Kako je živeti v okviru Googlovega programa za dodatno zaščito

Avtor in novi varnostni ključ Google Titan, ki uporablja protokole U2F, ki jih je razvilo združenje FIDO, za zagotavljanje varnega drugega dejavnika spletnega preverjanja pristnosti. Titanov varnostni ključ je zdaj v prodaji v trgovini Google Store.

Nisem tisto, kar bi imenoval zelo pomembna oseba. Še vedno se imam za nekega novinarja (in to je tisto, kar imam na fakulteti), vendar ne bi rekel, da ga izvajam tako, kot sem to delal, ko sem delal časopise. Nisem niti aktivist, vodja podjetja niti nisem v politični kampanji.

Ali sem res kandidat za Googlov program napredne zaščite? Ali res potrebujem najmočnejšo varnost računa, ki jo Google ponuja javno?

To bom odgovoril čez minuto. Najprej pa bom opredelil, kaj mislim, da sem te dni: približujem se srednjim letom, ko gledam, kako hčere začnejo svoje spletno življenje in Prepričan sem kot kdaj koli prej, da je internet že sam po sebi zaostajen in pokvarjen, zato moramo svojo spletno varnost jemati resneje. (Se pravi, če sploh razmišljamo o tem.)

Vprašanje, ki si ga morate zastaviti, je, zakaj ne bi želite zaščititi svoje spletno življenje po svojih najboljših močeh.

Dvofaktorska varnost bi morala biti obvezna. Če je storitev ne zagotavlja, je verjetno ne bi smeli uporabljati. Toda vse dvofaktorske sheme niso enake. Enkratna gesla, ki jih pošlje SMS, lahko prestreže odločen napadalec. Žetoni, ki temeljijo na programski opremi, so boljši, vendar ne nezmotljivi. Bolje pa so fizični ključi strojne opreme. Fizični ključ, ki ga v računalnik priključite prek USB-ja ali NFC-ja ali Bluetootha in ga povežete z računom. Nimate ključa? Ne vstopaš.

Vse to je del Zavezništvo FIDO - "največji svetovni ekosistem za interoperabilno overjanje na podlagi standardov" - in U2F, "Universal 2-Factor" izkušnja, ki jo je ustvaril FIDO. V bistvu lahko mislite na U2F in 2FA kot na isto stvar, FIDO pa je skupina, ki uresničuje standard, med njimi pa so tudi ljudje iz Googla, Microsofta, Lenovo in Amazona.

Naročite se na Modern Dad v YouTubu!

Osnove programa napredne zaščite

Fizični strojni ključi že vrsto let obstajajo kot druga oblika preverjanja pristnosti in že kar nekaj časa predstavljajo varnostno možnost za Google Račune.

Googlov program napredne zaščite jih naredi kot obvezen mehanizem za prijavo in jih naredi samo 2FA možnost. Še vedno boste imeli svoje geslo za Google, zdaj pa boste morali za dostop do računa uporabiti fizični ključ strojne opreme v povezavi s tem geslom. Ni več SMS kod. Ni več aplikacije Google Authenticator. Brez telefonskih klicev. To je geslo in ključ, ali pa ne vstopite.

V resnici je tako preprosto. Toda Google gre nekoliko dlje. Še vedno se boste lahko prijavili na spletna mesta s svojim Google Računom. Toda aplikacije, ki lahko dostopajo do datotek Gmail ali Google Drive, bodo močno omejene. Tukaj je opisano v Googlu:

Za zaščito vas Napredna zaščita omogoča samo Googlovim aplikacijam in nekaterim neodvisnim aplikacijam dostop do e-pošte in datotek v storitvi Drive.

Kot kompromis za to poostreno varnost lahko vpliva na funkcionalnost nekaterih vaših aplikacij. Večina neodvisnih aplikacij, ki zahtevajo dostop do podatkov v Gmailu ali Googlu Drive, na primer aplikacije za sledenje potovanjem, ne bo več imela dovoljenja. Chrome in Firefox pa boste lahko uporabljali samo za dostop do prijavljenih Googlovih storitev, kot sta Gmail ali Fotografije.

Applove aplikacije za pošto, koledar in stike bodo še naprej lahko dostopale do vaših Googlovih podatkov kot običajno.

To bo verjetno največja ovira, s katero se boste srečali pri vsakodnevni uporabi.

Google pred neko osebo vrže tudi dodatne ovire, če se poskuša pretvarjati, da ste to vi, vi pa ste odjavljeni iz računa.

Običajni način, kako hekerji poskušajo dostopati do vašega računa, je, da se lažno predstavljajo za vas in se pretvarjajo, da so blokirani iz vašega računa. Če želite zagotoviti najmočnejšo zaščito pred tovrstnim goljufivim dostopom do računa, Napredna zaščita doda dodatne korake za preverjanje vaše identitete med postopkom obnovitve računa.

Če kdaj izgubite dostop do računa in obeh varnostnih ključev, bodo te dodane zahteve za preverjanje potrebovale nekaj dni, da obnovite dostop do računa.

Tega še nisem doživel, a ne zveni zabavno.

Večini od nas zunaj varnega delovnega okolja za preverjanje pristnosti ne bo treba pogosto uporabljati fizičnega ključa, zato je bolj kot izredno močna metoda zaščite.

Kako je uporabljati Googlov program napredne zaščite

Najprej pritisnite Google Spletno mesto programa za dodatno zaščito. Naročeni boste, da vzamete nekaj tipk U2F. Prej je Google priporočal neodvisne ključe, ki so v redu. Toda zdaj, ko so tipke Titan na voljo v Googlovi trgovini, jih je prav tako enostavno prijeti. Način njihove uporabe bo popolnoma enak.

Ko jih dobite, se boste dejansko vpisali v storitev. S tem boste vklopili vse zaščite - in tudi odjavili se boste vse, iz očitnih razlogov.

Torej, čas je, da se ponovno prijavite. Ali ne. Tu postanejo stvari nekoliko zanimive.

Zdaj moram Gmail uporabljati v spletnem brskalniku, namesto v ovoju, kot sta Mailplane ali Shift. To je bila manjša motnja, vendar v resnici ni showstopper. (Hudiča, to je ena aplikacija, ki se izvaja v ozadju.) Toda to tudi pomeni, da tudi Mac OS nima več dostopa do Gmaila. To je bilo pravzaprav nekoliko presenetljivo, glede na to, kako dobro napreden zaščitni program deluje s sistemom iOS prek pomožne aplikacije "Smart Lock". Mogoče se bo kdaj spremenilo. Toda po drugi strani Gmaila ne bi zamenjal v brskalniku za Appleovo aplikacijo Mail.

Aplikacija Google Smartlock na iPhonu X.

Prijava nazaj v telefone je bila dovolj enostavna. Za to sem uporabil svoj Bluetooth / USB fob. Tisti, ki ga imam približno mesec dni, se zdaj polni prek microUSB, kar je malo moteče. Ampak spet ne prekinitve dogovora. Če ga želim uporabljati s telefonom, se povežem prek Bluetootha. Če ga želim uporabljati z računalnikom, ga priključim. Dovolj enostavno. Uporabil sem tudi Yubikey Neo, ki je USB-A in ima vgrajen NFC, in tudi to odlično deluje. Če uporabljate iPhone, boste potrebovali nekaj z Bluetoothom, vsaj dokler NFC ne bo uradno odprt v iOS 12.

Prijava v knjigo Pixelbook je trajala vseh 10 sekund. Vnesite moje geslo, vtaknite ključ in preverite pristnost, zdaj sem pripravljen za zagon. (Čeprav, če ste res z uporabo Chromebooka in res z uporabo napredne zaščite boste želeli zagotoviti, da imate vgrajeno drugo osnovno varnost pri prijavi, tako da nekdo ne more kar tako odpreti stvari in jo začeti uporabljati. Res kot kateri koli drug prenosnik.)

Največji kolc mi je predstavljal televizor NVIDIA Shield. (Ko se odjavite iz vsega, se odjavite iz vse.) Mislili bi, da se boste lahko prijavili tako kot telefon Android. (Ker navsezadnje gre za platformo Android.) Toda iz kakršnega koli razloga, preprosto ne deluje, enako kot če bi se poskušali prijaviti s kakšnim drugim nezaupljivim tujim virom.

Poleg tega so bile stvari precej nemotene. Ni tako, kot da bi se moral vsak dan prijaviti v svoj račun. (Čeprav je v nekaterih poslovnih okoljih ta fizična ključna shema odlična.)

Če jaz naredi se moram nekje prijaviti v novo napravo, paziti moram, da imam svoj ključ. Tako ga imam na ključih in varnostno kopijo. (Ne, ne povem vam, kje.)

Mimogrede: iz programa Google Advanced Protection se lahko odjavite, če preprosto ne morete živeti z njim. Toda te želje sploh nisem občutil. Prav tako lahko kadar koli odjavite ključe katere koli storitve - samo zapomniti si boste morali, pri katerih storitvah uporabljate ključ. (Ali pa lahko ključ vedno preprosto uničite, če ste z njim končali.)

Za vsakogar ni enotnega popolnega ključa - zelo bo odvisno od tega, katere naprave morate overiti.

Kateri ključ U2F je najboljši za napredno zaščito?

Tu se stvari resnično spustijo v vaš položaj. Lahko dobite naravnost ključ USB-A. Lahko dobite ključ USB-C. Lahko dobite nano ključ (USB-A ali USB-C), ki večino časa živi v vašem prenosniku, vendar vam ne ovira (zunaj zavzema vrat). Nekaj ​​lahko dobite z Bluetoothom ali NFC.

Ni vam treba uporabiti Googlovega varnostnega ključa Titan, če vam bo kaj drugega bolje uspelo.

(Opomba k temu: Kljub temu model USB Googlovega varnostnega ključa Titan vključuje NFC, vendar ob zagonu ne bo deloval. To bo zahtevalo posodobitev telefona v ozadju. Druge tipke strojne opreme pa NFC obvladajo povsem v redu, če jih boste morali imeti takoj.)

Vse je odvisno od tega, kako pogosto se morate prijaviti v tisto, kar želite, in vrsto naprave, ki jo uporabljate. Če vaše podjetje zahteva vsakodnevno odobritev, vendar pri zaupanja vrednem računalniku (recimo za kupom zaklenjenih vrat), potem je morda pot nano USB-A nano ključ. Če se vam, tako kot meni, ni treba pogosto prijavljati, a vseeno želite vse, kar ponuja napredna zaščita, morda nekaj večjega ne bo grozno. Če imate prenosnik USB-C in telefon USB-C, je to še lažje. Odvisno od tega, kaj uporabljate, se bo spreminjalo.

In ni nujno, da potrebujete tudi Googlov ključ Titan. Delujejo popolnoma enako kot druge tipke U2F - le te imajo za seboj moč Googla, ki nadzoruje vdelano programsko opremo, ki je znotraj. (In to je dobra prodajna točka.) In za razliko od drugih tipk, s katerimi lahko upravlja IT-oddelek, je vdelana programska oprema popolnoma zaklenjena. Uporabljali jih boste, kot jih je določil Google.

Tipka Google Titan je opremljena z NFC, vendar bo pred delovanjem s telefoni Android zahtevala posodobitev v ozadju.

Je torej Googlov program napredne zaščite prava stvar za vas?

To je ena tistih stvari, na katero vam ne morem odgovoriti.

Program napredne zaščite je nekoliko pretiran, vendar je tudi pravi način za varnost.

Po eni strani bi rad rekel, da je. Ugotovil sem, da je kompromis med varnostjo in nadlegovanjem minimalen. V nobenem primeru ne bo popolnoma nadomestil kode SMS in žetonov, ki temeljijo na programski opremi, čeprav bi bilo lepo, če bi. Preprosto dejstvo je, da premalo storitev uporablja strojne ključe. (In nekateri jim dovolijo samo kot sekundarni Metode 2FA.) Hit up twofactorauth.org če želite izvedeti, ali jih uporablja vaša najljubša storitev.

In resnično sem blizu temu, da napišem račun svoje hčerke. (Če že nisem, ker zdaj, ko to pišem ...)

Prej družinskim članom sem že moral pomagati pri vračilu računov. Preprosto je nenamerno klikniti povezave, ki jih nikoli ne bi smeli klikniti. To se zgodi najboljšim od nas.

Potrebujemo močnejšo podporo v ozadju, da gremo skupaj z zavedanjem, da je internet nazaj in pokvarjen in moramo biti bolj pozorni.

Google Advanced Protection nudi to podporo.

Na nas je samo, da jo uporabimo. In tega ne izklopim.