Зміст:
- Основи програми розширеного захисту
- Що це за допомогою програми розширеного захисту Google
- Який ключ U2F найкращий для розширеного захисту?
- Тож, чи є розширена програма захисту Google правильною для вас?
Я не те, що я назвав би дуже важливою людиною. Я все ще вважаю себе журналістом у своєму роді (і це те, що є на моєму рівні в коледжі), але я б не сказав, що я практикую це так, як я робив, коли робив газети. Я також не є ні активістом, ні лідером бізнесу, ні членом команди політичної кампанії.
Я справді є кандидатом у програму розширеного захисту Google? Мені справді потрібна найсильніша безпека облікового запису, яку Google пропонує публічно?
Я відповім це за хвилину. Але спершу я визначу, що я думаю, що я є сьогодні: я наближаюсь до середнього віку, спостерігаючи, як дочки починають своє життя в Інтернеті, і я настільки ж переконаний, що Інтернет суттєво відсталий і зламаний, і ми всі потрібно серйозно поставитися до нашої безпеки в Інтернеті. (Тобто, якщо ми взагалі про це думаємо.)
Питання, яке ви повинні задати собі, це чому ви не хочете захистити своє життя в Інтернеті якнайкраще.
Двофакторна безпека повинна бути обов'язковою. Якщо служба не надає її, ви, ймовірно, не повинні користуватися цією послугою. Але всі двофакторні схеми не створюються рівними. Одноразові паролі, надіслані SMS, можуть перехоплюватися визначеним зловмисником. Програмні жетони є кращими, але не безпомильними. Ще краще - це фізичні апаратні ключі. Фізичний ключ, який ви підключаєте до комп'ютера через USB, або через NFC або Bluetooth, який підключаєте до облікового запису. У вас немає ключа? Ти не входиш.
Все це є частиною Альянсу FIDO - "Найбільшої світової екосистеми на основі стандартів, сумісної автентифікації" - та U2F, "Універсального 2-факторного" досвіду, народженого від FIDO. Ви, в основному, можете вважати U2F та 2FA як одне і те ж, і FIDO - це група, яка змушує цього статися, з людьми Google, Microsoft, Lenovo та Amazon (серед інших) на його борту.
Підписуйтесь на сучасного тата на YouTube!
Основи програми розширеного захисту
Фізичні апаратні ключі вже багато років є другою формою аутентифікації, і вони вже довгий час є безпекою для облікових записів Google.
Програма розширеного захисту від Google робить їх обов'язковим механізмом входу, і це робить їх єдиним варіантом 2FA. Ви все одно матимете свій пароль Google, і тепер для доступу до свого облікового запису вам доведеться використовувати фізичний апаратний ключ разом із цим паролем. Більше немає SMS-кодів. Більше немає програми Google Authenticator. Немає телефонних дзвінків. Це пароль і ключ, або ви не входите.
Це так просто, насправді. Але Google піде трохи далі. Ви все одно зможете увійти на веб-сайти за допомогою свого облікового запису Google. Але програми, які можуть отримати доступ до файлів Gmail або Google Drive, будуть суворо обмежені. Ось як Google це ставить:
Щоб захистити вас, розширений захист дозволяє лише програмам Google і вибирати сторонні програми для доступу до ваших електронних листів та файлів Диска.
Оскільки компроміс цієї жорсткої безпеки може вплинути на функціональність деяких ваших додатків. Більшість сторонніх додатків, які потребують доступу до даних Gmail або Диска, наприклад, додатки для відстеження подорожей, більше не матимуть дозволу. І ви зможете користуватися Chrome та Firefox лише для доступу до своїх ввійшли в службу Google, наприклад Gmail або Фото.
Програми Apple Mail, Calendar та Contacts від Apple надалі матимуть доступ до ваших даних Google у звичайному режимі.
Це, мабуть, буде найбільшою перешкодою, з якою ви будете стикатися щодня.
Google також викидає зайві дорожні перешкоди перед кимось, якщо вони намагаються зробити вигляд, що це ви, і ви вийшли з облікового запису.
Поширений спосіб, коли хакери намагаються отримати доступ до вашого облікового запису, - це видавати себе за себе, видаючи себе за те, що вони заблоковані з вашого акаунта. Щоб забезпечити вам найсильніший захист від такого типу шахрайського доступу до облікового запису, Advanced Protection додає додаткові кроки для підтвердження вашої особи під час відновлення облікового запису.
Якщо ви коли-небудь втратите доступ до свого облікового запису та обох своїх ключів безпеки, для відновлення доступу до вашого облікового запису знадобиться кілька днів.
Це ще мені не довелося пережити, але це не здається веселим.
Що це за допомогою програми розширеного захисту Google
Спочатку перейдіть на веб-сайт програми розширеного захисту Google. Вам буде доручено схопити пару ключів U2F. Раніше Google рекомендував сторонні ключі, які добре. Але тепер, коли ключі «Титан» доступні в Google Store, схопити їх так само просто. Спосіб їх використання буде точно таким же.
Після їх отримання ви фактично зареєструєтесь у службі. Це ввімкне всі захисні пристрої - і це також видалить вас із усього, з очевидних причин.
Отже, настав час знову увійти. Або ні. Тут дещо стає цікавим.
Тепер я маю використовувати Gmail у веб-браузері, а не в обгортці, як Mailplane або Shift. Це було незначне роздратування, але насправді не стоп-шоу. (Чорт, це один менший додаток, який працює у фоновому режимі.) Але це також означає, що Mac OS також не має доступу до Gmail. Це насправді було трохи дивно, враховуючи, наскільки добре Програма розширеного захисту працює з iOS через допоміжний додаток Smart Lock. Можливо, це зміниться в якийсь момент. Але з іншого боку, я б не торгував Gmail у браузері для програми Apple Mail.
Вхід у телефони був досить простим. Для цього я використав свій Bluetooth / USB fob. Той, який я мав протягом місяця або близько того, зараз заряджається через microUSB, що трохи дратує. Але, знову ж таки, не прорив угод. Якщо я хочу використовувати його з телефоном, я підключаюся через Bluetooth. Якщо я хочу використовувати його з комп'ютером, я підключаю його. Досить просто. Я також використав Yubikey Neo, який є USB-A і вбудований NFC, і він також чудово працює. Зауважте, що якщо ви використовуєте iPhone, вам знадобиться щось із Bluetooth, принаймні, поки NFC офіційно не відкриється в iOS 12.
Вхід у Pixelbook зайняв усі 10 секунд. Введіть свій пароль, підключіть ключ та підтвердьте автентифікацію, і я працюю. (Хоча якщо ви справді використовуєте Chromebook і дійсно використовуєте розширений захист, вам потрібно переконатися, що у вас є реалізована інша основна безпека для входу, тому хтось не може просто відкрити річ і почати її використовувати. Те саме, що і будь-який інший ноутбук, дійсно.)
Найбільшим для мене гикав був телевізор NVIDIA Shield. (Коли ви виходите з усього, ви виходите з усього.) Можна подумати, що ви зможете увійти так само, як телефон Android. (Адже це платформа Android, зрештою.) Але з будь-якої причини це просто не працює, як якщо б ви намагалися увійти в систему з іншим ненадійним стороннім джерелом.
Крім того, речі майже все були безшовними. Це не так, як я мушу щодня входити у свій акаунт. (Хоча в деяких бізнес-середовищах саме ця фізична ключова схема чудово підходить.)
Якщо мені потрібно десь увійти на новий пристрій, я просто повинен переконатися в наявності свого ключа. Тому я зберігаю його на своїх ключах, а резервну копію - у безпечному місці. (Ні, я не кажу тобі де.)
До речі: ви можете скасувати реєстрацію з програми розширеного захисту Google, якщо просто не можете з цим жити. Але я зовсім не відчував цього пориву. Також ви можете в будь-який час скасувати реєстрацію ключів від будь-якої служби - вам просто доведеться запам'ятати, з якими послугами ви використовуєте ключ. (Або ви завжди можете просто знищити ключ, якщо закінчите з ним.)
Який ключ U2F найкращий для розширеного захисту?
Ось де все справді зводиться до вашої власної ситуації. Ви можете отримати прямий USB-A ключ. Ви можете отримати ключ USB-C. Ви можете отримати нано ключ (USB-A або USB-C), який живе у вашому ноутбуці більшу частину часу, але не перешкоджає (за винятком того, як займати порт). Ви можете отримати щось із Bluetooth або NFC.
Вам не доведеться використовувати ключ безпеки Titan Google, якщо щось інше буде працювати краще.
(Хоча зауваження про це: USB-модель ключа безпеки Titan Google включає в себе NFC, але він не працюватиме при запуску. Це вимагатиме позаблокового оновлення вашого телефону. Інші апаратні клавіші обробляють NFC просто чудово, хоча, якщо ви маєте це правильно зараз,)
Все залежить від того, наскільки часто вам потрібно буде входити в систему, що б вам не потрібно було входити, та тип пристрою, яким ви користуєтесь. Якщо ваш бізнес вимагає щоденного дозволу, але на надійному комп’ютері (скажімо, за купою замкнених дверей), можливо, нано-ключ USB-A - це шлях. Якщо, як я, вам не потрібно входити дуже часто, але все ж хочете все, що пропонує Advanced Protection, щось велике може бути не жахливим. Якщо у вас є ноутбук USB-C та телефон USB-C, це полегшує таке рішення. Він буде змінюватися залежно від того, що ви використовуєте.
І вам не обов’язково потрібен ключ від Titan Google. Вони функціонують точно так само, як і інші ключі U2F - лише ці сили Google мають за собою, контролюючи вбудовану програму. (І це хороший пункт продажу.) І на відміну від інших ключів, якими може керувати ІТ-відділ, прошивка повністю заблокована. Ви будете використовувати їх за призначенням Google.
Тож, чи є розширена програма захисту Google правильною для вас?
Це одна з тих речей, на які я не можу відповісти за тебе.
Програма вдосконаленого захисту трохи непосильна, але це також правильний спосіб забезпечити безпеку.
З одного боку, я хочу сказати, що так. Я вважав, що компроміс між безпекою та роздратуванням є мінімальним. Це не буде повністю замінювати SMS-коди та лексеми на основі програмного забезпечення в будь-якому випадку, хоча було б добре, якби це було. Простий факт - недостатня кількість сервісів використовує апаратні ключі. (А деякі дозволяють їх використовувати лише як вторинні методи 2FA.) Натисніть на twofactorauth.org, щоб дізнатись, чи використовує ваш улюблений сервіс.
І я дуже близький до того, щоб виставити на нього рахунок своєї дочки. (Якщо я цього ще не зробив, тому що зараз, коли я це пишу …)
Мені раніше доводилося допомагати занадто багатьом членам сім’ї відшкодувати рахунки. Це просто надто просто випадково натиснути на посилання, на які ніколи не слід було натискати. Це трапляється з кращими з нас.
Нам потрібна сильніша підтримка задля того, щоб рухатись разом із знаннями про те, що Інтернет відстає і порушений, і ми повинні бути пильнішими.
Google Advanced Protection надає цю підтримку.
Нам тільки користуватися цим. І я це не відключаю.
