю несколько десятков случаев когда взлом аккаунта был остановлен лишь благодаря 2FA.
                              –2
                              мой телефон (honor 8) попросил раз в 3 дня вводить пароль хотя я пользуюсь отпечатком пальца… улетел в помойку. Безопасность не критичных данных должна быть разумной и комфортной, на то они и не критичные данные. Иногда кажется что мы живем в некой цифровой диктатуре, где нам приказывают что мы должны видеть слышать как жить и как себя обезопасить. БЕСИТ. Недавно на mail.ru заблокировали мою почту из которой я регистрировался на всяких фан сайтах типа джоя и фишек, потребовали от меня номер телефона и второй запасной ящик… были посланы. Иногда кажется что миром пытаются править кучка параноиков.
                                –1

                                Да, в этом плане программисты действительно ведут себя не логично.
                                Аналогия с рамками в метро, аля защита от террористов. Все понимают, что это бесполезно, направлено, дабы отловить пару человек в год, а страдают каждый день все. И всем очевидно, что реальный террорист всё равно найдёт способ пронести бомбу.
                                Так же и с 2FA — может быть спасёт от пары случаев взлома, страдают все, но кому надо всё равно найдёт способ угнать данные.

                                  +1

                                  Боюсь, проблема глубже… даже если вам самим не очень важны какие-то учетные записи, то они могут быть важны злоумышленникам, чтобы пользоваться ваши учётками с хорошей репутацией для спама и прочих действий. Может и не у вас, так у кого-то еще, кто запамятовал, что установил эту почту с легким паролем второй для восстановления пароля от уже более ценной почты… ситуаций может быть много. Сервисы защищают не именно ваши данные, они защищают свою систему в целом, так как часть людей не понимают последствий своих решений, а страдать из-за них могут все. Лёгкого решения этой проблемы нет. Поэтому выбирают меньшее из зол

                                  +1
                                  А чего не упомянули всякие приложения — генераторы кодов входа типа Google Authentificator? Самое оно для замены смс. Я лично редко пользуюсь двухфакторной аутентификацией, потому что это действительно не слишком удобно — лишний раз искать какой-то код в смс или приложении. Но зато с удовольствием пользуюсь гугловским способом с уведомлениями на смартфоне. Это куда быстрее. Надо лишь тыкнуть по кнопке в уведомлении на главном экране, а не копировать код который еще надо найти перед этим. И не понимаю паранои насчет номеров телефона. Ну что с того что у гугла будет мой номер? Гугл не будет же заниматься каким-то мелким хакерством типа снять деньги со счета или присылать фишинговые смс… А то что все мы у них под колпаком — это и так понятно. Захотят — и без моего номера найдут как взломать. Другое дело что ввожу телефон я только на проверенных сайтах типа гугла, яндекса, соцсетей… Плюс конечно менеджер паролей. Без него никуда!
                                    0
                                    Одна из проблем конкретно с GA то, что его нельзя запаролить…
                                    Только доп программами. Ну и пользоваться альтернативами с поддержкой ключа\пароля на вход.
                                      –1

                                      Да гугловский GA довольно слабо выглядит, хотя если подумать, запоролить сам телефон будет вполне достаточно.


                                      Так же пользуюсь Authy, более продвинутый в этом плане, и запоролить самое приложение можно

                                      • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      После того как 1Password добавили поддержку одноразовых паролей использовать 2FA стало очень удобно.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0

                                          Отказался от 2fa, прожил с ним год, самое неудобное, что случается нет заряда на телефоне а зайти куда-то надо особенно в отпуске, как-то разбил дисплей и потом морока с восстановлением аккаунта обернулась блоком учетки на оутлуке на 3 дгя. А там надо было срочно войти и получить пароль от другой учетки. Так что 2fa в нынешнем виде больше усложняет жизнь чем обнзопашивает мои аккаунты, чтоб восстановить доступ тратится слишком много времени возможно стоит пересмотреть саму концепцию

                                            –1
                                            Тут что с 2FA, что без него, сегодня из-за 2FA что-то залочилось, завтра что-то где-то взломали и опять у вас что-то сломается и виноваты опять все кроме вас. Вспоминается goo.gl/Z9NpwV
                                            +2
                                            Для себя отметил два момента, почему в данный момент не хочу использовать 2FA
                                            1) Лишние действия. Ожидание смсок при каждом входе в банк-клиент надоедает, еще и для почты такого же не хочется.
                                            2) Боязнь самозалочиться. Телефон конечно всегда под рукой и в этом плане очень удобен, однако телефон может разрядиться, повредиться, быть украден. И что тогда делать? Забыть про свои старые учетки? Или с бОльшим гемором их восстанавливать. Недавно столкнулся с ноутбуком брата: чтобы войти в учетку Google, введите код из смс, только вот номера больше нет такого, а другие варианты — отказ. И чего делать?
                                              +1
                                              Та же история. Пользовался, пока не потерял телефон. Сделал для себя вывод, что вероятность потерять телефон все же на порядки выше, чем то, что меня взломают и 2FA это неоправданное усложнение своей жизни.
                                                0
                                                Потому что акк не несет цены, зачем на нем повышенный уровень безопасности. Если б было че-то ценное то да юзал бы
                                                  0
                                                  Акк-то понятно не несет, так ведь почта же. Если так пароль можно каким-либо образом узнать, то в случае двухфакторки нужно только мобилу отжимать либо эсмски перехватывать, но в данном случае скорее всего тобой будут интересоваться уже совсем другие структуры, коли почта представляет для кого-то такую ценность, что кому-то выгодно нанимать хацкеров, которые как в американских фильмах перехватывают твой траф на скамейке у кафе с открытым вайфаем. Поэтому для простого обывателя это защита 100%, даже если бабушка растрезвонит всем твой же пароль.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Я, как и многие жители Украины, пользуюсь телефонным номером с авансовой оплатой без привязки к персональным данным потому что он банально дешевле контрактного. Такой номер при желании совсем несложно угнать, но для телефонной связи такой безопасности достаточно, потому что профита от его угона почти никакого. А вот когда номер становится (промежуточным) фактором аутентификации, то угон такого номера уже гораздо опаснее и привлекательнее для злоумышленника.
                                                      0
                                                      Не знаю как но в большинстве случаев те кому нужно знают и персональные данные для всех абонентов. Вспоминте хоя бы скорость раскрытие преступлений с телефонными «шутниками» (пару часов и челеовек под следствием)
                                                      0
                                                      А все очень просто, настраивал родственнице почту во встроенном клиенте на киткате, постоянно получал ошибку авторизации, перепробовал все что мог, а оказалось что все дело в банальной включенной двухфакторной авторизации, которую я подключил незадолго до этого, ибо модно-молодежно плюс безопасно. И это не какой-то сторонний клиент, это дефолтный e-mail клиент для Андройда! Как сейчас обстоят дела с этим не знаю, у самого зефир, но почтой на мобиле не пользуюсь, ибо всегда под рукой стационарка, может и поправили, так что отзовитесь плиз если у кого работает почта в дефолтном клиенте с аккаунтом с ней, буду знать…
                                                        +2

                                                        Почему-то у всех 2FA ассоциируется с СМС, если немного дальше -аутентификатор от Google. Уже давно есть множество различных аутентификаторов на любой вкус и цвет и на любой случай жизни. Для критической инфраструктуры — аппаратный токен с защитой pin кодом и технологией запрос-ответ, для обычного пользователя токен push otp (например, MobilePass+), который и в оффлайн режиме работает. Для тех, кто боится потерять, утопить или рассинхронизировать токен есть графические генераторы otp
                                                        (например, GridSure). Просто у нас пока нет гигиены безопасности. Почистить зубы — тоже лишние действие для пользователя… Так и с 2FA.

                                                          0
                                                          Не думаю что кто-то против двухфакторной аутентификации. Я например обсуждал тут повышенную активност гугла начиная с начала этого года. Мои знакомые зная что я работаю в ИТ обратились недавно с вопросом и со ссылкой на статью. Если в двух сорвах о содержании статьи — Вы должны защитить почту gmail иначе будут пропадать деньги с Вашей платежной карточки и т.п. Ко мне самому не далее чем сегодня пришло письмо от гугла в лучших традициях писем счастья такого вот содержания.
                                                          В Вашем аккаунте обнаружено 2 проблемы с безопасностью
                                                          apapacy@gmail.com
                                                          В новой версии Проверки безопасности доступны рекомендации по защите данных, подобранные специально для Вас.
                                                          Узнайте, что Вы можете сделать для безопасности аккаунта уже сегодня. Это займет всего одну-две минуты.
                                                          Фейсбук номер четыре. По раскрытию ссылки пролемы была всего одна и заключалась в том что я вошел в свой эккаунт с другого устройства.

                                                          При этом как я уже сообщал Выше сейчас, именно сейчас (не год назад и не месяц назад) включить 2-ю авторизацию на гугле можно только и исключительно через СМС.

                                                          То есть позиция довольно однозначно показывает что гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты. И это ведет не к увеличению безопасности а к ослаблению безопасности. (не почты а личной безопасности).
                                                            0
                                                            > гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты

                                                            Я вам открою страшную тайну. Если у вас есть телефон с андроид, и вы с него заходили в свою гуглоучетку, например чтобы поставить софт из маркета (и на телефоне есть постоянно или бывает периодически интернет), то ваши координаты с номером уже там. И подобное происходит уже достаточно давно.
                                                          0
                                                          Согласен, проблема в удобности. Не всегда работает.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое