Kako je živjeti pod Googleovim programom napredne zaštite

Autor i novi sigurnosni ključ Google Titan koji koristi U2F protokole razvijene od strane FIDO Alliance kako bi pružio siguran drugi faktor mrežne provjere autentičnosti. Titanov sigurnosni ključ je sada u prodaji u Google Storeu.

Nisam ono što bih nazvao vrlo važnom osobom. I dalje se smatram svojevrsnim novinarom (i to je ono što imam na fakultetskoj diplomi), ali ne bih rekao da to prakticiram onako kako sam to radio dok sam radio novine. Također nisam niti aktivist, niti vođa poduzeća, niti sam u političkom predizbornom timu.

Jesam li stvarno kandidat za Googleov program napredne zaštite? Trebam li zaista najjaču sigurnost računa koju Google nudi javno?

Odgovorit ću za minutu. Ali prvo, definirat ću ono što mislim da sam danas: približavam se srednjim godinama dok gledam svoje kćeri kako započinju svoj internetski život i Uvjeren sam kao i uvijek da je Internet suštinski unatrag i slomljen i svi moramo ozbiljnije pristupiti svojoj internetskoj sigurnosti. (Odnosno, ako uopće razmišljamo o tome.)

Pitanje koje si morate postaviti je zašto ne bi želite zaštititi svoj internetski život najbolje što možete.

Sigurnost od dva faktora trebala bi biti obavezna. Ako je usluga ne pruža, vjerojatno je ne biste trebali koristiti. Ali sve dvofaktorske sheme nisu jednake. Jednokratne lozinke poslane SMS-om može presresti odlučni napadač. Tokensi zasnovani na softveru su bolji, ali ne i nepogrešivi. Još su bolji fizički hardverski ključevi. Fizički ključ koji priključite na računalo putem USB-a ili NFC-a ili Bluetootha, a koji povezujete s računom. Nemate ključ? Ne ulazite.

Sve je ovo dio FIDO savez - "Najveći svjetski ekosustav za interoperabilnu autentifikaciju na temelju standarda" - i U2F, iskustvo "Univerzalnog 2-faktora" rođeno iz FIDO-a. U osnovi možete razmišljati o U2F i 2FA kao o istoj stvari, a FIDO je grupa koja čini standard standardnim, a među njima su i ljudi iz Googlea, Microsofta, Lenovo i Amazona.

Pretplatite se na Modern Dad na YouTubeu!

Osnove Programa napredne zaštite

Ključevi fizičkog hardvera već su godinama drugi oblik provjere autentičnosti i već su neko vrijeme sigurnosna opcija za Google račune.

Googleov program napredne zaštite čini ih obveznim mehanizmom za prijavu i čini ih samo 2FA opcija. I dalje ćete imati svoju Google zaporku, a sada ćete za pristup računu trebati koristiti fizički hardverski ključ zajedno s tom lozinkom. Nema više SMS kodova. Nema više aplikacije Google Authenticator. Nema telefonskih poziva. To je lozinka i ključ, ili ne ulazite.

To je tako jednostavno, stvarno. Ali Google ipak ide malo dalje. I dalje ćete se moći prijaviti na web stranice svojim Google računom. Ali aplikacije koje mogu pristupiti datotekama Gmaila ili Google diska bit će ozbiljno ograničene. Evo kako to Google izražava:

Kako bi vas zaštitila, Napredna zaštita omogućuje samo Googleovim aplikacijama i odabranim aplikacijama trećih strana pristup vašim e-porukama i datotekama na Disku.

Kao kompromis za ovu pooštrenu sigurnost, možda će to utjecati na funkcionalnost nekih vaših aplikacija. Većina aplikacija trećih strana kojima je potreban pristup podacima na Gmailu ili Disku, poput aplikacija za praćenje putovanja, više neće imati dopuštenje. A Chrome i Firefox moći ćete koristiti samo za pristup Googleovim uslugama na koje ste prijavljeni, kao što su Gmail ili Fotografije.

Appleove aplikacije Mail, Calendar i Contacts i dalje će moći normalno pristupati vašim Google podacima.

To će vjerojatno biti najveća prepreka s kojom ćete se suočiti u svakodnevnoj upotrebi.

Google također baca dodatne prepreke nekome ako se pokuša pretvarati da ste to vi, a vi ste odjavljeni sa svog računa.

Uobičajeni način na koji hakeri pokušavaju pristupiti vašem računu jest predstavljanje vas i pretvarajući se da su zaključani s vašeg računa. Da bi vam pružila najjaču zaštitu od ove vrste lažnog pristupa računu, Napredna zaštita dodaje dodatne korake za potvrdu vašeg identiteta tijekom postupka oporavka računa.

Ako ikada izgubite pristup svojem računu i oba svoja sigurnosna ključa, ovim dodatnim zahtjevima za potvrdu bit će potrebno nekoliko dana da vratite pristup vašem računu.

To još nisam doživio, ali ne zvuči zabavno.

Većina nas izvan sigurnog radnog okruženja neće morati vrlo često koristiti fizički ključ za autentifikaciju, pa je to više poput izuzetno jake metode zaštite.

Kako je koristiti Googleov program napredne zaštite

Prvo pogodite Googleove Web stranica Naprednog programa zaštite. Dobit ćete uputu da zgrabite nekoliko U2F ključeva. Google je ranije preporučivao treće strane ključeve koji su u redu. No, sada kad su tipke Titan dostupne u Google Storeu, jednako ih je jednostavno zgrabiti. Način na koji ih upotrebljavate bit će potpuno isti.

Jednom kad ih dobijete, zapravo ćete se registrirati za uslugu. To će uključiti sve zaštite - i također će vas odjaviti sve, iz očitih razloga.

Dakle, vrijeme je da se ponovno prijavite. Ili ne. Tu stvari postaju malo zanimljive.

Sada moram koristiti Gmail u web pregledniku, umjesto u omotu poput Mailplanea ili Shifta. To je bila sitna smetnja, ali zapravo nije showstopper. (Dovraga, to je jedna aplikacija koja radi manje u pozadini.) Ali to također znači da ni Mac OS više nema pristup Gmailu. To je zapravo bilo malo iznenađujuće, s obzirom na to koliko dobro napredni program zaštite štiti od iOS-a putem pomoćne aplikacije "Smart Lock". Možda će se to kad-tad promijeniti. Ali s druge strane ne bih mijenjao Gmail u pregledniku za Appleovu aplikaciju Mail.

Aplikacija Google Smartlock na iPhoneu X.

Vraćanje na telefone bilo je dovoljno jednostavno. Za to sam koristio svoj Bluetooth / USB fob. Ovaj koji imam otprilike mjesec dana sada se puni putem microUSB-a, što je pomalo iritantno. Ali, opet, ne prekid sporazuma. Ako ga želim koristiti s telefonom, povežem se putem Bluetootha. Ako ga želim koristiti s računalom, priključim ga. Dovoljno lako. Također sam koristio Yubikey Neo, koji je USB-A i ima ugrađen NFC, a također izvrsno radi. Ako koristite iPhone, trebat će vam nešto s Bluetoothom, barem dok se NFC službeno ne otvori u iOS-u 12.

Prijava u Pixelbook trajala je svih 10 sekundi. Upišite moju lozinku, priključite ključ i provjerite autentičnost, i ja sam spreman za rad. (Iako ako jesi stvarno pomoću Chromebooka i stvarno pomoću Napredne zaštite pobrinut ćete se da imate implementiranu drugu osnovnu sigurnost prijave, tako da netko ne može jednostavno otvoriti stvar i početi je koristiti. Doista jednako kao i bilo koji drugi laptop.)

Najveća mi je hika bila NVIDIA Shield TV. (Kad se odjavite iz svega, odjavite se sve.) Pomislili biste da ćete se moći prijaviti baš kao Android telefon. (Jer je to ipak Android platforma.) Ali iz bilo kojeg razloga, to jednostavno ne ide, isto kao da ste se pokušali prijaviti s nekim drugim nepouzdanim nezavisnim izvorom.

Osim toga, stvari su uglavnom bile besprijekorne. Nije baš da se svaki dan moram prijaviti na svoj račun. (Iako je u nekim poslovnim okruženjima upravo za to izvrsna ova shema fizičkih ključeva.)

Ako ja čini moram se negdje prijaviti na novi uređaj, moram se pobrinuti da imam ključ na sebi. Dakle, jedan držim na ključevima i sigurnosnu kopiju na sigurnom mjestu. (Ne, ne kažem vam gdje.)

Usput: možete se odjaviti iz Googleova programa napredne zaštite ako jednostavno ne možete živjeti s njim. Ali uopće nisam osjetio taj poriv. Također, u bilo kojem trenutku možete otkazati registraciju bilo koje usluge - morat ćete se sjetiti s kojim uslugama koristite ključ. (Ili uvijek možete jednostavno uništiti ključ ako ste gotovi s njim.)

Ne postoji jedinstveni savršeni ključ za sve - uvelike će ovisiti o tome koje uređaje trebate ovjeriti.

Koji je U2F ključ najbolji za naprednu zaštitu?

Ovdje se stvari doista svode na vašu situaciju. Možete dobiti ravni USB-A ključ. Možete dobiti USB-C ključ. Možete dobiti nano ključ (USB-A ili USB-C) koji živi u vašem prijenosnom računalu većinu vremena, ali mu ne smeta (osim zauzimanja priključka). Možete dobiti nešto s Bluetoothom ili NFC-om.

Ne morate koristiti Googleov Titanov sigurnosni ključ ako će vam nešto drugo uspjeti.

(Ipak, napomena o tome: USB model Googleovog Titan sigurnosnog ključa uključuje NFC, ali neće raditi pri lansiranju. To će zahtijevati ažuriranje vašeg telefona iza kulisa. Druge hardverske tipke izvrsno rukuju NFC-om, ako to trebate ispraviti ove sekunde.)

Sve ovisi o tome koliko često se morate prijaviti na bilo što da se trebate prijaviti i na vrstu uređaja koji koristite. Ako vaše poslovanje zahtijeva dnevnu autorizaciju, ali na pouzdanom računalu (recimo iza gomile zaključanih vrata), tada je možda potreban nano ključ USB-A. Ako se, poput mene, ne morate prijavljivati ​​vrlo često, ali ipak želite sve što nudi napredna zaštita, nešto veće možda neće biti grozno. Ako imate USB-C prijenosno računalo i USB-C telefon, to vam još olakšava odluku. To će se razlikovati ovisno o tome što koristite.

A ne treba vam nužno ni Googleov Titan ključ. Oni funkcioniraju potpuno isto kao i druge U2F tipke - samo one imaju Googleovu moć iza sebe, kontrolirajući ugrađeni softver. (I to je dobra prodajna točka.) I za razliku od ostalih tipki, kojima IT odjel može manipulirati, firmware je potpuno zaključan. Koristit ćete ih kako je Google namjeravao.

Ključ Google Titan opremljen je NFC-om, ali zahtijevat će pozadinsko ažuriranje prije nego što počne raditi s Android telefonima.

Je li Googleov program napredne zaštite prava stvar za vas?

To je jedna od onih stvari na koje vam ne mogu odgovoriti.

Program napredne zaštite malo je pretjeran, ali je i pravi način za zaštitu.

S jedne strane, želim reći da, jeste. Otkrio sam da je kompromis između sigurnosti i gnjavaže minimalan. Ni u kojem slučaju neće u potpunosti zamijeniti SMS kodove i softverske žetone, iako bi bilo lijepo da jest. Jednostavna je činjenica da nedovoljno usluga koristi hardverske tipke. (A neki im dopuštaju samo kao sekundarni 2FA metode.) Udri twofactorauth.org kako biste saznali koristi li ih vaša omiljena usluga.

I stvarno sam blizu da na to stavim račun svoje kćeri. (Ako već nisam, jer sad kad ovo pišem ...)

Već sam ranije morao pomoći previše članova obitelji da povrate račune. Prejednostavno je slučajno kliknuti veze na koje nikada nije trebalo kliknuti. To se događa najboljima od nas.

Ono što nam treba je jača podrška iz pozadine da bismo išli uz znanje da je Internet unatrag i slomljen i moramo biti oprezniji.

Googleova napredna zaštita pruža tu podršku.

Na nama je samo da ga koristimo. I ne isključujem ga.