Obsah:
- Základy programu rozšírenej ochrany
- Aké to je používať program pokročilej ochrany Google
- Ktorý kľúč U2F je najlepší pre rozšírenú ochranu?
- Je pre vás teda program pre pokročilú ochranu spoločnosti Google ten pravý?
Nie som to, čo by som nazval veľmi dôležitou osobou. Stále sa považujem za novinára takého druhu (a to je to, čo je na mojom vysokoškolskom vzdelaní), ale nepovedal by som, že to praktizujem tak, ako som to robil pri vydávaní novín. Nie som ani aktivista, podnikateľský vodca ani nie som členom tímu politickej kampane.
Som skutočne kandidátom na program rozšírenej ochrany spoločnosti Google? Naozaj potrebujem najsilnejšie zabezpečenie účtu, ktoré spoločnosť Google ponúka verejne?
Na to odpoviem za minútu. Najprv však definujem, čo si myslím, že som v týchto dňoch: blížim sa k strednému veku, zatiaľ čo sledujem, ako moje dcéry začínajú online život, a som rovnako presvedčený, ako vždy, že internet je neodmysliteľne zaostalý a rozbitý, a všetci sme musíme brať našu bezpečnosť online vážne. (To znamená, že ak o tom vôbec premýšľame.)
Otázka, ktorú si musíte položiť, je, prečo by ste nechceli chrániť svoj online život tak, ako je to najlepšie možné.
Dvojfaktorová bezpečnosť by mala byť povinná. Ak ju služba neposkytuje, pravdepodobne by ste ju nemali používať. Všetky dvojfaktorové schémy sa však nevytvárajú rovnocenné. Jednorazové heslá zaslané prostredníctvom SMS môže zachytiť určený útočník. Softvérové tokeny sú lepšie, ale nie neomylné. Ešte lepšie sú fyzické hardvérové kľúče. Fyzický kľúč, ktorý pripájate k počítaču cez USB alebo NFC alebo Bluetooth a ktorý sa pripájate k účtu. Nemáte kľúč? Nevstúpiš.
Toto všetko je súčasťou aliancie FIDO - „najväčšieho ekosystému na svete založeného na normách, interoperabilnej autentifikácie“ - a U2F, „univerzálnej dvojfaktorovej“ skúsenosti, ktorá sa zrodila z FIDO. V podstate môžete uvažovať o U2F a 2FA ako o tej istej veci a FIDO je skupina, ktorá robí štandard štandardom, s členmi spoločnosti Google, Microsoft, Lenovo a Amazon (okrem iných).
Prihláste sa na odber moderného otca na YouTube!
Základy programu rozšírenej ochrany
Fyzické hardvérové kľúče existujú už ako druhá forma autentifikácie už roky a pre účty Google už nejaký čas predstavujú možnosť zabezpečenia.
Program pokročilej ochrany spoločnosti Google z nich robí povinný mechanizmus prihlásenia a robí z nich jedinú možnosť 2FA. Stále budete mať svoje heslo Google a teraz budete musieť používať fyzický hardvérový kľúč v spojení s týmto heslom na prístup k svojmu účtu. Žiadne ďalšie SMS kódy. Už nie je k dispozícii žiadna aplikácia Google Authenticator. Žiadne telefónne hovory. Je to heslo a kľúč, alebo sa nedostanete.
Je to skutočne také jednoduché. Google však ide ešte ďalej. Stále sa budete môcť prihlásiť na webové stránky pomocou svojho účtu Google. Avšak aplikácie, ktoré majú prístup k súborom Gmail alebo Disk Google, budú prísne obmedzené. Ako to Google uvádza:
Kvôli ochrane vás funkcia Advanced Protection povoľuje prístup k vašim e-mailom a súborom na Disku iba aplikáciám Google a vybraným aplikáciám tretích strán.
Ako kompromis medzi týmto sprísneným zabezpečením môže byť ovplyvnená funkčnosť niektorých aplikácií. Väčšina aplikácií tretích strán, ktoré vyžadujú prístup k údajom služby Gmail alebo Disk, ako sú napríklad aplikácie na sledovanie ciest, už nebude mať povolenie. A Chrome a Firefox budete môcť používať iba na prístup k prihláseným službám Google, ako sú Gmail alebo Fotografie.
Aplikácie Mail, Kalendár a Kontakty spoločnosti Apple budú mať naďalej prístup k vašim údajom Google ako zvyčajne.
To bude pravdepodobne najväčšia prekážka, ktorej budete čeliť pri každodennom používaní.
Google sa tiež pokúsi pred niekým vylúčiť ďalšie blokovania, ak sa pokúsi predstierať, že ste vy a ste odhlásený / -á z vášho účtu.
Hackeri sa bežne snažia získať prístup k vášmu účtu, keď sa predstierajú identity a predstierajú, že boli zablokovaní z vášho účtu. S cieľom poskytnúť najvyššiu ochranu proti tomuto typu podvodného prístupu k účtu pridáva rozšírená ochrana ďalšie kroky na overenie vašej identity počas procesu obnovenia účtu.
Ak stratíte prístup k svojmu účtu a obom vašim bezpečnostným kľúčom, obnovenie prístupu k vášmu účtu bude trvať niekoľko dní.
To ešte nie je nič, čo by som musel zažiť, ale neznie to ako zábava.
Aké to je používať program pokročilej ochrany Google
Najprv vyhľadajte webovú stránku programu pokročilej ochrany spoločnosti Google. Dostanete pokyn, aby ste chytili pár kľúčov U2F. Spoločnosť Google predtým odporúčala kľúče tretích strán, ktoré sú v poriadku. Ale teraz, keď sú titánové kľúče k dispozícii v obchode Google Store, je rovnako ľahké ich uchopiť. Spôsob ich použitia bude presne rovnaký.
Akonáhle ich budete mať, budete sa skutočne prihlásiť do služby. Tým sa zapnú všetky ochrany - a zo zrejmých dôvodov sa tiež odhlási zo všetkého.
Je čas sa prihlásiť. Alebo nie. To je miesto, kde sa veci trochu zaujímavé.
Teraz musím používať Gmail vo webovom prehľadávači namiesto v obálke ako Mailplane alebo Shift. To bola menšia obťažnosť, ale v skutočnosti to nebol showstopper. (Do pekla, na pozadí sa spúšťa menej aplikácií.) Znamená to tiež, že Mac OS už nemá prístup k službe Gmail. To bolo v skutočnosti trochu prekvapujúce vzhľadom na to, ako dobre funguje program rozšírenej ochrany so systémom iOS pomocou pomocnej aplikácie „Smart Lock“. Možno sa to v určitom okamihu zmení. Na druhej strane by som však nevymieňal Gmail v prehliadači aplikácie Apple Mail.
Prihlásenie späť do telefónov bolo dosť jednoduché. Na to som použil môj Bluetooth / USB fob. Ten, ktorý som mal asi mesiac, sa teraz nabíja prostredníctvom microUSB, čo je trochu nepríjemné. Ale opäť, nie je istič. Ak ho chcem používať s telefónom, pripojím sa cez Bluetooth. Ak ho chcem používať s počítačom, zapojím ho. Ľahko. Tiež som použil Yubikey Neo, ktoré je USB-A a má zabudovaný NFC, a funguje to skvele. Upozorňujeme, že ak používate iPhone, budete potrebovať niečo s technológiou Bluetooth, aspoň kým sa oficiálne otvorí NFC v systéme iOS 12.
Prihlásenie do Pixelbooku trvalo všetkých 10 sekúnd. Zadajte svoje heslo, pripojte kľúč a overte, že som v prevádzke. (Aj keď skutočne používate Chromebook a naozaj používate rozšírenú ochranu, budete sa chcieť uistiť, že máte implementované ďalšie základné zabezpečenie prihlásenia, takže niekto nemôže iba otvoriť túto vec a začať ju používať. Rovnaké ako akékoľvek iné iný laptop, naozaj.)
Najväčší škyták pre mňa bol s televízorom NVIDIA Shield TV. (Keď sa odhlásite zo všetkého, odhlásite sa zo všetkého.) Myslíte si, že by ste sa mohli prihlásiť rovnako ako telefón s Androidom. (Pretože je to platforma Android, koniec koncov.) Ale z akéhokoľvek dôvodu to jednoducho nefunguje, rovnako ako keby ste sa pokúsili prihlásiť s iným nedôveryhodným zdrojom tretích strán.
Okrem toho boli veci do značnej miery bezproblémové. Nie je to tak, že sa musím každý deň prihlasovať na svoj účet. (Aj keď v niektorých podnikových prostrediach je to presne to, na čo je táto schéma fyzického kľúča skvelá.)
Ak sa niekde potrebujem prihlásiť do nového zariadenia, musím sa uistiť, že mám na sebe svoj kľúč. Jeden si teda ponechám na svojich kľúčoch a zálohu na bezpečnom mieste. (Nie, nehovorím ti kde.)
Mimochodom: Ak sa s ním nemôžete dožiť, môžete sa odhlásiť z Programu pokročilej ochrany Google. Ale toto nutkanie som vôbec necítil. Klíče tiež môžete kedykoľvek odhlásiť z akejkoľvek služby - stačí si pamätať, s ktorými službami používate kľúč. (Alebo môžete vždy jednoducho zničiť kľúč, ak ste s tým hotoví.)
Ktorý kľúč U2F je najlepší pre rozšírenú ochranu?
Tu je miesto, kde sa veci skutočne dostanú do vašej vlastnej situácie. Môžete získať priamy USB-A kľúč. Môžete získať kľúč USB-C. Môžete získať nano kľúč (USB-A alebo USB-C), ktorý býva vo vašom prenosnom počítači väčšinu času, ale nebráni sa mu (mimo prevzatia portu). S Bluetooth alebo NFC môžete niečo získať.
Ak pre vás bude niečo lepšie fungovať, nemusíte používať Titan Security Key Google.
(Poznámka k tomu však: Model USB bezpečnostného kľúča spoločnosti Titan od spoločnosti Google obsahuje technológiu NFC, ale pri spustení nebude fungovať. Vyžaduje si to aktualizáciu v zákulisí v telefóne. Iné hardvérové kľúče zvládajú technológiu NFC v poriadku), ak to však musíte mať práve túto sekundu.)
Všetko záleží na tom, ako často sa potrebujete prihlásiť, bez ohľadu na to, do čoho sa potrebujete prihlásiť, a na type zariadenia, ktoré používate. Ak vaše podnikanie vyžaduje dennú autorizáciu, ale na dôveryhodnom počítači (povedzme, za partiou zamknutých dverí), možno je najlepšou cestou nano kľúč USB-A. Ak sa rovnako ako ja nemusíte prihlasovať veľmi často, ale stále chcete všetko, čo ponúka rozšírená ochrana, nemusí byť niečo väčšie. Ak máte prenosný počítač USB-C a telefón USB-C, je toto rozhodnutie ešte jednoduchšie. Bude sa meniť v závislosti od toho, čo používate.
A nemusíte nevyhnutne potrebovať ani Titanov kľúč spoločnosti Google. Fungujú úplne rovnako ako iné kľúče U2F - iba tieto majú za sebou silu spoločnosti Google a riadia firmvér, ktorý je v nich. (A to je dobrý predajný bod.) A na rozdiel od iných kľúčov, s ktorými môže IT oddelenie manipulovať, je firmvér úplne zablokovaný. Budete ich používať podľa zámeru spoločnosti Google.
Je pre vás teda program pre pokročilú ochranu spoločnosti Google ten pravý?
To je jedna z vecí, ktoré vám nemôžem odpovedať.
Program rozšírenej ochrany je trochu prebytočný, ale je to tiež správny spôsob zabezpečenia bezpečnosti.
Na jednej strane chcem povedať, že áno. Zistil som, že kompromis medzi bezpečnosťou a obťažovaním je minimálny. V žiadnom prípade to nenahradí úplne kódy SMS a softvérové tokeny, aj keď by to bolo pekné. Jednoduchý fakt nie je dostatok služieb, ktoré používajú hardvérové kľúče. (A niektoré ich povoľujú iba ako sekundárne metódy 2FA.) Ak chcete zistiť, či ich vaša obľúbená služba používa, vyhľadajte webovú stránku twofactorauth.org.
A som naozaj blízko k tomu, aby som na to uviedol účet svojej dcéry. (Ak som to už neurobil, pretože teraz, keď píšem toto …)
Musel som predtým pomôcť príliš mnohým členom rodiny pri vymáhaní účtov. Je príliš ľahké náhodne kliknúť na odkazy, na ktoré by sa nikdy nemalo kliknúť. Stáva sa to najlepším z nás.
Potrebujeme silnejšiu back-end podporu, ktorá sa spája s vedomím, že internet je zaostalý a nefunkčný, a musíme byť ostražití.
Túto podporu poskytuje služba Google Advanced Protection.
Je len na nás, ako ho použijeme. A ja to nevypnem.
