Tylko co dziesiąty użytkownik Gmaila dobrze zabezpieczył swoje konto. Jesteś nim?
Weryfikacja dwustopniowa. Rozwiązanie, które zwiększa bezpieczeństwo użytkownika i jest wyjątkowo łatwe w obsłudze. Wydawałoby się, że nic tylko korzystać. Nie według większości użytkowników Gmaila.
Siedem lat temu Google postanowił znacząco zwiększyć bezpieczeństwo skrzynek mailowych swoich użytkowników. Dał im możliwość skorzystania z dwustopniowej weryfikacji. To był świetny ruch. Gmail stał się potencjalnie dużo bezpieczniejszy, ale nadal mógł z niego korzystać nawet komputerowy laik. Problem polega na tym, że coś poszło nie tak. Mimo istnienia dwustopniowej weryfikacji już od siedmiu lat niemal nikt z niej nie korzysta.
Ta przerażająca weryfikacja dwustopniowa
Podczas konferencji Usenix's Enigma 2018 Grzegorz Milka z Google'a ujawnił, że z weryfikacji stopniowej korzysta mniej niż 10 proc. użytkowników Gmaila. Zapytany przez The Register o to, dlaczego firma nie wprowadzi takiego zabezpieczenia jako obowiązkowego, Milka przyznał, że Google boi się, że użytkownicy uznają je za niewygodne.
O ile rozumiem decyzję Google'a, żeby nie uszczęśliwiać na siłę swoich klientów, tak nie mogę pojąć, czemu użytkowcy mieliby uznać, że jest ona aż tak niewygodna. Szczególnie po tym, jak firma uprościła korzystanie z niej.
Do tej pory weryfikacja dwustopniowa polegała na wykorzystaniu dwóch haseł. Pierwsze to jest to normalne, ustalane przy zakładaniu konta, drugie użytkownik otrzymuje SMS-em, kiedy ma wchodzi w panel logowania. Dzięki temu włamywacze nie tylko muszą znać to ustalone wcześniej hasło, ale także dostać się do kodu z SMS-a, co nastręcza już o wiele więcej trudności.
Udostępniona przez Google'a uproszczona wersja tego systemu wysyła na telefon użytkownika informacje o tym, że ktoś chce się zalogować na dane konto. Użytkownik ma po prostu potwierdzić, że wszystko jest w porządku, albo zaprzeczyć i zablokować w ten sposób logowanie. W praktyce przekłada się to na wybranie opcji „tak” albo „nie”.
Co z ludźmi, którzy nadal się boją tego diabelstwa?
Na szczęście dla osób, które nie stosują dwustopniowej weryfikacji, Google umie rozpoznać najpopularniejszy schemat działania włamywaczy i powiadomić użytkownika o potencjalnym zagrożeniu. Często atak na konto przebiega według podobnego schematu działania. Najpierw następuje oczywiście logowanie do konta, potem atakujący kasuje maila informującego o tym, że ktoś zalogował się do skrzynki na nowym urządzeniu. Następnie przegląda korespondencję ofiary w poszukiwaniu wartościowych informacji. Na koniec kopiuje listę kontaktów, uruchamia filtr, który skasuje wszystkie wiadomości o potencjalnym przejęciu konta i grzecznie się wylogowuje.
Idealny system zabezpieczeń nie istnieje. Weryfikacja dwuetapowa nie sprawi, że konto nagle stanie się całkowicie bezpieczne. Sprawi za to, że stanie się znacznie bezpieczniejsze. Jeśli nie masz (i nie będziesz miał) na mailu (oraz powiązanych z kontem Google innych usługach) żadnych umów, dowodów zakupu z swoim adresem, listów od firm kurierskich, faktur, rachunków, adresów partnerów biznesowych, kompromitujących zdjęć ani tysiąca innych potencjalnie wrażliwych treści żadna weryfikacja nie jest ci potrzebna.
Jeśli chcesz się jednak zabezpieczyć, to dwustopniową weryfikację na koncie Google włączysz tutaj.