Google se sprema da ponudi korisnicima Gmaila opciju povećane sigurnosti primenom provere identiteta (autentifikacije) bazirane na dva faktora (engl. two-factor authentication - 2FA).
Nova 2FA opcija ili dvostepena verifikacija, u Google terminologiji, će uvesti dodatni sloj sigurnosti u kome korisnici koriste mobilni telefon, fiksnu telefonsku liniju ili mobilnu aplikaciju na koju će primati jedinstveni kod za prijavljivanje na sistem koji važi samo jedanput. To je dodatak na uobičajenu kombinaciju korisničko ime / lozinka.Ova nova opcija će biti postupno nuđena korisnicima.
Opcija koju Google sprema je značajno bezbednija, ali dodaje i nešto složenosti. Oni to opisuju kao petnaestominutni proces postavljanja, koji će takođe zahtevati rezervni telefon, ako primarni bude izgubljen. To takođe može biti fiksni telefon tj. zemljaska telefonska linija ili drugi mobilni telefon. Ako pristupate Gmailu kroz aplikaciju koja nije tipa Web browsera, kao što su različiti mail klijenti ili telefonske aplikacije, biće potrebno da se napravi posebna lozinka koja bi služila za ove aplikacije i uređaje, a koja se može po potrebi uključiti i isključiti. Postoji i opcija da će se verifikacioni kod menjati na neki vremenski period, a ne kod svakog pristupa. Taj period recimo može biti 30 dana.
Ne zna se koliko će brzo ova opcija biti ponuđena korisnicima. U postavkama Google naloga biće data poseban tab koji će omogućiti njeno postavljanje. Ukoliko Google na kraju odluči da ovo bude standardna i zahtevana opcija, to bi, kao dodatni efekat, moglo imati smanjivanje broja naloga koji se kreiraju samo sa svrhom da se preko njih šalje spam.
Više o novoj opciji dvostepene verifikacije pročitajte na zvaničnom Google blogu.
Malo detalja o kontroli pristupa
Uobičajeno, striktne mere kontrole pristupa su bazirane na najmanje dva od ukupno četiri elementa:
• nešto što osoba zna (na primer: PIN broj ili lozinka)
• nešto što osoba ima (na primer: sigurnosna identifikaciona kartica, token)
• nešto što osoba jeste (biometrija zasnovana na fizičkim karakteristikama, na primer otisak prsta, geometrija lica, zenica oka, DNK)
• nešto što osoba radi tj. kako se ponaša (profilisanje zasnovano na karakteristikama ponašanja)
Sigurnost bazirana na dva različita činioca tj. faktora (engl. two-factor authentication - TFA, two-form-factor security) podrazumeva korišćenje najmanje dva od četiri navedena elementa, da bi se odobrio pristup. Na primer: korisniku se dozvoli pristup kada unese lozinku i kad se proveri otisak prsta. Sigurnost bazirana na četiri faktora (engl. four-factor security) bi podrazumevala upotrenu sva četiri elementa, [to je vrlo retko u praksi. Na žalost, u današnje vreme se veoma često za proveru identiteta koristi samo jedan faktor i to je najčešće samo lozinka. Treba imati u vidu da znanje korisničkog imena i lozinke spada u istu grupu (nešto što osoba zna).
Prosečan korisnik računara mora da pamti svoje lozinke za govornu poštu, različite e-mail adrese, pristup Internetu i raznim Web lokacijama, pristup kompanijskim sistemima, VPN pristup, PIN brojeve kreditnih kartica itd. Administrator sistema ili mreže osim toga mora da zapamti i veliki broj lozinki za pristup ruterima, serverima i administraciju mrežnih servisa. Rešenje problema pamćenja velikog broja lozinki korisnici rešavaju na dva načina: biraju jednostavne lozinke ili koriste istu lozinku za višestruke namene (što će reći da su svi njihovi resursi zaštićeni sa svega nekoliko lozinki).
Ako korisnici upotrebljavaju jednostavne lozinke, napadači mogu da ih pogode relativno lako korišćenjem alata za razbijanje, tj „krekovanje" lozinki (engl. crackers). Ako korisnici koriste iste lozinke na više mesta, jedna pogođena lozinka omogućiće napadaču da pristupi svim resursima koji su zaštićeni tom lozinkom. Za napad na sistem krekovanjem lozinki, potrebno je znati koji alati postoje, kako oni rade i koje metode koriste da se pogode lozinke koisnika. Provaljivanje Linux i Windows lozinki se obično obavlja korištenjem grube sile (engl. brutal force), napadom pomoću rečnika (engl. dictionary attack) ili hibridnim pristupom. Da bi se uspešno provalile lozinke, često je potrebno ili pribaviti datoteku sa lozinkama ili uhvatiti lozinke dok one putuju mrežom pomoću alata koji pripadaju grupi njuškala paketa (engl. packet snifer). Postoje brojni alati koji mogu pomoći kod razbijanja lozinki, a jedan od najpoznatijih je John The Ripper.
Takođe, mehanizam sigurnosnih pitanja (engl. security questions) nije baš pouzdan. Zamislite koliko ima ljudi koji bi umeli da odgovore na pitanje koje je devojačko prezime Vaše majke, za koji tim navijate, u koju osnovnu školu ste išli, koje je ime Vašeg kućnog ljubimca i slično? A upravo su to najčešće postavljena pitanja.