Каково это жить в программе расширенной защиты Google

Автор и новый ключ безопасности Google Titan, в котором используются протоколы U2F, разработанные альянсом FIDO, для обеспечения безопасного второго фактора онлайн-аутентификации. Ключ безопасности Titan теперь продается в Google Store.

Я не то, что я бы назвал очень важным человеком. Я все еще считаю себя своего рода журналистом (и это то, что у меня есть в колледже), но я бы не сказал, что я практикую это так, как когда-то, когда делал газеты. Я также не являюсь активистом, бизнес-лидером или членом политической кампании.

Действительно ли я являюсь кандидатом на участие в Программе расширенной защиты Google? Мне действительно нужна самая надежная защита аккаунта, которую Google предлагает публично?

Я отвечу на это через минуту. Но сначала я определю, кем я нахожусь в эти дни: я приближаюсь к среднему возрасту, наблюдая, как мои дочери начинают свою онлайн-жизнь, и я так же убежден, что Интернет по своей сути задом наперед и сломан, и мы все нужно относиться к нашей онлайн-безопасности более серьезно. (То есть, если мы вообще думаем об этом.)

Вопрос, который вы должны задать себе, заключается в том, почему вы не хотите защищать свою онлайн-жизнь как можно лучше.

Двухфакторная безопасность должна быть обязательной. Если служба не предоставляет ее, вам, вероятно, не следует использовать эту службу. Но все двухфакторные схемы не созданы равными. Одноразовые пароли, отправленные с помощью SMS, могут быть перехвачены решительным злоумышленником. Программные токены лучше, но не безошибочны. Еще лучше использовать физические аппаратные ключи. Физический ключ, который вы подключаете к компьютеру через USB, NFC или Bluetooth, который вы подключаете к учетной записи. Нет ключа? Вы не входите.

Все это является частью альянса FIDO - «крупнейшей в мире экосистемы для стандартизированной, совместимой аутентификации» - и U2F, «универсального двухфакторного» опыта, созданного FIDO. По сути, вы можете думать об U2F и 2FA как об одном и том же, и FIDO - это группа, которая воплощает стандарт в жизнь, и на его борту присутствуют люди из Google, Microsoft, Lenovo и Amazon (среди прочих).

Подпишитесь на Modern Dad на YouTube!

Основы программы Advanced Protection

В течение многих лет физические аппаратные ключи были второй формой аутентификации, и в течение довольно долгого времени они были опцией безопасности для учетных записей Google.

Программа расширенной защиты Google делает их обязательным механизмом входа в систему и делает их единственным вариантом 2FA. У вас все еще будет свой пароль Google, и теперь вам придется использовать физический аппаратный ключ вместе с этим паролем для доступа к вашей учетной записи. Нет больше кодов SMS. Нет больше приложения Google Authenticator. Нет телефонных звонков. Это пароль и ключ, или вы не входите.

Это так просто, правда. Но Google идет немного дальше. Вы по-прежнему сможете входить на веб-сайты с помощью своей учетной записи Google. Но приложения, которые могут получить доступ к файлам Gmail или Google Диска, будут строго ограничены. Вот как Google описывает это:

Чтобы защитить вас, Advanced Protection разрешает только приложения Google и выбирать сторонние приложения для доступа к вашей электронной почте и файлам диска.

В качестве компромисса для этой усиленной безопасности, функциональность некоторых ваших приложений может быть затронута. Большинство сторонних приложений, которым требуется доступ к данным Gmail или Диска, например, приложения для отслеживания путешествий, больше не будут иметь разрешения. И вы сможете использовать Chrome и Firefox только для доступа к своим зарегистрированным службам Google, таким как Gmail или Фотографии.

Приложения Apple Mail, Календарь и Контакты будут по-прежнему иметь доступ к вашим данным Google в обычном режиме.

Это, вероятно, будет самым большим препятствием в повседневном использовании.

Google также создает дополнительные препятствия перед кем-то, если они пытаются притвориться, что это вы, а вы вышли из своего аккаунта.

Обычный способ, которым хакеры пытаются получить доступ к вашей учетной записи, - выдавать себя за вас и притворяться, что они заблокированы из вашей учетной записи. Чтобы предоставить вам самую надежную защиту от такого типа мошеннического доступа к учетной записи, Advanced Protection добавляет дополнительные шаги для проверки вашей личности в процессе восстановления учетной записи.

Если вы когда-либо потеряете доступ к своей учетной записи и к обоим своим ключам безопасности, для восстановления доступа к вашей учетной записи эти дополнительные требования проверки будут занимать несколько дней.

Это еще не то, что я должен был испытать, но это не похоже на веселье.

Большинству из нас за пределами безопасной рабочей среды не нужно часто использовать физический ключ для аутентификации, поэтому это скорее очень сильный метод защиты.

Каково это использовать Google Advanced Protection Program

Сначала зайдите на веб-сайт Программы расширенной защиты Google. Вам будет предложено взять пару ключей U2F. Ранее Google рекомендовал сторонние ключи, что нормально. Но теперь, когда ключи Titan доступны в Google Store, их также легко получить. То, как вы их используете, будет точно таким же.

Получив их, вы действительно станете участником службы. Это включит все средства защиты - и это также отключит вас от всего по очевидным причинам.

Итак, пришло время снова войти в систему. Или нет. Здесь все становится немного интереснее.

Теперь я должен использовать Gmail в веб-браузере, а не в обертке, такой как Mailplane или Shift. Это было небольшое раздражение, но на самом деле это не шоу-стоп. (Черт, в фоновом режиме работает меньше приложений.) Но это также означает, что Mac OS больше не имеет доступа к Gmail. Это на самом деле было немного удивительно, учитывая, насколько хорошо программа Advanced Protection Program работает с iOS через вспомогательное приложение «Smart Lock». Может быть, это изменится в какой-то момент. Но, с другой стороны, я не стал бы торговать Gmail в браузере для приложения Apple Mail.

Приложение Google Smartlock на iPhone X.

Вернуться на телефоны было достаточно просто. Для этого я использовал свой Bluetooth / USB брелок. Тот, который у меня был в течение месяца или около того, теперь заряжается через microUSB, что немного раздражает. Но, опять же, не нарушитель соглашения. Если я хочу использовать его с телефоном, я подключаюсь через Bluetooth. Если я хочу использовать его с компьютером, я подключаю его. Достаточно просто. Я также использовал Yubikey Neo, который является USB-A и имеет встроенный NFC, и он тоже отлично работает. Обратите внимание, что если вы используете iPhone, вам понадобится что-то с Bluetooth, по крайней мере, до официального открытия NFC в iOS 12.

Вход в Pixelbook занял всего 10 секунд. Введите мой пароль, подключите ключ и авторизуйтесь, и я в порядке. (Хотя, если вы действительно используете Chromebook и действительно используете Advanced Protection, вам нужно убедиться, что у вас реализована другая базовая защита входа в систему, чтобы кто-то не мог просто открыть устройство и начать его использовать. То же, что и любой другой другой ноутбук, правда.)

Самый большой сбой для меня был с NVIDIA Shield TV. (Когда вы выходите из всего, вы выходите из всего.) Вы могли бы подумать, что сможете войти точно так же, как телефон Android. (Потому что, в конце концов, это платформа Android.) Но по какой-то причине он просто не работает, так же, как если бы вы пытались войти в систему с какого-либо другого ненадежного стороннего источника.

Помимо этого, вещи в значительной степени были бесшовными. Это не так, как я должен войти в свой аккаунт каждый день. (Хотя в некоторых бизнес-средах именно эта физическая схема ключей отлично подходит.)

Если мне нужно где-то войти на новое устройство, я просто должен убедиться, что у меня есть ключ. Поэтому я держу один на своих ключах и резервную копию в безопасном месте. (Нет, я не говорю вам, где.)

Кстати, вы можете отказаться от участия в Программе расширенной защиты Google, если вы просто не можете с ней жить. Но я не чувствовал этого желания вообще. Кроме того, вы можете отменить регистрацию ключей в любом сервисе в любое время - вам просто нужно запомнить, с какими сервисами вы используете ключ. (Или вы всегда можете просто уничтожить ключ, если с ним покончено.)

Не существует единого идеального ключа для всех - очень многое будет зависеть от того, какие устройства вам нужны для аутентификации.

Какой ключ U2F лучше всего подходит для расширенной защиты?

Вот где вещи действительно сводятся к вашей собственной ситуации. Вы можете получить прямой ключ USB-A. Вы можете получить ключ USB-C. Вы можете получить нано-ключ (USB-A или USB-C), который большую часть времени живет в вашем ноутбуке, но не мешает (не занимая порт). Вы можете получить что-то с помощью Bluetooth или NFC.

Вам не нужно использовать ключ безопасности Google Titan, если что-то еще будет работать лучше для вас.

(Обратите внимание на это: модель USB Titan Security Key от Google включает в себя NFC, но он не будет работать при запуске. Для этого потребуется скрытое обновление на вашем телефоне. Другие аппаратные ключи прекрасно справляются с NFC Впрочем, если ты должен сделать это правильно в эту секунду.)

Все зависит от того, как часто вам нужно входить в систему с тем, что вам нужно для входа, и от типа устройства, которое вы используете. Если вашему бизнесу требуется ежедневная авторизация, но на надежном компьютере (скажем, за кучей запертых дверей), возможно, вам стоит воспользоваться нано-ключом USB-A. Если, как и мне, вам не нужно заходить в систему очень часто, но при этом все еще требуется все, что предлагает Advanced Protection, что-то большее может не быть ужасным. Если у вас есть ноутбук с интерфейсом USB-C и телефон с интерфейсом USB-C, то это делает это решение еще проще. Это будет варьироваться в зависимости от того, что вы используете.

И вам не обязательно нужен ключ Google от Titan. Они функционируют точно так же, как и другие клавиши U2F - только у них есть мощь Google, контролирующая встроенное ПО. (И это хорошая точка продажи.) И в отличие от других ключей, которыми может управлять ИТ-отдел, микропрограмма полностью заблокирована. Вы будете использовать их так, как задумал Google.

Ключ Google Titan оснащен NFC, но для работы с телефонами Android потребуется фоновое обновление.

Так является ли программа расширенной защиты Google подходящей для вас?

Это одна из тех вещей, на которые я не могу ответить за тебя.

Программа расширенной защиты немного излишня, но она также является правильным способом обеспечения безопасности.

С одной стороны, я хочу сказать, да, это так. Я обнаружил, что компромисс между безопасностью и раздражением минимален. В любом случае он не будет полностью заменять коды SMS и программные токены, хотя было бы неплохо, если бы это было так. Простой факт - недостаточно сервисов использования аппаратных ключей. (А некоторые допускают их только как вторичные методы 2FA.) Найдите twofactorauth.org, чтобы узнать, использует ли их ваш любимый сервис.

И я действительно близок к тому, чтобы поставить на это счет моей дочери. (Если я еще этого не сделал, потому что теперь, когда я пишу это…)

Я должен был помочь слишком многим членам семьи восстановить счета раньше. Просто слишком легко случайно нажать на ссылки, которые никогда не нужно было нажимать. Это случается с лучшими из нас.

Нам нужна более сильная поддержка со стороны конечного пользователя, чтобы понять, что интернет отстал и сломан, и мы должны быть более бдительными.

Расширенная защита Google предоставляет такую ​​поддержку.

Это зависит только от нас, чтобы использовать его. И я не выключаю это.