Od pewnego czasu firma automatycznie rejestruje konta Google w uwierzytelnianiu wieloskładnikowym (MFA), które wymaga zalogowania się za pomocą hasła i dodatkowego kroku, takiego jak wpisanie kodu z aplikacji uwierzytelniającej, potwierdzenie monitu Google lub użycie fizycznego klucza bezpieczeństwa.
Firma zamierza teraz wyświetlać monity MFA, gdy ktoś próbuje zmienić ustawienia konta Gmail dotyczące filtrowania wiadomości e-mail, przekazywania i dostępu IMAP, co może pozwolić klientom innych firm na pobieranie wiadomości e-mail ze skrzynki odbiorczej.
W niepowołanych rękach wszystkie te funkcje mogą zostać wykorzystane do rekonfiguracji konta Gmail w celu wysłania wiadomości e-mail do kogoś innego. Tak więc w przyszłości, “gdy te działania zostaną podjęte, Google oceni sesję próbującą wykonać działanie, a jeśli zostanie to uznane za ryzykowne, zostanie zakwestionowane za pomocą monitu ‘Verify it’s you'” – poinformowało Google we wpisie na blogu.
Monit poprosi użytkownika dokonującego zmiany o ponowne zalogowanie się za pomocą dodatkowej formy uwierzytelnienia, takiej jak wygenerowane przez Google powiadomienie na smartfonie posiadacza konta. “Jeśli wyzwanie weryfikacyjne nie powiedzie się lub nie zostanie ukończone, użytkownicy otrzymają powiadomienie” Krytyczny alert bezpieczeństwa “na zaufanych urządzeniach” – podaje firma.
Zabezpieczenie to może powstrzymać hakerów przed manipulowaniem kontem Gmail, jeśli udało im się raz włamać. To samo zabezpieczenie może również uniemożliwić komuś w pobliżu błędną konfigurację konta Gmail, jeśli użytkownik znajduje się fizycznie z dala od odblokowanego komputera. Z drugiej jednak strony, zwiększone bezpieczeństwo może irytować użytkowników, jeśli weryfikacja MFA stanie się kłopotliwa.
Firma wprowadza tę zmianę rok po tym, jak zaczęła egzekwować weryfikację MFA dla zmian kont dokonywanych przez użytkowników Google Workspace. Google twierdzi teraz, że wprowadza zabezpieczenie MFA dla wszystkich użytkowników z osobistymi kontami Google.
Nie jest jasne, jak będzie działać dla użytkowników, którzy nie podłączyli smartfona. Podejrzewamy jednak, że firma będzie wystawiać wyzwania MFA tylko dla kont z aktywowaną funkcją.
