Pohodlí je důležitější než bezpečnost. Dvoufázové ověření účtů používá jen 10 % uživatelů Googlu

12
Google bezpečnost

V únoru to bude sedm let, co Google uživatelům nabídl další stupeň zabezpečení. Od roku 2007 si můžete účet kromě hesla chránit dalším faktorem, Google přidal druhou fázi ověření identity pomocí SMS kódu, telefonického hovoru nebo vygenerovaného kódu. Dodnes tuto možnost využívá méně než 10 % uživatelů.

Jako nízké toto číslo označil také Grzegorz Milka, softwarový inženýr Googlu, který měl přednášku o bezpečnosti na konferenci Usenix Enigma 2018. Na ní též prozradil, že jen asi 12 % uživatelů používá správce hesel. To však není oficiální statistika Googlu nýbrž Pew Research Centera, týká se jen Američanů, a není jasné, jesti se coby správci hesel náhodou nepočítá i ukládání hesel v prohlížečích.

Google nabízí široké možnosti dvoufázového ověření
Google nabízí široké možnosti dvoufázového ověření

Dvoufázové ověření je efektivní způsob, jak chránit účet v případě, že u něj máte nastavené stejné heslo jako v jiných službách. Případně pokud někdo danou službu hackne a hesla zveřejní. Pak útočníkovi samotné heslo stačit nebude, protože nebude mít přístup k vašemu mobilu nebo jinému zařízení.

Bezpečnostní expert Troy Hunt tyto úniky sbírá na webu Have I been pwned? a už má v databázi bezmála pět miliard napadených účtů včetně českých (například díky hacku Mallu). Nutno podotknout, že ne ve všech případech jsou hesla v čitelné podobě, často jsou venku jen jejich hashe.

TIP: Nejpoužívanějšími hesly roku 2017 jsou… znovu 123456 a password

Proč lidé dvoufázové ověření ignorují? Někteří o této možnosti ani neví, někteří se při přihlášení nechtějí zdržovat dalším krokem. Google přitom přihlášení hodně zjednodušil a v kombinaci s mobilní aplikací je to otázkou pár sekund.

Seznam služeb, které dvoufázové ověření nabízejí, najdete na twofactorauth.org. V tabulce je také vidět, jak to která služba řeší. Někdy se přihlášení ověřuje e-mailem, pomocí SMS, hovorem, hardwarovým tokenem nebo softwarovým (generátor kódů). Český Seznam už na dvoufázovém ověření také pracuje.

Pohodlí je důležitější než bezpečnost. Dvoufázové ověření účtů používá jen 10 % uživatelů Googlu

Ohodnoťte tento článek!

12 KOMENTÁŘE

  1. GA dvoufazove overeni je prasarna nejvyssiho stupne, neco tak debilniho (to neni sprosta nadavka, to je konstatovani faktu) se jen tak nevidi. Odzkouseno, zruseno a uz o Google Autentifikatoru nechci v zivote slyset. Dvoufazove overovani pouzivam na Steamu a na GOGu, predevsim Steam je neco jako etalon standardu a Google by se od nich mel ucit!

      • Dvoufázové ověření je chytrá věc, ale musím taky zkritizovat GA, byť to třeba není úplně jen jeho chyba.
        Takto jsem se kdysi přihlásil po delší době k Uplay a vyskočil na mě požadavek dvoufázového ověření skrze GA, tedy dobře, aktivoval jsem. Všechno bylo dobrý do doby, kdy jsem kvůli zabordelenosti Androidu (ten kretén prostě nedržel moje systémové nastavení) udělat reset. Po nějaké době jsem se chtěl opět přihlásit k Uplay a něco si zahrát, když ejhle, dvoufázové ověření a kód v Google Autentifikátoru k Uplay byl samozřejmě fuč. Bez toho se nedalo přihlásit ani nikam, aby se člověk domohl technické podpory. Až po dlouhém hledání po Internetu jsem se dobral návodu v nějakém diskusním fóru. Pak mi technická podpora GA vypnula a od té doby to tak zůstalo.
        Jo, možná je to bezpečný, ale pokud je to tak prasácký, že mi to znemožní přístup k účtu, do kterýho mám nastrkáno nemálo peněz, pak se jim na to můžu vykašlat.
        Má první a poslední zkušenost s GA.

        • UPlay je kapitola sama pro sebe, mame na to dokonce na herni poradne samostatne vlakno, jak vypnout GA na UPlay, kdyz to prestane fungovat. Mne samotnemu nedorazil ani obnovovaci univerzalni kod, prihlasit se samozrejme neslo, ale dopadlo to take dobre, podpora UbiSoftu mi GA vypnula a od te doby mam klid. Nicmene Ubi slibil, ze udela vlastni autentifikaci a uz je to pres rok a stale nic, stvou me.

          Ohledne problemu GA, jsou to dve veci, za prve Google jako temer ve vsech jeho sluzbach, nedokaze vynucovat kontrolu kvality a ani nechce, takze GA muze implementovat kde kdo a muze to totalne doprasit jako se to povedlo UbiSoftu a pak to nefunguje. Ale ono nelze hazet jen vinu na treti stranu, protoze kdo kdy videl nejakou dokumentaci od Googlu, tak je zrejme, ze tezko neco muze fungovat. Druha vec pak je to, ze ty kody zdaleka ne vzdycky dorazi, respaktive Google neumi pamatovani zarizeni a tak ty kody clovek zadava v podstate porad. U Steamu jsem v klientovi ten kod jednou zadal a od te doby se mi proste Steam na mem pocitaci zapne bez jakehokoli potvrzovani. Kody mimochodem na telefonu funguji v dobre provedenem widgetu, takze ani nemusim lezt do aplikace, zadavam jen pri nakupech a nikdy jsem s tim narozdil od Google nemel zadny problem. Takze vysledek je jasny, na Steamu dvoufazove overovani pouzivam, na Google a vsech sluzbach na GA zalozenych jsem ho vypnul a byhybam se tomu velkym obloukem.

  2. Ignoruju ho preto, lebo nic im to neprinasa, len komplikacie. Samzorejme suvisi to aj z tym ze BFU si vela rizik neuvedomuje.
    Ze ignoruju googlovske dvojfazove overovanie sa necudujem. Sluzby google co sa tyka zabezpecenia (nielen) uctu su najhorsie a najotravnejsie. Mne poriadne liezlo na nervy google bezpecnostne upozornenie, ze som ku google uctu prihlasil z ineho zariadenie,ktore mi chodilo na prepojeny ucet. Pozuivam velky pocet zariadeni a na niektorych casto skusam rozne operacne systemy. To bola posledna kvapka.

    • Tohle musim taky oponovat, protoze snad kazdy koho znam, pouziva na Steamu dvoufazove overovani. Jak to ze je mozne, ze na Steamu to funguje a lide si to dobrovolne zapinaji a na Google ne? Odpoved je prosta, rozdil je prave v te implementaci, kdy jak se rika, kdyz dva delaji totez, neni to vzdy totez.
      Ono staci pouzivat vic jak jeden pocitac a jeden mobil a uz zacnou problemy, ikdyz teda zase abychom Googlu nekrivdili, zdaleka Google nedosahuje zhovadilosti Facebooku, kdy v podstate nesmite pouzivat vic zarizeni, jinak vam zacnou chodit nejen vyhruzky, ale dokonce i blokovani uctu. Proste kazdy clovek mam mit jeden PC, jeden mobil a maximalne jeste jeden tablet. Vsechno ostatni je u Google a Facebooku podezrele a takove podivnosti se trpet nebudou. 🙂

      • Mas pravdu, ze ked dvaja robia to iste, tak vysledok nemusi byt rovnaky.
        Porovnava steam a google nieje uplne ideal. Preto lebo vecsina ludi ma google ucet na maily a nic viacej, pricom na steame ma clovek nakupene hry casto za sluzne sumy.
        Dvojfazove overovanie je najlacnejsia forma ucinnej ochrany.
        Pouzivla som steam a jeho dvojfazove overovanie ma tiez otravovalo znovu z toho isteho dovodu.
        Najradsej pouzivam G.O.G s hrami bez DRM. Hry mam na ucte ale zaroven si ich viem stiahnut a mat instalacky aj u seba.

  3. Samozřejmě, že lidé dvoufázové zabezpečení ignorují. Je totiž otravné a nepohodlné. Je k němu potřeba druhé zařízení… No jo, ale co když ho zrovna nemám po ruce? Tak vstát, dojít, otevřít aplikaci, napsat kód… Děkuji, nechci. Většina lidí totiž stále není otrokem mobilu, takže ho nemají neustále v ruce. A většina lidí taky není tak zajímavých, aby museli mít svou poštu či cokoli zabezpečené dvoufázově.

  4. Mám teda opačnou zkušenost. S 2FA na google jsem spokojen. Vždy mi akorát přijde notifikace na telefon a dokud se nepřihlasím na novím zařízení, tak to nemusím řešit.

    Naopak steam mne s tím štve, protože skoro všechno je potřeba ověřovat přes jeho aplikaci, což je naprosto nesmyslný a nevidím důvod, proč bych kvůli banálním ukonům na PC měl mít nainstalovanou aplikaci. Vlastně od té doby, co jsem byl donucen na steamu povolit 2FA jsem steam přestal používat.