Od pewnego czasu firma automatycznie rejestruje konta Google w uwierzytelnianiu wieloskładnikowym (MFA), które wymaga zalogowania się dzięki hasła i dodatkowego kroku, takiego jak wpisanie kodu z aplikacji uwierzytelniającej, potwierdzenie monitu Google lub użycie fizycznego klucza bezpieczeństwa.
Firma zamierza teraz wyświetlać monity MFA, gdy ktoś próbuje zmienić ustawienia konta Gmail dotyczące filtrowania wiadomości e-mail, przekazywania i dostępu IMAP, co może pozwolić klientom innych firm na pobieranie wiadomości e-mail ze skrzynki odbiorczej.
W niepowołanych rękach wszystkie te funkcje mogą zostać wykorzystane do rekonfiguracji konta Gmail w celu wysłania wiadomości e-mail do kogoś innego. Tak więc w przyszłości, “gdy te działania zostaną podjęte, Google oceni sesję próbującą wykonać działanie, a jeżeli zostanie to uznane za ryzykowne, zostanie zakwestionowane dzięki monitu ‘Verify it’s you'” – poinformowało Google we wpisie na blogu.
Monit poprosi użytkownika dokonującego zmiany o ponowne zalogowanie się dzięki dodatkowej formy uwierzytelnienia, takiej jak wygenerowane przez Google powiadomienie na telefonie posiadacza konta. “Jeśli wyzwanie weryfikacyjne nie powiedzie się lub nie zostanie ukończone, użytkownicy otrzymają powiadomienie” Krytyczny alert bezpieczeństwa “na zaufanych urządzeniach” – podaje firma.
Zabezpieczenie to może powstrzymać hakerów przed manipulowaniem kontem Gmail, jeżeli udało im się raz włamać. To samo zabezpieczenie może również uniemożliwić komuś w pobliżu błędną konfigurację konta Gmail, jeżeli użytkownik znajduje się fizycznie z dala od odblokowanego komputera. Z drugiej jednak strony, zwiększone bezpieczeństwo może irytować użytkowników, jeżeli weryfikacja MFA stanie się kłopotliwa.
Firma wprowadza tę zmianę rok po tym, jak zaczęła egzekwować weryfikację MFA dla zmian kont dokonywanych przez użytkowników Google Workspace. Google twierdzi teraz, iż wprowadza zabezpieczenie MFA dla wszystkich użytkowników z osobistymi kontami Google.
Nie jest jasne, jak będzie działać dla użytkowników, którzy nie podłączyli telefona. Podejrzewamy jednak, iż firma będzie wystawiać wyzwania MFA tylko dla kont z aktywowaną funkcją.
