ក្រុមហ៊ុន Google និយាយថា គ្មានអ្នកប្រើប្រាស់ណាទុកចិត្តថាពាក្យសម្ងាត់ (password) អាចធានាសុវត្ថិភាពគណនីរបស់ពួកគេដែលកំពុងប្រើប្រាស់នៅលើអ៊ីនធឺណិតបានទេ។ តាមការសិក្សាថ្មីៗនេះនិយាយថា មិនពិបាកយល់ទេដែលក្រុមហ៊ុនមួយត្រូវទទួលបន្ទុកលើមូលហេតុនៃការទិញគណនីតាមអ៊ីនធឺណិតពីសាកលវិទ្យាល័យកាលីហ្វ័រនីញ៉ា ប៊ើឃីលី (University of California, Berkeley)។
ការវិភាគរយៈពេលវែងរហូតដល់ខែមីនាឆ្នាំ ២០១៧ នេះ ភាគច្រើនបង្ហាញពីព័ត៌មានមិនល្អជាច្រើនដែលអ្នកជំនាញសន្តិសុខអាចនឹងទស្សន៍ទាយថា វាចាប់ផ្តើមពីការលួចយកព័ត៌មានអំពីអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ដ៏ច្រើនលើសលុបដែលគ្របដណ្ដប់លើសេវាអ៊ីនធឺណែតដែលហាក់ដូចជាកំពុងចរាចរណ៍លើវេបសាយទីផ្សារងងឹត។ បន្ទាប់ពីការស្វែងរកលើវេទិកា និងគេហទំព័រ Blackhat ១.៩ពាន់លាននៃព័ត៌មានអំពីអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ត្រូវបានលួចដោយ data breaches (ការរំលោភបំពានទិន្នន័យ) គណនី១២.៤លានត្រូវប្រើជាឧបករណ៍បន្លំដោយ phishing ( ជាការបន្លំខ្លួនជាសាររបស់ក្រុមហ៊ុនល្បីឈ្មោះណាមួយដើម្បីបោកបញ្ឆោតយកព័ត៌មានពីជនរងគ្រោះ ដូចជាពាក្យសម្ងាត់ ឬលេខសម្ងាត់កាតធនាគារ) ហើយ ៧៨៨,០០០ ត្រូវបានលួចដោយ keyloggers (ជាកម្មវិធីរបស់កុំព្យូទ័រដែលត្រូវបានគេបង្កើតឡើងដើម្បីទាញយកពាក្យសម្ងាត់ ឬទិន្នន័យសម្ងាត់)។ ដោយផ្អែកលើអ្នកប្រើប្រាស់Gmail ចំនួន ៧៥១,០០០ នាក់នៅក្នុងទិន្នន័យនេះ ក្រុមហ៊ុនអាចធ្វើការសម្រេចចិត្តថា phishing គឺជាគ្រោះថ្នាក់ខ្លាំងបំផុតសម្រាប់អ្នកប្រើប្រាស់ក្នុងចំណោមគ្រោះថ្នាក់ទាំងបីនេះ៖
យើងរកឃើញថា ហានិភ័យនៃការគ្រប់គ្រងអ៊ីមែលទាំងស្រុងគឺអាស្រ័យយ៉ាងខ្លាំងទៅលើវិធីដែលអ្នកវាយប្រហារទទួលបាននូវអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ជាលើកដំបូង (គណនីដែលបានប្រើឡើងវិញ) ។ ដូចក្រុមហ៊ុន Google ជាឧទាហរណ៍ស្រាប់ ការសិក្សាសង្កេតឃើញថាមានតែ 7% នៃជនរងគ្រោះដោយ ភាគីទីបីនៃ data breaches លាតត្រដាងពីពាក្យសម្ងាត់ Google របស់ពួកគេដែលប្រៀបធៀបទៅនឹងជនរងគ្រោះ keylogger មាន ១២% និង ជនរងគ្រោះនៃ Phishingមាន ២៥% ។
ប៉ុន្តែ ដោយគ្រាន់តែមានពាក្យសម្ងាត់ និងឈ្មោះអ្នកប្រើ (ដែលអាចប្តូរបាន) មិនមែនជាមូលហេតុទាំងស្រុងនៃភាពជោគជ័យរបស់ពួកគេនោះទេ។ វាបង្ហាញថា ការវាយប្រហារដោយPhishing និង keylogger នឹងរឹតតែខ្លាំងឡើងថែមទៀតតាមរយៈនិន្នាការរបស់ពួកគេដើម្បីចាប់យកទិន្នន័យដូចជា លេខទូរស័ព្ទ ទិន្នន័យទីតាំងភូមិសាស្ត្រ និងអាសយដ្ឋាន IP ។ និន្នាការនេះនឹងធ្វើឱ្យកាន់តែពិបាកសម្រាប់ក្រុមហ៊ុនដូចជា Google ដើម្បីរកឱ្យឃើញពីសកម្មភាពបញ្ឆោតទាំងឡាយបើគ្រាន់តែពិនិត្យមើលតាមរយះទីតាំងនៃការចូលប្រើគណនីរបស់នរណាម្នាក់ពីព្រោះវាអាចជាទីតាំងក្លែងក្លាយ។ ការព្រមាននោះគឺ៖
ឧបករណ៍បន្លំដោយ phishing និង keyloggers អាចផ្តល់នូវភាពបត់បែនងាយស្រួលក្នុងការសម្របខ្លួនទៅនឹងការការពារគណនីថ្មី នៅពេលដែលមានការលេចធ្លាយនូវព័ត៌មានអំពីអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ដែលអាចធ្វើឱ្យពាក្យសម្ងាត់ជាច្រើនត្រូវគេលួចបាន ។
ក្រុមអ្នកស្រាវជ្រាវសន្និដ្ឋានថា ការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ (password-based authentication) លែងមានប្រយោជន៍ហើយ ប្រសិនបើម្ចាស់គណនីមិនខិតខំធ្វើឱ្យវាមានសុវត្ថិភាពខ្លាំងជាងនេះ។ គ្មានវិធីអ្វីអាចនឹងល្អជាងនេះទេ។ ការបើកឱ្យប្រើការផ្ទៀងផ្ទាត់ច្រើនដង multi-factor authentication (MFA) នឹងអាចកាត់បន្ថយបញ្ហាបាន ជាពិសេសការវាយប្រហារដោយ phishing ការលេចធ្លាយព័ត៌មានសម្ងាត់ និងបញ្ហាខ្លះនៃ Keylogging ។ តែមានអ្នកប្រើប្រាស់តែមួយចំនួនប៉ុណ្ណោះដែលព្រមប្រើវា សូម្បីតែពួកគេកំពុងក្លាយជាជនរងគ្រោះនៃការវាយប្រហារក៏ដោយ៖
លទ្ធផលរបស់យើងបង្ហាញថាតិចជាង ៣.១% នៃជនរងគ្រោះដោយការលួចឆែកឆេរគណនីជាទូទៅបានប្រើការផ្ទៀងផ្ទាត់អត្តសញ្ញាណពីរដង two-factor authentication បន្ទាប់ពីការបើកប្រើគណនីរបស់ពួកគេឡើងវិញ។
នេះបង្ហាញថា អ្នកប្រើប្រាស់មិនបានដឹងពីMFA មិនដឹងពីរបៀបប្រើវា ឬពិតជាមិនចូលចិត្តវា។ វាធ្វើឱ្យយើងឆ្ងល់ថាហេតុអ្វីបានជា Google មិនធ្វើឱ្យ MFA ជាកត្តាចាំបាច់ដែលត្រូវតែប្រើនៅពេលបង្កើតគណនីដើម្បីជាប្រយោជន៍ដល់អ្នកប្រើប្រាស់ ដូចអ្វីដែលក្រុមហ៊ុន Apple ចង់ធ្វើ។ លទ្ធភាពគួរឱ្យចាប់អារម្មណ៍មួយគឺថាក្រុមហ៊ុនជាច្រើនដូចជាក្រុមហ៊ុន Google អាចនឹងដាក់អន្ទាក់ដល់វេបសាយខុសច្បាប់សម្រាប់គណនីដែលត្រូវរំលោភបំពាន និងកំណត់គណនីនោះឡើងវិញនៅពេលដែលពួកគេប្រទះឃើញថាមានបញ្ហា។ Facebook ត្រូវគេដឹងថាធ្វើដូច្នេះដែរហើយក្រុមហ៊ុន Google នឹងធ្វើវាសម្រាប់រាល់គណនី Gmail ដែលមានការសម្រុះសម្រួល (compromised Gmail account) ដែលអ្នកស្រាវជ្រាវរកឃើញនៅក្នុងការសិក្សានេះ ដូច្នេះរឿងនេះមិនងាយនឹងកើតឡើងក្នុងពេលអនាគតនោះទេ។ គេហទំព័រ Naked Security លើកពីសារៈសំខាន់នៃ MFAជាច្រើនដងរួចមកហើយ (រួមបញ្ចូលទាំងសម្រាប់ Gmail) ដែលម្ចាស់គណនីដែលមិនធ្លាប់ប្រើវាគួរតែចាប់ផ្តើមប្រើ ។ ថ្មីៗនេះ ក្រុមហ៊ុន Google ក៏បើកដំណើរការកម្មវិធីមួយឈ្មោះថា កម្មវិធីការពារកម្រិតខ្ពស់ Advanced Protection Program (APP) សម្រាប់អ្នកប្រើប្រាស់ Gmail ដែលគិតថាខ្លួនឯងកំពុងប្រឈមនឹងការលួចបន្លំទិន្នន័យក្នុងគណនី៕