Cómo es vivir bajo el Programa de protección avanzada de Google

El autor y la nueva clave de seguridad de Google Titan, que utiliza los protocolos U2F desarrollados por FIDO Alliance para proporcionar un segundo factor seguro de autenticación en línea. La llave de seguridad Titan es ahora a la venta en Google Store.

No soy lo que llamaría una persona muy importante. Todavía me considero una especie de periodista (y eso es lo que tengo en mi título universitario), pero no diría que lo practico como lo hacía cuando escribía los periódicos. Tampoco soy activista, líder empresarial ni estoy en un equipo de campaña política.

¿Soy realmente un candidato para el Programa de protección avanzada de Google? ¿Realmente necesito la seguridad de cuenta más sólida que Google ofrece públicamente?

Responderé eso en un minuto. Pero primero, definiré lo que creo que soy en estos días: me estoy acercando a la mediana edad mientras veo a mis hijas comenzar su vida en línea, y Estoy tan convencido como siempre de que Internet está intrínsecamente al revés y roto, y todos debemos tomar nuestra seguridad en línea más en serio. (Es decir, si lo estamos pensando en absoluto).

La pregunta que debes hacerte es por qué no lo haría desea proteger su vida en línea lo mejor que pueda.

La seguridad de dos factores debería ser obligatoria. Si un servicio no lo proporciona, probablemente no debería usar ese servicio. Pero no todos los esquemas de dos factores son iguales. Las contraseñas de un solo uso enviadas por SMS pueden ser interceptadas por un atacante determinado. Los tokens basados ​​en software son mejores, pero no infalibles. Mejor aún, son las llaves de hardware físicas. Una llave física que conecta a una computadora a través de USB, NFC o Bluetooth, que conecta a una cuenta. ¿No tienes la llave? No vas a entrar.

Todo esto es parte del Alianza FIDO - "El ecosistema más grande del mundo para la autenticación interoperable basada en estándares" - y U2F, la experiencia "Universal 2-Factor" nacida de FIDO. Básicamente, puede pensar en U2F y 2FA como lo mismo, y FIDO es el grupo que hace que el estándar suceda, con gente de Google, Microsoft, Lenovo y Amazon (entre otros) en su tablero.

¡Suscríbete a Modern Dad en YouTube!

Los fundamentos del Programa de protección avanzada

Las claves de hardware físicas han existido como una segunda forma de autenticación durante años, y han sido una opción de seguridad para las cuentas de Google durante bastante tiempo.

El Programa de protección avanzada de Google los convierte en un mecanismo obligatorio para iniciar sesión y los convierte en los solamente Opción 2FA. Seguirá teniendo su contraseña de Google y ahora tendrá que usar una clave de hardware física junto con esa contraseña para acceder a su cuenta. No más códigos SMS. No más aplicación Google Authenticator. No hay llamadas telefónicas. Es contraseña y clave, o no entrará.

Es así de simple, de verdad. Pero Google va un poco más allá. Aún podrá iniciar sesión en sitios web con su cuenta de Google. Pero las aplicaciones que pueden acceder a archivos de Gmail o Google Drive estarán muy limitadas. Así es como lo expresa Google:

Para ayudarlo a protegerse, la Protección avanzada permite que solo las aplicaciones de Google y determinadas aplicaciones de terceros accedan a sus correos electrónicos y archivos de Drive.

Como compensación por esta seguridad reforzada, la funcionalidad de algunas de sus aplicaciones puede verse afectada. La mayoría de las aplicaciones de terceros que requieren acceso a sus datos de Gmail o Drive, como las aplicaciones de seguimiento de viajes, ya no tendrán permiso. Y solo podrá utilizar Chrome y Firefox para acceder a los servicios de Google en los que inició sesión, como Gmail o Fotos.

Las aplicaciones de correo, calendario y contactos de Apple seguirán pudiendo acceder a sus datos de Google con normalidad.

Ese será probablemente el mayor obstáculo al que se enfrentará en el uso diario.

Google también lanza obstáculos adicionales frente a alguien si intenta fingir que es usted y no ha iniciado sesión en su cuenta.

Una forma común en que los piratas informáticos intentan acceder a su cuenta es haciéndose pasar por usted y fingiendo que se les ha bloqueado la entrada. Para brindarle la protección más sólida contra este tipo de acceso fraudulento a la cuenta, la Protección avanzada agrega pasos adicionales para verificar su identidad durante el proceso de recuperación de la cuenta.

Si alguna vez pierde el acceso a su cuenta y a sus dos llaves de seguridad, estos requisitos de verificación adicionales tardarán algunos días en restablecer el acceso a su cuenta.

Esa no es una que haya tenido que experimentar todavía, pero no suena divertido.

La mayoría de nosotros fuera de un entorno de trabajo seguro no tendremos que usar una clave física para autenticarnos con mucha frecuencia, por lo que es más como un método de protección extremadamente fuerte.

Cómo es utilizar el Programa de protección avanzada de Google

Primero, acceda a Google Sitio web del Programa de protección avanzada. Se le indicará que tome un par de teclas U2F. Anteriormente, Google recomendaba claves de terceros, que están bien. Pero ahora que las llaves Titan están disponibles en Google Store, es igual de fácil conseguirlas. La forma en que los use será exactamente la misma.

Una vez que los tenga, se inscribirá en el servicio. Eso activará todas las protecciones y también cerrará la sesión todo, por obvias razones.

Entonces, es hora de volver a iniciar sesión. O no. Aquí es donde las cosas se ponen un poco interesantes.

Ahora tengo que usar Gmail en un navegador web en lugar de en un contenedor como Mailplane o Shift. Ha sido una molestia menor, pero no realmente espectacular. (Demonios, es una aplicación menos que se ejecutará en segundo plano). Pero también significa que Mac OS ya no tiene acceso a Gmail. Eso en realidad fue un poco sorprendente, dado lo bien que funciona el Programa de protección avanzada con iOS a través de una aplicación auxiliar "Smart Lock". Quizás cambie en algún momento. Pero, por otro lado, no cambiaría Gmail en un navegador por la aplicación Mail de Apple.

La aplicación Google Smartlock en iPhone X.

Volver a iniciar sesión en los teléfonos fue bastante fácil. Para eso usé mi llavero Bluetooth / USB. El que he tenido durante un mes más o menos ahora se carga a través de microUSB, lo cual es un poco molesto. Pero, de nuevo, no es un factor decisivo. Si quiero usarlo con un teléfono, me conecto por Bluetooth. Si quiero usarlo con una computadora, lo enchufo. Suficientemente fácil. También he usado el Yubikey Neo, que es USB-A y tiene NFC incorporado, y también funciona muy bien. Tenga en cuenta que si está usando un iPhone, necesitará algo con Bluetooth, al menos hasta que NFC se abra oficialmente en iOS 12.

Iniciar sesión en un Pixelbook tomó 10 segundos. Escriba mi contraseña, conecte una clave y autentíquese, y estoy en funcionamiento. (Aunque si eres De Verdad usando un Chromebook y De Verdad Al usar la Protección avanzada, querrá asegurarse de tener implementada otra seguridad básica de inicio de sesión, para que alguien no pueda simplemente abrir el dispositivo y comenzar a usarlo. Lo mismo que cualquier otra computadora portátil, en realidad).

El mayor problema para mí ha sido con NVIDIA Shield TV. (Cuando se desconecta de todo, se desconecta de todo.) Pensarías que podrías iniciar sesión como un teléfono Android. (Porque es una plataforma Android, después de todo). Pero por el motivo que sea, simplemente no funciona, lo mismo que si intentara iniciar sesión con alguna otra fuente de terceros que no sea de confianza.

Más allá de eso, las cosas prácticamente han sido perfectas. No es como si tuviera que iniciar sesión en mi cuenta todos los días. (Aunque en algunos entornos empresariales, para eso es exactamente ideal este esquema de clave física).

Si yo hacer necesito iniciar sesión en un nuevo dispositivo en algún lugar, solo tengo que asegurarme de tener mi llave conmigo. Así que guardo una en mis llaves y una copia de seguridad en un lugar seguro. (No, no te voy a decir dónde).

Por cierto: puede darse de baja del Programa de protección avanzada de Google si no puede vivir con él. Pero no he sentido ese impulso en absoluto. Además, puede cancelar la inscripción de claves de cualquier servicio en cualquier momento; solo tendrá que recordar con qué servicios usa una clave. (O siempre puede simplemente destruir una clave si ha terminado con ella).

No existe una clave única perfecta para todos; dependerá en gran medida de los dispositivos que necesite autenticar.

¿Qué clave U2F es mejor para la protección avanzada?

Aquí es donde las cosas realmente se reducen a su propia situación. Puede obtener una llave USB-A directa. Puede obtener una llave USB-C. Puede obtener una llave nano (USB-A o USB-C) que vive en su computadora portátil la mayor parte del tiempo, pero que no se interpone (aparte de ocupar un puerto). Puede obtener algo con Bluetooth o NFC.

No tiene que usar la llave de seguridad Titan de Google si algo más funciona mejor para usted.

(Sin embargo, una nota al respecto: el modelo USB de la llave de seguridad Titan de Google incluye NFC, pero no funcionará en el lanzamiento. Eso requerirá una actualización detrás de escena en su teléfono. Sin embargo, otras teclas de hardware manejan bien NFC, si tiene que hacerlo bien en este segundo).

Todo depende de la frecuencia con la que necesite iniciar sesión en lo que sea que necesite para iniciar sesión y del tipo de dispositivo que esté utilizando. Si su empresa requiere autorización diaria, pero en una computadora confiable (por ejemplo, detrás de un montón de puertas cerradas), entonces tal vez una llave nano USB-A sea el camino a seguir. Si, como yo, no necesita iniciar sesión con mucha frecuencia, pero aún desea todo lo que ofrece la Protección avanzada, algo más grande podría no ser terrible. Si tiene una computadora portátil USB-C y un teléfono USB-C, eso hace que la decisión sea aún más fácil. Variará según lo que uses.

Y tampoco necesitas necesariamente la llave Titan de Google. Funcionan exactamente igual que otras teclas U2F, solo que tienen el poder de Google detrás, controlando el firmware que está adentro. (Y eso es un buen punto de venta.) Y a diferencia de otras claves, que pueden ser manipuladas por un departamento de TI, el firmware está totalmente bloqueado. Los usará como pretendía Google.

La llave Google Titan está equipada con NFC, pero requerirá una actualización en segundo plano antes de que funcione con teléfonos Android.

Entonces, ¿el Programa de protección avanzada de Google es lo adecuado para usted?

Esa es una de esas cosas que no puedo responder por ti.

El Programa de protección avanzada es un poco exagerado, pero también es la forma correcta de garantizar la seguridad.

Por un lado, quiero decir que sí, lo es. He descubierto que la compensación entre seguridad y molestia es mínima. No va a reemplazar por completo los códigos SMS y los tokens basados ​​en software en ningún caso, aunque sería bueno si lo hiciera. El simple hecho es que no hay suficientes servicios que utilicen claves de hardware. (Y algunos solo los permiten como secundario Métodos 2FA). twofactorauth.org para saber si su servicio favorito los usa.

Y estoy muy cerca de poner la cuenta de mi hija en eso. (Si aún no lo he hecho, porque ahora que estoy escribiendo esto…)

He tenido que ayudar a demasiados familiares a reclamar cuentas antes. Es demasiado fácil hacer clic accidentalmente en enlaces en los que nunca se debería haber hecho clic. Nos pasa a los mejores.

Lo que necesitamos es un soporte de back-end más fuerte para acompañar el conocimiento de que Internet está al revés y está roto y tenemos que estar más atentos.

Google Advanced Protection brinda ese apoyo.

Depende de nosotros usarlo. Y no lo voy a apagar.