Benutzer in Richtung Sicherheit zu schubsen, funktioniert.
Das ist die wichtigste Erkenntnis vier Monate nach Googles Initiative, Benutzer standardmäßig für die Zwei-Faktor-Authentifizierung zu registrieren, detailliert in ein Blogbeitrag anlässlich des Safer Internet Day am 8. Februar.
Im Oktober 2021 kündigte das Unternehmen Pläne an, die Zwei-Faktor-Authentifizierung standardmäßig für 150 Millionen Google-Nutzer zu aktivieren, die den Dienst derzeit nicht nutzen, und von 2 Millionen YouTube-Erstellern die Nutzung zu verlangen. Im neusten Beitrag sagt Google, dass es einen 50-prozentigen Rückgang der kompromittierten Konten in dieser Testbenutzergruppe beobachtet hat.
Die Strategie zeigt die Macht eines Technologiegiganten wie Google, um Sicherheit zu bieten standardmäßig und fügt sich in ein jahrelanges Projekt ein, um Benutzer zu einem robusteren Sicherheitsmodell zu bewegen – das schließlich auf eine Zukunft ohne Passwörter abzielt, so ein weiterer Blogbeitrag, der letztes Jahr vom Unternehmen veröffentlicht wurde.
Die Zwei-Faktor-Authentifizierung oder „Zwei-Schritt-Verifizierung“ (2SV), wie Google es nennt, ist eine zentrale Säule dieser Strategie, da die Kontosicherheit durch die Anforderung, einen physischen Gegenstand wie einen Sicherheitsschlüssel oder ein Telefon zu erhalten, erheblich erhöht wird Codes per App oder SMS. Aber in der Vergangenheit bestand das Problem in der Adoption.
„Bei 2SV muss viel Aufklärungsarbeit geleistet werden“
Im Jahr 2018 enthüllte ein Google-Ingenieur, dass mehr als 90 Prozent der aktiven Gmail-Konten keine Zwei-Faktor-Authentifizierung verwenden, was die Frage aufwirft, warum Google den zweistufigen Authentifizierungsprozess nicht obligatorisch machen würde. Seitdem ist das Unternehmen auf dem Weg, 2SV zu einer Standardoption für einen größeren Anteil der Nutzer und zu einem obligatorischen Schritt für einige zu machen.
Laut Google-Vertretern einer der verbleibenden Barrieren ist ein Mangel an Verständnis für die vollen Vorteile zusätzlicher Authentifizierungsverfahren.
„Bei 2SV muss viel Aufklärungsarbeit geleistet werden, und wir möchten, dass die Nutzer verstehen, was es ist und warum es von Vorteil ist“, sagte Guemmy Kim, Director of Account Security and Safety bei Google.
„Wir müssen auch sicherstellen, dass die Benutzerkonten korrekt mit einer Wiederherstellungs-E-Mail und Telefonnummer eingerichtet sind, damit sie Kontosperrungen vermeiden können, sobald 2SV erzwungen wird. Wir haben bereits Benutzer registriert, die wir als Early Adopters betrachten und deren Konten 2SV-fähig waren“, sagte Kim.
Obwohl die Anzahl der Webdienste, die die Zwei-Faktor-Authentifizierung unterstützen, stetig gewachsen ist , Verbraucherakzeptanz bleibt immer noch gering. Twitter, das 2013 die Zwei-Faktor-Authentifizierung einführte, gab 2020 bekannt, dass nur 2,3 Prozent der aktiven Konten diese aktiviert hatten; bei Facebook lag die Zahl im Jahr 2021 bei rund 4 Prozent Akzeptanz.
Wo eine Akzeptanz besteht, besteht die häufigste 2FA-Option darin, Einmalcodes per SMS zu senden – was Sicherheitsexperten als Methode ansehen am anfälligsten für Abhörversuche. Idealerweise sollte die Zwei-Faktor-Authentifizierung eine Authentifizierungs-App wie Google Authenticator oder Authy oder ein physisches Gerät wie einen Hardware-Sicherheitsschlüssel verwenden.