Millaista on elää Googlen lisäsuojausohjelman alla

Kirjoittaja ja uusi Google Titan -suojausavain, joka käyttää FIDO-allianssin kehittämiä U2F-protokollia tarjoamaan turvallisen toisen online-todennuksen tekijän. Titan-suojausavain on nyt myynnissä Google Storessa.

En ole se, jota kutsuisin erittäin tärkeäksi henkilöksi. Pidän itseäni edelleen eräänlaisena toimittajana (ja se on minun korkeakoulututkinnossani), mutta en sanoisi, että harjoittaisin sitä samalla tavalla kuin tapasin silloin kun tein sanomalehtiä. En myöskään ole aktivisti, yritysjohtaja tai poliittisen kampanjan tiimissä.

Olenko todella ehdokas Googlen Advanced Protection -ohjelmaan? Tarvitsenko todella vahvinta tiliturvaa, jonka Google tarjoaa julkisesti?

Vastaan ​​siihen hetkessä. Mutta ensin määritän, mitä luulen olevani näinä päivinä: lähestyn keski-ikää katsellessani tyttäreni aloittavan online-elämänsä, ja Olen yhtä vakuuttunut kuin koskaan siitä, että Internet on luonnostaan ​​taaksepäin ja rikki, ja meidän kaikkien on otettava vakavammin verkkoturvallisuutemme. (Eli jos ajattelemme sitä ollenkaan.)

Kysymys, jonka sinun on esitettävä itsellesi, on miksi ei haluat suojata verkkoelämääsi parhaalla mahdollisella tavalla.

Kahden tekijän turvallisuuden tulisi olla pakollista. Jos palvelu ei tarjoa sitä, sinun ei todennäköisesti pitäisi käyttää sitä. Mutta kaikkia kahden tekijän järjestelmiä ei luoda yhtä. Päättäväinen hyökkääjä voi siepata tekstiviestillä lähetetyt kertakäyttösalasanat. Ohjelmistopohjaiset tunnukset ovat parempia, mutta eivät erehtymättömiä. Paremmat ovat silti fyysiset laitteistoavaimet. Fyysinen avain, jonka liität tietokoneeseen USB: n kautta tai NFC: n tai Bluetoothin kautta, jonka liität tiliin. Eikö sinulla ole avainta? Et tule sisään.

Tämä on kaikki osa FIDO-liittouma - "maailman suurin ekosysteemi standardeihin perustuvaa, yhteentoimivaa todennusta varten" - ja U2F, "Universal 2-Factor" -kokemus, joka on syntynyt FIDO: lta. Voit periaatteessa ajatella U2F: tä ja 2FA: ta samana asiana, ja FIDO on ryhmä, joka saa standardin tapahtumaan, ja sen aluksella on muun muassa Googlen, Microsoftin, Lenovon ja Amazonin ihmisiä.

Tilaa Modern Dad YouTubessa!

Advanced Protection -ohjelman perusteet

Fyysiset laitteistoavaimet ovat olleet toisena todennusmuotona jo vuosia, ja ne ovat olleet Google-tilien suojausvaihtoehto jo jonkin aikaa.

Googlen lisäsuojausohjelma tekee niistä pakollisen sisäänkirjautumismekanismin ja tekee niistä vain 2FA-vaihtoehto. Sinulla on edelleen Google-salasanasi, ja sinun on nyt käytettävä fyysistä laitteistoavainta yhdessä kyseisen salasanan kanssa tilisi käyttämiseen. Ei enää SMS-koodeja. Ei enää Google Authenticator -sovellusta. Ei puheluita. Se on salasana ja avain, tai et pääse sisään.

Se on niin yksinkertaista, todella. Mutta Google menee hieman pidemmälle. Voit silti kirjautua verkkosivustoille Google-tililläsi. Mutta sovelluksia, jotka voivat käyttää Gmail- tai Google Drive -tiedostoja, rajoitetaan vakavasti. Google sanoo sen seuraavasti:

Lisäsuojaus antaa sinun suojautua vain Google-sovelluksilta ja tietyiltä kolmannen osapuolen sovelluksilta pääsyn sähköposteihisi ja Drive-tiedostoihisi.

Tämän tiukennetun tietoturvan kompromissina se saattaa vaikuttaa joidenkin sovellusten toimintaan. Useimmilla kolmannen osapuolen sovelluksilla, jotka vaativat pääsyn Gmail- tai Drive-tietoihin, kuten matkaseurantasovelluksilla, ei ole enää lupaa. Ja voit käyttää vain Chromea ja Firefoxia kirjautua sisään kirjautuneisiin Google-palveluihisi, kuten Gmailiin tai Photosiin.

Applen Mail-, Kalenteri- ja Yhteystiedot-sovellukset voivat edelleen käyttää Google-tietojasi normaalisti.

Se on todennäköisesti suurin este, jonka kohtaat päivittäisessä käytössä.

Google heittää myös ylimääräisiä esteitä jonkun eteen, jos hän yrittää teeskennellä olevansa sinä ja olet kirjautunut ulos tililtäsi.

Hakkerit yrittävät tavallisesti käyttää tiliäsi matkimalla sinusta ja teeskentelemällä, että heidät on lukittu tililtäsi. Lisäsuojaus lisää ylimääräiset vaiheet henkilöllisyytesi vahvistamiseksi tilin palautusprosessin aikana, jotta saat parhaan suojan tämäntyyppistä vilpillistä tilin käyttöä vastaan.

Jos menetät pääsyn tilillesi ja molemmille suojausavaimillesi, näiden lisättyjen vahvistusvaatimusten palauttaminen tilillesi kestää muutaman päivän.

Sitä ei ole vielä pitänyt kokea, mutta se ei kuulosta hauskalta.

Suurimman osan meistä turvallisen työympäristön ulkopuolella ei tarvitse käyttää fyysistä avainta todentamiseen kovin usein, joten se on enemmän kuin erittäin vahva suojausmenetelmä.

Millaista on käyttää Google Advanced Protection -ohjelmaa

Ensin paina Google Advanced Protection Program -sivusto. Sinua neuvotaan nappaamaan pari U2F-avainta. Aiemmin Google suositteli kolmannen osapuolen avaimia, jotka ovat hyviä. Mutta nyt, kun Titan-avaimet ovat saatavilla Google Storessa, on yhtä helppoa tarttua niihin. Tapa, jolla niitä käytetään, on täsmälleen sama.

Kun sinulla on ne, ilmoitat itse palveluun. Se ottaa käyttöön kaikki suojaukset - ja se kirjaa sinut myös ulos kaikki, ilmeisistä syistä.

Joten on aika kirjautua takaisin sisään. Tai ei. Täällä asiat muuttuvat hieman mielenkiintoisiksi.

Minun on nyt käytettävä Gmailia verkkoselaimessa kääreen, kuten Mailplane tai Shift, sijaan. Se on ollut vähäinen ärsytys, mutta ei oikeastaan ​​showstopper. (Helvetti, taustalla on yksi vähemmän sovelluksia.) Mutta se tarkoittaa myös, että Mac OS: llä ei ole enää pääsyä Gmailiin. Se oli itse asiassa hieman yllättävää, kun otetaan huomioon, kuinka hyvin Advanced Protection Program toimii iOS: n kanssa auttajan "Smart Lock" -sovelluksen kautta. Ehkä se muuttuu jossain vaiheessa. Mutta toisaalta en kauppaa Gmailia selaimessa Applen Mail-sovellukseen.

Google Smartlock -sovellus iPhone X: ssä.

Kirjautuminen takaisin puhelimiin oli tarpeeksi helppoa. Tätä varten käytin Bluetooth / USB-fobia. Se, joka minulla on ollut noin kuukauden ajan, lataa nyt microUSB: n kautta, mikä on hieman ärsyttävää. Mutta jälleen kerran, ei kaupan rikkoja. Jos haluan käyttää sitä puhelimen kanssa, muodostan yhteyden Bluetoothin kautta. Jos haluan käyttää sitä tietokoneen kanssa, liitän sen. Tarpeeksi helppo. Olen myös käyttänyt Yubikey Neoa, joka on USB-A ja johon on sisäänrakennettu NFC, ja se toimii myös hyvin. Huomaa, että jos käytät iPhonea, tarvitset jotain Bluetoothilla ainakin siihen asti, kunnes NFC on virallisesti avattu iOS 12: ssa.

Kirjautuminen Pixelbookiin kesti kaikki 10 sekuntia. Kirjoita salasanani, liitä avain ja todenna, ja olen käynnissä. (Vaikka olisitkin Todella käyttämällä Chromebookia ja Todella Lisäsuojauksen avulla sinun on varmistettava, että sinulla on muita perustietoja sisäänkirjautumisesta, joten joku ei voi vain avata asiaa ja alkaa käyttää sitä. Sama kuin mikä tahansa muu kannettava tietokone.)

Suurin hikka minulle on ollut NVIDIA Shield -televisio. (Kun kirjaudut ulos kaikesta, kirjaudut ulos kaikki.) Luulet voivasi kirjautua sisään aivan kuten Android-puhelin. (Koska se on loppujen lopuksi Android-ympäristö.) Mutta mistä tahansa syystä, se vain ei toimi, sama kuin jos yritit kirjautua sisään jonkin muun epäluotettavan kolmannen osapuolen lähteen kanssa.

Sen lisäksi asiat ovat olleet melko saumattomia. Ei ole, että minun täytyy kirjautua tililleni joka päivä. (Vaikka joissakin yritysympäristöissä juuri tämä fyysinen avainjärjestelmä on loistava.)

Jos minä tehdä täytyy kirjautua uuteen laitteeseen jonnekin, minun on vain varmistettava, että avain on minussa. Joten pidän yhtä avaimissani ja varmuuskopiota turvallisessa paikassa. (Ei, en kerro sinulle missä.)

Muuten: Voit peruuttaa ilmoittautumisen Google Advanced Protection -ohjelmasta, jos et vain voi elää sen kanssa. Mutta en ole tuntenut sitä tarvetta ollenkaan. Voit myös poistaa avainten rekisteröinnin mistä tahansa palvelusta milloin tahansa - sinun on vain muistettava, missä palveluissa käytät avainta. (Tai voit aina vain tuhota avaimen, jos olet valmis sen kanssa.)

Kaikille ei ole yhtä ainoaa täydellistä avainta - se riippuu suuresti siitä, mitkä laitteet sinun on todennettava.

Mikä U2F-avain on paras lisäsuojaukseen?

Tässä missä asiat todella laskevat omaan tilanteeseen. Saat suoran USB-A-avaimen. Voit hankkia USB-C-avaimen. Voit saada nanoavaimen (USB-A tai USB-C), joka asuu kannettavassa tietokoneessasi suurimman osan ajasta, mutta ei esty (portin käyttämisen ulkopuolella). Voit saada jotain Bluetoothin tai NFC: n avulla.

Sinun ei tarvitse käyttää Googlen Titan-suojausavainta, jos jokin muu toimii sinulle paremmin.

(Huomautus siitä kuitenkin: Googlen Titan-suojausavaimen USB-malli sisältää NFC: n, mutta se ei toimi käynnistettäessä. Se vaatii kulissien takana päivityksen puhelimeesi. Muut laitteistoavaimet käsittelevät NFC: tä kuitenkin hienosti, jos sinulla on oltava se oikein tässä sekunnissa.)

Kaikki riippuu siitä, kuinka usein sinun on kirjauduttava sisään mihin tahansa sisäänkirjautumiseen, ja käyttämäsi laitteeseen. Jos yrityksesi vaatii päivittäisen valtuutuksen, mutta luotetulla tietokoneella (esimerkiksi lukittujen ovien takana), ehkä USB-A-nanoavain on oikea tapa edetä. Jos sinun, kuten minun, ei tarvitse kirjautua sisään kovin usein, mutta haluat silti kaiken, mitä Lisäsuojaus tarjoaa, jotain suurempaa ei ehkä ole kauheaa. Jos sinulla on USB-C-kannettava tietokone ja USB-C-puhelin, se tekee päätöksestä vieläkin helpomman. Se vaihtelee käyttämäsi mukaan.

Eikä sinun tarvitse välttämättä Googlen Titan-avainta. Ne toimivat täsmälleen samalla tavalla kuin muut U2F-avaimet - vain näillä on takana Googlen voima, joka hallitsee sisällä olevaa laiteohjelmistoa. (Ja tuo On hyvä myyntipiste.) Ja toisin kuin muut avaimet, joita IT-osasto voi käsitellä, laiteohjelmisto on täysin lukittu. Käytät näitä kuten Google on tarkoittanut.

Google Titan -avain on varustettu NFC: llä, mutta se vaatii taustapäivityksen, ennen kuin se toimii Android-puhelimissa.

Joten onko Googlen Lisäsuojausohjelma oikea asia sinulle?

Se on yksi niistä asioista, joihin en voi vastata sinulle.

Lisäsuojausohjelma on hieman ylivoimainen, mutta se on myös oikea tapa tehdä turvallisuutta.

Toisaalta haluan sanoa kyllä, se on. Olen huomannut, että turvallisuuden ja ärsytyksen välinen kompromissi on vähäinen. Se ei missään tapauksessa korvaa tekstikoodeja ja ohjelmistopohjaisia ​​tunnuksia kokonaan, vaikka se olisi mukavaa, jos niin tekisi. Yksinkertainen tosiasia ei ole, että palvelut käyttävät laitteistoavaimia. (Ja jotkut sallivat heidät vain toissijainen 2FA-menetelmät.) Hit up twofactorauth.org saadaksesi selville, käyttääkö suosikkipalvelusi niitä.

Ja olen todella lähellä tyttäreni tilin sijoittamista siihen. (Jos en ole jo tehnyt, koska nyt kirjoittaessani tätä ...)

Olen jo aiemmin auttanut liikaa perheenjäseniä saamaan tilejä takaisin. On aivan liian helppoa napsauttaa vahingossa linkkejä, joita ei olisi koskaan pitänyt napsauttaa. Se tapahtuu meille parhaimmille.

Tarvitsemme vahvempaa taustatukea tietäen, että Internet on taaksepäin ja rikki ja meidän on oltava valppaina.

Google Advanced Protection tarjoaa tuen.

Meidän on vain käytettävä sitä. Enkä sammuta sitä.