Sống như thế nào theo chương trình bảo vệ nâng cao của google

Tác giả và khóa bảo mật Google Titan mới, sử dụng giao thức U2F do Liên minh FIDO phát triển để cung cấp yếu tố thứ hai an toàn cho xác thực trực tuyến. Khóa bảo mật Titan hiện đang được bán trong Google Store.

Tôi không phải là những gì tôi gọi là một người rất quan trọng. Tôi vẫn coi mình là một nhà báo loại (và đó là bằng cấp đại học của tôi), nhưng tôi sẽ không nói rằng tôi thực hành nó theo cách tôi đã làm khi tôi làm báo. Tôi cũng không phải là một nhà hoạt động, lãnh đạo doanh nghiệp, hoặc là một nhóm chiến dịch chính trị.

Tôi có thực sự là ứng cử viên cho Chương trình bảo vệ nâng cao của Google không? Tôi có thực sự cần bảo mật tài khoản mạnh nhất mà Google cung cấp công khai không?

Tôi sẽ trả lời trong một phút nữa. Nhưng trước tiên, tôi sẽ xác định những gì tôi nghĩ rằng tôi là những ngày này: Tôi sắp bước vào tuổi trung niên trong khi chứng kiến ​​các con gái của tôi bắt đầu cuộc sống trực tuyến của chúng, và tôi tin chắc rằng Internet đã bị lạc hậu và tất cả chúng ta cần phải thực hiện bảo mật trực tuyến của chúng tôi nghiêm túc hơn. (Đó là, nếu chúng ta nghĩ về nó cả.)

Câu hỏi bạn phải tự hỏi mình là tại sao bạn không muốn bảo vệ cuộc sống trực tuyến của mình tốt nhất có thể.

Bảo mật hai yếu tố nên là bắt buộc. Nếu một dịch vụ không cung cấp nó, có lẽ bạn không nên sử dụng dịch vụ đó. Nhưng tất cả các sơ đồ hai yếu tố không được tạo ra bằng nhau. Mật khẩu một lần được gửi bằng tin nhắn SMS có thể bị chặn bởi kẻ tấn công xác định. Mã thông báo dựa trên phần mềm tốt hơn, nhưng không thể sai được. Tốt hơn, vẫn, là các phím phần cứng vật lý. Khóa vật lý mà bạn cắm vào máy tính qua USB hoặc bằng NFC hoặc Bluetooth, mà bạn kết nối với tài khoản. Không có chìa khóa? Bạn không nhận được vào.

Đây là một phần của Liên minh FIDO - "Hệ sinh thái lớn nhất thế giới về xác thực dựa trên tiêu chuẩn, có thể tương tác" - và U2F, trải nghiệm "Nhân tố 2 phổ quát" được sinh ra từ FIDO. Về cơ bản, bạn có thể nghĩ U2F và 2FA giống nhau và FIDO là nhóm tạo ra tiêu chuẩn, với những người từ Google, Microsoft, Lenovo và Amazon (trong số những người khác) trên diễn đàn của nó.

Đăng ký Modern Dad trên YouTube!

Những điều cơ bản của Chương trình bảo vệ nâng cao

Các khóa phần cứng vật lý đã xuất hiện như một hình thức xác thực thứ hai trong nhiều năm và chúng đã là một tùy chọn bảo mật cho các tài khoản Google từ khá lâu.

Chương trình bảo vệ nâng cao của Google biến chúng thành một cơ chế bắt buộc để đăng nhập và nó làm cho chúng trở thành tùy chọn 2FA duy nhất. Bạn vẫn sẽ có mật khẩu Google của mình và bây giờ bạn sẽ phải sử dụng khóa phần cứng vật lý kết hợp với mật khẩu đó để truy cập vào tài khoản của bạn. Không còn mã SMS. Không còn ứng dụng Google Authenticator. Không có cuộc gọi điện thoại. Đó là mật khẩu và khóa hoặc bạn không nhận được.

Thật đơn giản, thật đấy. Nhưng Google sẽ đi xa hơn một chút. Bạn vẫn có thể đăng nhập vào các trang web bằng tài khoản Google của mình. Nhưng các ứng dụng có thể truy cập tệp Gmail hoặc Google Drive sẽ bị hạn chế nghiêm trọng. Đây là cách Google đặt nó:

Để giúp bảo vệ bạn, Advanced Protection chỉ cho phép các ứng dụng của Google và chọn ứng dụng của bên thứ ba để truy cập email và tệp Drive của bạn.

Vì sự đánh đổi cho bảo mật được thắt chặt này, chức năng của một số ứng dụng của bạn có thể bị ảnh hưởng. Hầu hết các ứng dụng của bên thứ ba yêu cầu quyền truy cập vào dữ liệu Gmail hoặc Drive của bạn, chẳng hạn như ứng dụng theo dõi du lịch, sẽ không còn được phép. Và bạn sẽ chỉ có thể sử dụng Chrome và Firefox để truy cập các dịch vụ đã đăng nhập của Google như Gmail hoặc Photos.

Các ứng dụng Thư, Lịch và Danh bạ của Apple sẽ tiếp tục có thể truy cập dữ liệu Google của bạn như bình thường.

Đó có lẽ sẽ là trở ngại lớn nhất mà bạn phải đối mặt trong việc sử dụng hàng ngày.

Google cũng ném thêm các rào cản trước mặt ai đó nếu họ cố gắng giả vờ rằng họ và bạn đã đăng xuất khỏi tài khoản của bạn.

Một cách phổ biến mà tin tặc cố gắng truy cập vào tài khoản của bạn là mạo danh bạn và giả vờ rằng chúng đã bị khóa khỏi tài khoản của bạn. Để cung cấp cho bạn sự bảo vệ mạnh mẽ nhất đối với loại quyền truy cập tài khoản gian lận này, Advanced Protection bổ sung các bước bổ sung để xác minh danh tính của bạn trong quá trình khôi phục tài khoản.

Nếu bạn mất quyền truy cập vào tài khoản và cả hai Khóa bảo mật của mình, các yêu cầu xác minh được thêm này sẽ mất vài ngày để khôi phục quyền truy cập vào tài khoản của bạn.

Đó chưa phải là thứ tôi phải trải nghiệm, nhưng nghe có vẻ không vui chút nào.

Hầu hết chúng ta bên ngoài môi trường làm việc an toàn sẽ không phải sử dụng khóa vật lý để xác thực rất thường xuyên, vì vậy nó giống như một phương pháp bảo vệ cực kỳ mạnh mẽ.

Việc sử dụng Chương trình bảo vệ nâng cao của Google sẽ như thế nào

Đầu tiên, hãy truy cập trang web Chương trình bảo vệ nâng cao của Google. Bạn sẽ được hướng dẫn để lấy một vài phím U2F. Google trước đây đã đề xuất khóa của bên thứ ba, điều này là tốt. Nhưng giờ đây, các phím Titan đã có sẵn trong Google Store, thật dễ dàng để lấy chúng. Cách bạn sử dụng chúng sẽ giống hệt nhau.

Khi bạn đã có chúng, bạn sẽ thực sự đăng ký dịch vụ. Điều đó sẽ bật tất cả các biện pháp bảo vệ - và nó cũng sẽ loại bạn ra khỏi mọi thứ, vì những lý do rõ ràng.

Vì vậy, đã đến lúc đăng nhập lại. Hoặc không. Đây là nơi mọi thứ có được một chút thú vị.

Bây giờ tôi phải sử dụng Gmail trong trình duyệt web thay vì trong trình bao bọc như Mailplane hoặc Shift. Đó là một phiền toái nhỏ, nhưng không thực sự là một showstopper. (Chết tiệt, đó là một ứng dụng ít hơn để chạy trong nền.) Nhưng điều đó cũng có nghĩa là Mac OS cũng không còn có quyền truy cập vào Gmail nữa. Điều đó thực sự là một chút ngạc nhiên, do Chương trình Bảo vệ Nâng cao hoạt động tốt như thế nào với iOS thông qua ứng dụng "Khóa thông minh" trợ giúp. Có lẽ nó sẽ thay đổi vào một lúc nào đó. Nhưng mặt khác, tôi sẽ không giao dịch Gmail trong trình duyệt cho ứng dụng Mail của Apple.

Ứng dụng Google Smartlock trên iPhone X.

Đăng nhập lại vào điện thoại là đủ dễ dàng. Cho rằng tôi đã sử dụng fob Bluetooth / USB của tôi. Cái mà tôi đã có khoảng một tháng nay tính phí qua microUSB, điều này hơi khó chịu. Nhưng, một lần nữa, không phải là một người phá vỡ thỏa thuận. Nếu tôi muốn sử dụng nó với điện thoại, tôi kết nối qua Bluetooth. Nếu tôi muốn sử dụng nó với máy tính, tôi cắm nó vào. Đủ dễ dàng. Tôi cũng đã sử dụng Yubikey Neo, đó là USB-A và được tích hợp NFC, và nó cũng hoạt động rất tốt. Lưu ý rằng nếu bạn đang sử dụng iPhone, bạn sẽ cần một cái gì đó với Bluetooth, ít nhất là cho đến khi NFC chính thức được mở trong iOS 12.

Đăng nhập vào Pixelbook mất tất cả 10 giây. Nhập mật khẩu của tôi, nhập khóa và xác thực, và tôi đang chạy. (Mặc dù nếu bạn thực sự sử dụng Chromebook và thực sự sử dụng Bảo vệ nâng cao, bạn sẽ muốn đảm bảo rằng bạn đã thực hiện bảo mật đăng nhập cơ bản khác, vì vậy ai đó không thể mở điều đó lên và bắt đầu sử dụng. máy tính xách tay khác, thực sự.)

Nấc cụt lớn nhất đối với tôi là với NVIDIA Shield TV. (Khi bạn đăng xuất khỏi mọi thứ, bạn sẽ đăng xuất khỏi mọi thứ.) Bạn sẽ nghĩ rằng mình có thể đăng nhập giống như một chiếc điện thoại Android. (Vì cuối cùng, đó là một nền tảng Android.) Nhưng vì bất kỳ lý do gì, nó chỉ không hoạt động, giống như khi bạn cố gắng đăng nhập bằng một số nguồn bên thứ ba không đáng tin cậy khác.

Ngoài ra, mọi thứ khá nhiều đã được liền mạch. Không giống như tôi phải đăng nhập vào tài khoản của mình mỗi ngày. (Mặc dù trong một số môi trường kinh doanh, đó chính xác là những gì lược đồ khóa vật lý này phù hợp với.)

Nếu tôi cần phải đăng nhập vào một thiết bị mới ở đâu đó, tôi chỉ cần đảm bảo rằng tôi có chìa khóa của mình trên người. Vì vậy, tôi giữ một cái trên chìa khóa của mình và sao lưu ở nơi an toàn. (Không, tôi không nói cho bạn biết đâu.)

Nhân tiện: Bạn có thể hủy đăng ký khỏi Chương trình bảo vệ nâng cao của Google nếu bạn không thể sống với nó. Nhưng tôi chưa cảm thấy sự thôi thúc đó. Ngoài ra, bạn có thể hủy đăng ký khóa từ bất kỳ dịch vụ nào vào bất kỳ lúc nào - bạn sẽ chỉ cần nhớ dịch vụ nào bạn sử dụng khóa. (Hoặc bạn luôn có thể phá hủy khóa nếu bạn hoàn thành nó.)

Không có khóa hoàn hảo duy nhất cho tất cả mọi người - sẽ phụ thuộc rất nhiều vào thiết bị bạn cần xác thực.

Khóa U2F nào là tốt nhất để bảo vệ nâng cao?

Đây là nơi mọi thứ thực sự đi vào tình huống của bạn. Bạn có thể nhận được một khóa USB-A thẳng. Bạn có thể nhận được một khóa USB-C. Bạn có thể nhận được một khóa nano (USB-A hoặc USB-C) sống trong máy tính xách tay của bạn hầu hết thời gian nhưng không bị cản trở (bên ngoài việc chiếm một cổng). Bạn có thể nhận được một cái gì đó với Bluetooth hoặc NFC.

Bạn không phải sử dụng Khóa bảo mật Titan của Google nếu có thứ gì khác sẽ hoạt động tốt hơn cho bạn.

(Tuy nhiên, một lưu ý về điều đó: Mô hình USB của Khóa bảo mật Titan của Google bao gồm NFC, nhưng nó sẽ không hoạt động khi khởi chạy. Điều đó sẽ yêu cầu cập nhật hậu trường trên điện thoại của bạn. Các phím phần cứng khác xử lý NFC tốt tuy nhiên, nếu bạn phải có nó ngay trong giây này.)

Tất cả phụ thuộc vào tần suất bạn cần đăng nhập vào bất cứ thứ gì bạn cần để đăng nhập và loại thiết bị bạn đang sử dụng. Nếu doanh nghiệp của bạn yêu cầu ủy quyền hàng ngày, nhưng tại một máy tính đáng tin cậy (giả sử, đằng sau một loạt các cửa bị khóa), thì có thể một khóa nano USB-A là cách để đi. Nếu, giống như tôi, bạn không cần phải đăng nhập rất thường xuyên nhưng vẫn muốn mọi thứ mà Bảo vệ nâng cao cung cấp, một cái gì đó lớn hơn có thể không tệ. Nếu bạn có một máy tính xách tay USB-C và điện thoại USB-C, điều đó sẽ khiến cho quyết định đó trở nên dễ dàng hơn. Nó sẽ thay đổi tùy thuộc vào những gì bạn sử dụng.

Và bạn cũng không nhất thiết phải cần khóa Titan của Google. Chúng hoạt động chính xác giống như các khóa U2F khác - chỉ những khóa này có khả năng Google đứng sau chúng, kiểm soát phần sụn bên trong. (Và đó là một điểm bán hàng tốt.) Và không giống như các khóa khác, có thể được điều khiển bởi bộ phận CNTT, phần sụn hoàn toàn bị khóa. Bạn sẽ sử dụng những thứ này như Google dự định.

Khóa Google Titan được trang bị NFC, nhưng nó sẽ yêu cầu cập nhật nền trước khi nó hoạt động với điện thoại Android.

Vậy Chương trình bảo vệ nâng cao của Google có phù hợp với bạn không?

Đó là một trong những điều mà tôi không thể trả lời cho bạn.

Chương trình bảo vệ nâng cao hơi quá mức cần thiết, nhưng đó cũng là cách đúng đắn để bảo mật.

Một mặt, tôi muốn nói có, nó là. Tôi đã thấy sự đánh đổi giữa an ninh và phiền toái là tối thiểu. Nó sẽ không thay thế hoàn toàn mã SMS và mã thông báo dựa trên phần mềm trong bất kỳ sự kiện nào, mặc dù nó sẽ rất tuyệt nếu như vậy. Thực tế đơn giản là không đủ dịch vụ sử dụng khóa phần cứng. (Và một số chỉ cho phép chúng làm phương thức 2FA thứ cấp.) Truy cập twofactorauth.org để tìm hiểu xem dịch vụ yêu thích của bạn có sử dụng chúng không.

Và tôi thực sự rất gần với việc đưa tài khoản của con gái tôi vào đó. (Nếu tôi chưa có, vì bây giờ tôi đang viết bài này)

Tôi đã phải giúp quá nhiều thành viên gia đình đòi lại tài khoản trước đây. Thật quá dễ dàng để vô tình nhấp vào các liên kết không bao giờ được nhấp vào. Nó xảy ra tốt nhất của chúng tôi.

Những gì chúng ta cần là hỗ trợ back-end mạnh mẽ hơn để đi cùng với kiến ​​thức rằng internet bị lạc hậu và bị hỏng và chúng ta phải cảnh giác hơn.

Google Advanced Protection cung cấp hỗ trợ đó.

Chúng ta chỉ cần sử dụng nó. Và tôi không tắt nó.