V únoru to bude sedm let, co Google uživatelům nabídl další stupeň zabezpečení. Od roku 2007 si můžete účet kromě hesla chránit dalším faktorem, Google přidal druhou fázi ověření identity pomocí SMS kódu, telefonického hovoru nebo vygenerovaného kódu. Dodnes tuto možnost využívá méně než 10 % uživatelů.
Jako nízké toto číslo označil také Grzegorz Milka, softwarový inženýr Googlu, který měl přednášku o bezpečnosti na konferenci Usenix Enigma 2018. Na ní též prozradil, že jen asi 12 % uživatelů používá správce hesel. To však není oficiální statistika Googlu nýbrž Pew Research Centera, týká se jen Američanů, a není jasné, jesti se coby správci hesel náhodou nepočítá i ukládání hesel v prohlížečích.
Dvoufázové ověření je efektivní způsob, jak chránit účet v případě, že u něj máte nastavené stejné heslo jako v jiných službách. Případně pokud někdo danou službu hackne a hesla zveřejní. Pak útočníkovi samotné heslo stačit nebude, protože nebude mít přístup k vašemu mobilu nebo jinému zařízení.
Bezpečnostní expert Troy Hunt tyto úniky sbírá na webu Have I been pwned? a už má v databázi bezmála pět miliard napadených účtů včetně českých (například díky hacku Mallu). Nutno podotknout, že ne ve všech případech jsou hesla v čitelné podobě, často jsou venku jen jejich hashe.
TIP: Nejpoužívanějšími hesly roku 2017 jsou… znovu 123456 a password
Proč lidé dvoufázové ověření ignorují? Někteří o této možnosti ani neví, někteří se při přihlášení nechtějí zdržovat dalším krokem. Google přitom přihlášení hodně zjednodušil a v kombinaci s mobilní aplikací je to otázkou pár sekund.
Seznam služeb, které dvoufázové ověření nabízejí, najdete na twofactorauth.org. V tabulce je také vidět, jak to která služba řeší. Někdy se přihlášení ověřuje e-mailem, pomocí SMS, hovorem, hardwarovým tokenem nebo softwarovým (generátor kódů). Český Seznam už na dvoufázovém ověření také pracuje.