Менее 10% аккаунтов используют двухфакторную аутентификацию, около 12% — менеджеры паролей
Прошло почти семь лет с того момента, как Google представила двухфакторную аутентификацию (2FA), но до сих пор практически никто не использует её.
На январской конференции по информационной безопасности Usenix's Enigma 2018 с презентацией выступил инженер-программист Google Гжегож Милка (Grzegorz Milka). Он опубликовал печальную статистику того, как обычные пользователи относятся к своей безопасности: менее чем на 10% активных аккаунтов Google используется 2FA и всего около 12% американцев используют менеджеры паролей (статистика Pew Research Center). Недавно эта тема обсуждалась на Geektimes.
Оставим за скобками то, что Google при активации 2FA требует обязательного указания номера телефона — это не устраивает тех, кто не готов делиться персональными данными с корпорацией. Вполне разумная позиция. Но большинство пользователей предпочитают игнорировать 2FA по другим причинам. Почему?
Google является одним из первопроходцев по внедрению 2FA среди крупных интернет-сервисов. Кроме того, компания активно пропагандирует этот метод и распространяет приложение Google Authentificator App для привязки аккаунта к конкретному устройству. Двухфакторная аутентификация работает и просто по SMS.
Небезопасность 2FA по SMS
Нужно отметить, что 2FA по SMS уже официально признана небезопасным методом аутентификации из-за неустранимых уязвимостей в сигнальной системе Signaling System 7 (SS7), которая используется сотовыми сетями для взаимодействия между собой.
Специалисты компании Positive Technologies ещё несколько лет назад показали, как происходит перехват SMS. Если вкратце, то атака представляет собой процедуру регистрации абонента в зоне действия «фальшивого» MSC/VLR. Исходными данными являются IMSI абонента и адрес текущего MSC/VLR, что можно получить с помощью соответствующего запроса в сети SS7. После регистрации абонента в зоне «фальшивого» MSC/VLR он перестанет получать входящие вызовы и SMS, а все его SMS будут приходить на узел атакующего.
Конкретный случай проведения атаки со всеми необходимыми командами и скриншотами опубликован в корпоративном блоге Positive Technologies на Хабре.
Перехват чужих SMS — вовсе не теоретические изыски, такие атаки уже проводились неоднократно как хакерами, так и спецслужбами разных стран (см. статью «Спецслужбы начали перехватывать SMS-коды авторизации Telegram»). Хотя в российском случае это могли быть вовсе не спецслужбы, ведь атака через SS7 доступна любому желающему: кто угодно мог перехватить эти SMS, необязательно это были спецслужбы.
Так или иначе, 2FA по SMS уже не является безопасным способом двухфакторной аутентификации. Это официально признал NIST (Национальный институт стандартов и технологий США), который в 2016 году опубликовал новую версию Руководства по цифровой аутентификации. Там сказано, что аутентификация по SMS более не поддерживается и не будет включена как рекомендованный способ аутентификации в будущих версиях Руководства.
Другими словами, в некоторых случаях двухфакторная аутентификация не является безопасной, а скорее внушает пользователям чувство ложной безопасности. Они думают, что их аккаунт не может быть скомпрометирован без мобильного телефона — и поэтому устанавливают, например, более слабый пароль для аккаунта. То есть в таком случае 2FA даже ухудшает безопасность пользователя.
Google не реализовала иные способы 2FA, например, с отправкой кода на другой адрес электронной почты — возможно, посчитала их тоже не слишком безопасными, как и 2FA по SMS. Но какой бы способ 2FA мы ни использовали — в любом случае это дополнительные телодвижения для пользователя. То есть людям банально неудобно. Похоже, что многие готовы пожертвовать безопасностью ради удобства.
Неудобно?
Собственно, предположение о неудобстве подтвердил и Гжегож Милка, тот самый докладчик из Google. Журналисты The Register спросили у него, почему Google не включит двухфакторную аутентификацию по умолчанию для всех аккаунтов? Ответ был такой: юзабилити. «Речь о том, сколько пользователей уйдёт, если вынудим их использовать дополнительную безопасность».
Google как может пытается упростить процесс. Например, в июле 2017 года компания запустила быстрый вход с помощью уведомлений на телефоне (Google Prompt). Здесь коды подтверждения не используются, а вместо этого достаточно нажать на уведомление от Google на телефоне и подтвердить вход.
Но судя по статистике, пользователям даже такой способ 2FA кажется излишне сложным. Любое лишнее нажатие клавиши, любой дополнительный экран — это затруднение, ухудшение удобства использования. Даже самое простейшее действие в интернете может вызвать затруднение у части аудитории. Google говорит, что при попытке установить этот защитный механизм более 10% пользователей не смогли ввести в окно код, присланный по SMS.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности. Кто-то считает, что ему «нечего скрывать». Или что его аккаунт не представляет ценности для злоумышленников и поэтому он никогда не станет жертвой взлома. Чтобы защитить таких людей, Google пытается совершенствовать эвристики и обнаруживать факты взлома по действиям пользователя. Проблема в том, что реагировать в таких случаях нужно очень быстро: в течение нескольких минут, пока злоумышленник не осуществил все свои планы.
Анатомия типичного взлома. Из презентации Google. Как видим, злоумышленник успевает осуществить все действия за 15 минут
Google говорит, что активность во взломанных аккаунтах имеет ряд схожих признаков. Сразу после входа злоумышленник отключает уведомления, проводит поиск ценных активов в архиве писем (кошельки Bitcoin, интимные фотографии, файлы с паролями и проч.), копирует контакт-лист и устанавливает фильтр для скрытия своих действий от владельца.
Google как может пытается бороться с такой активностью, уведомляя владельца аккаунта разными способами и подталкивая его активировать 2FA. Но как говорила Маша Седова, сооснователь компании Elevate Security, тривиальные способы не работают из-за общего отсутствия интереса к безопасности у пользователей.
Комментарии (47)
Marwin
02.02.2018 11:22потому что я активировал 2FA через гугл на криптобирже, имел неосторожность незабекапить ключ (заметьте — сверхнеочевидная задача для обычного человека), девайс сломался, и я потом месяц ждал ответа от техподдержки для подтверждения что я — это я, и нужно сбросить код
shfghjsdgfh
02.02.2018 13:47В Google Authenticator нельзя сделать back-up ключа, рекомендую обратить внимание на Authy. Его можно использовать в тех же местах, что и GA, но так же там есть back-up и возможность поделиться ключом с другими устройствами.
Marwin
02.02.2018 14:17ну как это нельзя… как минимум в расширении хрома можно. Только я не до конца разобрался как это работает, когда только начал пользоваться им.
isden
05.02.2018 10:50Authy не безопасен по определению (т.к. данные уходят к ним на сервер и там лежат).
Есть же куча других реализаций, где можно бэкапить. Например Authenticator Plus.shfghjsdgfh
06.02.2018 02:21Огромное спасибо за наводку! Странно, что в обсуждении на reddit его никто не упомянул. Теперь буду пользоваться Authenticator Plus!
symbix
02.02.2018 11:33Для меня основная проблема с 2FA — это то, что большинство реализаций завязаны на SMS, с доставкой которых проблемы вечно возникают в самый неудобный момент.
У гугла с этим все отлично, есть и totp, и phone prompt.
ildarz
02.02.2018 11:40Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.
Угу, как будто раньше этого не знали. Просто таки сюрприз — люди не хотят пользоваться тем, что неудобно, ненадежно и неочевидно в плане практической пользы.
Вообще говоря, было бы интересно увидеть статистику по предотвращению угонов аккаунта благодаря 2FA.
romxx
02.02.2018 12:00Во-первых — уже было на GT.
Во-вторых, это просто свидетельство того, сколько ящиков на Gmail создано «одноразовых», ботами, технических, для которых обычно не нужна повышенная безопасность (у меня, например, несколько домашних девайсов, типа NAS-ов присылают таким образом алерты и репорты), и так далее.Marwin
02.02.2018 12:12а еще больше их от регистраций в маркете андроид телефонов, где тоже никому не нужна безопасность. Вообще я не представляю как там можно хоть что-то посчитать, когда существуют огромное количество сайтов, продающих почты от бот регистраций тысячами…
apapacy
02.02.2018 13:53Двухфакторная аутенфикация конкретно от гугла и хайп который они пытаются поднять это просто способ получить номер телефона и координату не только для андроидов а и для всех абсолютно. Так что я если что против такой псевдобезопасности
apapacy
02.02.2018 14:40И все равно это так
rogoz
02.02.2018 18:27И я продублирую свой комментарий к посту на ГТ (2FA на TOTP, а не на СМС):
Я как-то смог без телефона, они для восстановления выдали пачку резервных кодов.
как выглядит в настройках
apapacy
02.02.2018 19:19+1За totp не знал включу себе на одном из эккаунтов. Но это не снимает вопросов с смс. Т.к. 1 при логине предлагается защититься все же телефоном и для большинства к которому я отношу себя это смс и только и 2 если установить Аутентификатор на ios то не за требует ли он повышенного доступа? Что касается андроид то вопрос от разработчиков ОС разрешение ли вы определить свою координатузвучит риторически
apapacy
02.02.2018 21:08Я пытаюсь с totp но гугл мне не позволяет это сделать без телефона. Возможно если это делать с другого девайса или же если уже было раньше активировано то можно. Сейчас только телефон. Даже если это можно сделать зайдя в какой-то режим через лабиринт меню этоне меняет основного. Гугл хочет мой телефонный номер.
Картинка
IGR2014
02.02.2018 17:38Вам тогда нужно переехать в тайгу и жить там без технологий вообще. Ибо любой аккаунт — это по факту осознанная (видимо не для всех) делёжка личной информацией с третьими лицами (корпорациями и т.д.)
И даже если они говорят что ваши данные зашифрованы, что они в безопасности, что даже сама корпорация их не может расшифровать и даже если это правда — в любом случае эти данные у них есть. Не важно в каком виде, но вы ими поделились.
И да, ой сюрприз, но даже налоговая, паспортный стол и военкомат кое-что о вас знают. И у многих ваш номер и адрес проживания, данные паспорта и т.д.
Ну что, вы там ещё не против вообще существовать??apapacy
02.02.2018 17:44+1Не совсем уместный сарказм. Я как раз не призываю «усиливать» безопасность предоставлением гуглу свою координату и номер телефона (заодно и образец голоса).
Я всего лишь говорю что 2-х факторная это хорошо там где это нужно. Но не стоит отдавать больше контроля над своими личными данными (координата, голос, номер телефона) там где это не нужно.
Taciturn
02.02.2018 14:14Получается, что большинство пользователей просто не готовы жертвовать удобством ради безопасности.
Получается, что большинство пользователей просто не готовы жертвовать удобством ради чувства ложной безопасности. Вы же сами об этом пишете.Djeux
02.02.2018 14:45Безопасность все же не ложная. Я как минимум знаю несколько десятков случаев когда взлом аккаунта был остановлен лишь благодаря 2FA.
nikolajbezcelovecnyj
02.02.2018 15:23мой телефон (honor 8) попросил раз в 3 дня вводить пароль хотя я пользуюсь отпечатком пальца… улетел в помойку. Безопасность не критичных данных должна быть разумной и комфортной, на то они и не критичные данные. Иногда кажется что мы живем в некой цифровой диктатуре, где нам приказывают что мы должны видеть слышать как жить и как себя обезопасить. БЕСИТ. Недавно на mail.ru заблокировали мою почту из которой я регистрировался на всяких фан сайтах типа джоя и фишек, потребовали от меня номер телефона и второй запасной ящик… были посланы. Иногда кажется что миром пытаются править кучка параноиков.
evnuh
02.02.2018 16:01Да, в этом плане программисты действительно ведут себя не логично.
Аналогия с рамками в метро, аля защита от террористов. Все понимают, что это бесполезно, направлено, дабы отловить пару человек в год, а страдают каждый день все. И всем очевидно, что реальный террорист всё равно найдёт способ пронести бомбу.
Так же и с 2FA — может быть спасёт от пары случаев взлома, страдают все, но кому надо всё равно найдёт способ угнать данные.
Marwin
02.02.2018 17:49+1Боюсь, проблема глубже… даже если вам самим не очень важны какие-то учетные записи, то они могут быть важны злоумышленникам, чтобы пользоваться ваши учётками с хорошей репутацией для спама и прочих действий. Может и не у вас, так у кого-то еще, кто запамятовал, что установил эту почту с легким паролем второй для восстановления пароля от уже более ценной почты… ситуаций может быть много. Сервисы защищают не именно ваши данные, они защищают свою систему в целом, так как часть людей не понимают последствий своих решений, а страдать из-за них могут все. Лёгкого решения этой проблемы нет. Поэтому выбирают меньшее из зол
DarkByte2015
02.02.2018 16:33А чего не упомянули всякие приложения — генераторы кодов входа типа Google Authentificator? Самое оно для замены смс. Я лично редко пользуюсь двухфакторной аутентификацией, потому что это действительно не слишком удобно — лишний раз искать какой-то код в смс или приложении. Но зато с удовольствием пользуюсь гугловским способом с уведомлениями на смартфоне. Это куда быстрее. Надо лишь тыкнуть по кнопке в уведомлении на главном экране, а не копировать код который еще надо найти перед этим. И не понимаю паранои насчет номеров телефона. Ну что с того что у гугла будет мой номер? Гугл не будет же заниматься каким-то мелким хакерством типа снять деньги со счета или присылать фишинговые смс… А то что все мы у них под колпаком — это и так понятно. Захотят — и без моего номера найдут как взломать. Другое дело что ввожу телефон я только на проверенных сайтах типа гугла, яндекса, соцсетей… Плюс конечно менеджер паролей. Без него никуда!
runalsh
02.02.2018 16:55Одна из проблем конкретно с GA то, что его нельзя запаролить…
Только доп программами. Ну и пользоваться альтернативами с поддержкой ключа\пароля на вход.Daniyar94
02.02.2018 17:22Да гугловский GA довольно слабо выглядит, хотя если подумать, запоролить сам телефон будет вполне достаточно.
Так же пользуюсь Authy, более продвинутый в этом плане, и запоролить самое приложение можно
Barlog
02.02.2018 18:07После того как 1Password добавили поддержку одноразовых паролей использовать 2FA стало очень удобно.
evgenWebm
02.02.2018 18:54+1Мне иногда кажется, что они из другой вселенной.
Всех кого я знаю и не пользуется 2ФА, то по одной причине. Они впадают в ступор когда видят незнакомую картинку.
Пугаются, не понимаю, что от них требуется и просто закрывают вкладку.
А насчет не удобно… странно это звучит. 1 приложение на телефон, при входе только потом нажимаешь Да.
daneyeah
02.02.2018 18:55Отказался от 2fa, прожил с ним год, самое неудобное, что случается нет заряда на телефоне а зайти куда-то надо особенно в отпуске, как-то разбил дисплей и потом морока с восстановлением аккаунта обернулась блоком учетки на оутлуке на 3 дгя. А там надо было срочно войти и получить пароль от другой учетки. Так что 2fa в нынешнем виде больше усложняет жизнь чем обнзопашивает мои аккаунты, чтоб восстановить доступ тратится слишком много времени возможно стоит пересмотреть саму концепцию
vsespb
02.02.2018 23:17Тут что с 2FA, что без него, сегодня из-за 2FA что-то залочилось, завтра что-то где-то взломали и опять у вас что-то сломается и виноваты опять все кроме вас. Вспоминается goo.gl/Z9NpwV
divanikus
02.02.2018 19:56Для себя отметил два момента, почему в данный момент не хочу использовать 2FA
1) Лишние действия. Ожидание смсок при каждом входе в банк-клиент надоедает, еще и для почты такого же не хочется.
2) Боязнь самозалочиться. Телефон конечно всегда под рукой и в этом плане очень удобен, однако телефон может разрядиться, повредиться, быть украден. И что тогда делать? Забыть про свои старые учетки? Или с бОльшим гемором их восстанавливать. Недавно столкнулся с ноутбуком брата: чтобы войти в учетку Google, введите код из смс, только вот номера больше нет такого, а другие варианты — отказ. И чего делать?
takezi
02.02.2018 20:55Та же история. Пользовался, пока не потерял телефон. Сделал для себя вывод, что вероятность потерять телефон все же на порядки выше, чем то, что меня взломают и 2FA это неоправданное усложнение своей жизни.
bro-dev
02.02.2018 22:06Потому что акк не несет цены, зачем на нем повышенный уровень безопасности. Если б было че-то ценное то да юзал бы
Acuna
04.02.2018 04:05Акк-то понятно не несет, так ведь почта же. Если так пароль можно каким-либо образом узнать, то в случае двухфакторки нужно только мобилу отжимать либо эсмски перехватывать, но в данном случае скорее всего тобой будут интересоваться уже совсем другие структуры, коли почта представляет для кого-то такую ценность, что кому-то выгодно нанимать хацкеров, которые как в американских фильмах перехватывают твой траф на скамейке у кафе с открытым вайфаем. Поэтому для простого обывателя это защита 100%, даже если бабушка растрезвонит всем твой же пароль.
kirillaristov
03.02.2018 01:34Это конечно не частый кейс, но если 2FA через смс на мобильный номер, то в случае командировки туда, где есть лишь спутниковый инет — будет полный облом.
Тайга, уединенное жилье, бензогенератор (или солнечная панель), спутниковая тарелка, двунаправленный инет 1МБ/с и полный фэйл при заходе в гмэйл. Инет есть, а гмэйла нет. Не хотелось бы так.
slonm
03.02.2018 12:12Я, как и многие жители Украины, пользуюсь телефонным номером с авансовой оплатой без привязки к персональным данным потому что он банально дешевле контрактного. Такой номер при желании совсем несложно угнать, но для телефонной связи такой безопасности достаточно, потому что профита от его угона почти никакого. А вот когда номер становится (промежуточным) фактором аутентификации, то угон такого номера уже гораздо опаснее и привлекательнее для злоумышленника.
apapacy
03.02.2018 15:18Не знаю как но в большинстве случаев те кому нужно знают и персональные данные для всех абонентов. Вспоминте хоя бы скорость раскрытие преступлений с телефонными «шутниками» (пару часов и челеовек под следствием)
Acuna
04.02.2018 01:17А все очень просто, настраивал родственнице почту во встроенном клиенте на киткате, постоянно получал ошибку авторизации, перепробовал все что мог, а оказалось что все дело в банальной включенной двухфакторной авторизации, которую я подключил незадолго до этого, ибо модно-молодежно плюс безопасно. И это не какой-то сторонний клиент, это дефолтный e-mail клиент для Андройда! Как сейчас обстоят дела с этим не знаю, у самого зефир, но почтой на мобиле не пользуюсь, ибо всегда под рукой стационарка, может и поправили, так что отзовитесь плиз если у кого работает почта в дефолтном клиенте с аккаунтом с ней, буду знать…
maverick_mike
05.02.2018 10:17Почему-то у всех 2FA ассоциируется с СМС, если немного дальше -аутентификатор от Google. Уже давно есть множество различных аутентификаторов на любой вкус и цвет и на любой случай жизни. Для критической инфраструктуры — аппаратный токен с защитой pin кодом и технологией запрос-ответ, для обычного пользователя токен push otp (например, MobilePass+), который и в оффлайн режиме работает. Для тех, кто боится потерять, утопить или рассинхронизировать токен есть графические генераторы otp
(например, GridSure). Просто у нас пока нет гигиены безопасности. Почистить зубы — тоже лишние действие для пользователя… Так и с 2FA.apapacy
05.02.2018 16:40Не думаю что кто-то против двухфакторной аутентификации. Я например обсуждал тут повышенную активност гугла начиная с начала этого года. Мои знакомые зная что я работаю в ИТ обратились недавно с вопросом и со ссылкой на статью. Если в двух сорвах о содержании статьи — Вы должны защитить почту gmail иначе будут пропадать деньги с Вашей платежной карточки и т.п. Ко мне самому не далее чем сегодня пришло письмо от гугла в лучших традициях писем счастья такого вот содержания.
В Вашем аккаунте обнаружено 2 проблемы с безопасностью
Фейсбук номер четыре. По раскрытию ссылки пролемы была всего одна и заключалась в том что я вошел в свой эккаунт с другого устройства.
apapacy@gmail.com
В новой версии Проверки безопасности доступны рекомендации по защите данных, подобранные специально для Вас.
Узнайте, что Вы можете сделать для безопасности аккаунта уже сегодня. Это займет всего одну-две минуты.
При этом как я уже сообщал Выше сейчас, именно сейчас (не год назад и не месяц назад) включить 2-ю авторизацию на гугле можно только и исключительно через СМС.
То есть позиция довольно однозначно показывает что гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты. И это ведет не к увеличению безопасности а к ослаблению безопасности. (не почты а личной безопасности).isden
06.02.2018 10:31> гугл повел целенаправленную политику по сбору телефонов и координат всех пользователей своей почты
Я вам открою страшную тайну. Если у вас есть телефон с андроид, и вы с него заходили в свою гуглоучетку, например чтобы поставить софт из маркета (и на телефоне есть постоянно или бывает периодически интернет), то ваши координаты с номером уже там. И подобное происходит уже достаточно давно.
Alert123
К сожалению SMS иногда очень подолгу ходят или вообще не приходят.
Потому это не удобно. У банков вот с такой проблемой не встречался, может потому что внутри России как то договорились и доставляют. А вот с SMS от акканта Макрософта — постоянно проблемы.
Mur81
И у банков тоже. Лично два раза сталкивался с тем, что SMS от Сбера не приходили более часа. Хотя я больше склонен грешить на проблемы у Сбера с их отправкой. Но кто знает?
И конечно же это происходит в самый не подходящий момент. Потому что в в принципе момент не может быть подходящим если тебе нужны твои деньги, а ты не можешь ими воспользоваться.
Нужно давать альтернативу. Те же банки некоторые дают и электронные генераторы, и карточки с одноразовыми ключами.
leshakk
У того же сбера раньше была альтернатива: листок с одноразовыми паролями,
который можно было распечатать в любом банкомате.
Гораздо удобнее, чем смс, но почему-то сбер убрал этот способ.
Iv8
Особенно если ты уехал куда-нибудь в Индию, а SMS шлют на московский номер. Труба.
Пришлось завести U2F token. И Яндекс-ключ в качестве резерва.