Forfatteren, og den nye Google Titan-sikkerhetsnøkkelen, som bruker U2F-protokollene utviklet av FIDO Alliance for å gi en sikker andre faktor for online autentisering. Titan-sikkerhetsnøkkelen er nå til salgs i Google Store.
Jeg er ikke det jeg vil kalle en veldig viktig person. Jeg ser fortsatt på meg selv som en slags journalist (og det er det som står på universitetsgraden min), men jeg vil ikke si at jeg praktiserer det på den måten jeg gjorde da jeg laget aviser. Jeg er heller verken aktivist, bedriftsleder eller deltar i et politisk kampanjeteam.
Er jeg virkelig en kandidat for Googles program for avansert beskyttelse? Trenger jeg virkelig den sterkeste kontosikkerheten Google tilbyr offentlig?
Jeg svarer på det om et minutt. Men først skal jeg definere hva jeg tror jeg er i disse dager: Jeg nærmer meg middelalderen mens jeg ser døtrene mine begynne livet på nettet, og jeg er like overbevist som alltid om at Internett er iboende bakvendt og ødelagt, og vi alle må ta vår nettsikkerhet mer seriøst. (Det vil si hvis vi tenker på det i det hele tatt.)
Spørsmålet du må stille deg selv er hvorfor vil du ikke beskytte ditt nettliv så godt du kan.
To-faktor sikkerhet bør være obligatorisk. Hvis en tjeneste ikke tilbyr den, bør du sannsynligvis ikke bruke den tjenesten. Men alle tofaktorordninger er ikke skapt like. Engangspassord sendt via SMS kan avskjæres av en bestemt angriper. Programvarebaserte tokens er bedre, men ikke ufeilbarlige. Enda bedre er fysiske maskinvarenøkler. En fysisk nøkkel som du kobler til en datamaskin via USB, eller via NFC eller Bluetooth, som du kobler til en konto. Har du ikke nøkkelen? Du kommer ikke inn.
Dette er alt en del av FIDO-alliansen — «verdens største økosystem for standardbasert, interoperabel autentisering» — og U2F, «Universal 2-Factor»-opplevelsen født fra FIDO. Du kan i utgangspunktet tenke på U2F og 2FA som det samme, og FIDO er gruppen som får standarden til å skje, med folk fra Google, Microsoft, Lenovo og Amazon (blant andre) i styret.
Abonner på Modern Dad på YouTube!
Det grunnleggende om Advanced Protection-programmet
Fysiske maskinvarenøkler har eksistert som en annen form for autentisering i årevis, og de har vært et sikkerhetsalternativ for Google-kontoer i en stund.
Googles Advanced Protection Program gjør dem til en obligatorisk mekanisme for pålogging, og det gjør dem til det eneste 2FA-alternativet. Du vil fortsatt ha Google-passordet ditt, og nå må du bruke en fysisk maskinvarenøkkel sammen med det passordet for å få tilgang til kontoen din. Ingen flere SMS-koder. Ikke mer Google Authenticator-appen. Ingen telefonsamtaler. Det er passord-og-nøkkel, eller du kommer ikke inn.
Så enkelt er det egentlig. Men Google går litt lenger. Du vil fortsatt kunne logge på nettsteder med Google-kontoen din. Men apper som kan få tilgang til Gmail- eller Google Disk-filer vil være sterkt begrenset. Slik uttrykker Google det:
For å beskytte deg tillater Avansert beskyttelse bare Google-apper og utvalgte tredjepartsapper å få tilgang til e-postene og Disk-filene dine.
Som en avveining for denne skjerpede sikkerheten, kan funksjonaliteten til noen av appene dine bli påvirket. De fleste tredjepartsapper som krever tilgang til Gmail- eller Disk-dataene dine, for eksempel reisesporingsapper, vil ikke lenger ha tillatelse. Og du vil bare kunne bruke Chrome og Firefox for å få tilgang til de påloggede Google-tjenestene dine som Gmail eller Bilder.
Apples Mail-, Kalender- og Kontakter-apper vil fortsatt ha tilgang til Google-dataene dine som normalt.
Det vil sannsynligvis være det største hinderet du vil møte i daglig bruk.
Google kaster også ekstra veisperringer foran noen hvis de prøver å late som om de er deg og du er logget ut av kontoen din.
En vanlig måte hackere prøver å få tilgang til kontoen din på, er ved å utgi seg for deg og late som om de har blitt låst ute av kontoen din. For å gi deg den sterkeste beskyttelsen mot denne typen uredelig kontotilgang, legger Avansert beskyttelse til ekstra trinn for å bekrefte identiteten din under kontogjenopprettingsprosessen.
Hvis du noen gang mister tilgangen til kontoen din og begge sikkerhetsnøklene dine, vil disse ekstra bekreftelseskravene ta noen dager å gjenopprette tilgangen til kontoen din.
Det er ikke en jeg har måttet. erfaring ennå, men det høres ikke gøy ut.
De fleste av oss utenfor et sikkert arbeidsmiljø trenger ikke å bruke en fysisk nøkkel for å autentisere så ofte, så det er mer som en ekstremt sterk metode for beskyttelse.
Hvordan det er å bruke Google Advanced Protection Program
Først besøker du Googles nettsted for Advanced Protection Program. Du vil bli bedt om å ta et par U2F-nøkler. Tidligere anbefalte Google tredjepartsnøkler, noe som er greit. Men nå som Titan-nøklene er tilgjengelige i Google Store, er det like enkelt å ta dem. Måten du bruker dem på vil være nøyaktig den samme.
Når du har dem, vil du faktisk melde deg på tjenesten. Det vil slå på all beskyttelse – og det vil også logge deg ut av alt, av åpenbare grunner.
Så, det er på tide å logge på igjen. Eller ikke. Det er her ting blir litt interessant.
Jeg må nå bruke Gmail i en nettleser i stedet for i en wrapper som Mailplane eller Shift. Det har vært en liten irritasjon, men egentlig ikke en showstopper. (Helvete, det er en app mindre å kjøre i bakgrunnen.) Men det betyr også at Mac OS ikke lenger har tilgang til Gmail, heller. Det var faktisk litt overraskende, gitt hvor godt Advanced Protection-programmet fungerer med iOS via en hjelper “Smart Lock”-app. Kanskje det endrer seg på et tidspunkt. Men på den annen side ville jeg ikke byttet Gmail i en nettleser mot Apples Mail-app.
Google Smartlock-appen på iPhone X.
Å logge på telefonene igjen var enkelt nok. Til det brukte jeg min Bluetooth/USB-fob. Den jeg har hatt i en måned eller så nå lader via microUSB, noe som er litt irriterende. Men igjen, ikke en avtalebryter. Hvis jeg vil bruke den med en telefon, kobler jeg til via Bluetooth. Hvis jeg vil bruke den med en datamaskin, kobler jeg den til. Enkelt nok. Jeg har også brukt Yubikey Neo, som er USB-A og har NFC innebygd, og den fungerer utmerket også. Merk at hvis du bruker en iPhone, trenger du noe med Bluetooth, i det minste til NFC er offisielt åpnet i iOS 12.
Det tok hele 10 sekunder å logge på en Pixelbook. Skriv inn passordet mitt, plugg inn en nøkkel og autentiser, så er jeg i gang. (Selv om du virkelig bruker en Chromebook og virkelig bruker Avansert beskyttelse, vil du sørge for at du har implementert annen grunnleggende påloggingssikkerhet, slik at noen ikke bare kan åpne tingen og begynne å bruke den. Samme som alle andre annen bærbar datamaskin, egentlig.)
Den største hikken for meg har vært med NVIDIA Shield TV. (Når du blir logget ut av alt, blir du logget ut av alt.) Du skulle tro at du kunne logge på akkurat som en Android-telefon. (Fordi det tross alt er en Android-plattform.) Men uansett grunn fungerer det bare ikke, det samme som om du prøvde å logge på med en annen upålitelig tredjepartskilde.
Utover det, ting har stort sett vært sømløst. Det er ikke slik at jeg må logge inn på kontoen min hver dag. (Selv om det i enkelte forretningsmiljøer er akkurat det denne fysiske nøkkelordningen er flott for.)
Hvis jeg trenger å logge på en ny enhet et sted, må jeg bare sørge for at jeg har nøkkelen på meg. Så jeg har en på nøklene mine, og en backup på et trygt sted. (Nei, jeg forteller deg ikke hvor.)
Forresten: Du kan avregistrere deg fra Google Advanced Protection-programmet hvis du bare ikke kan leve med det. Men jeg har ikke følt den trangen i det hele tatt. Du kan også når som helst avmelde nøkler fra en hvilken som helst tjeneste – du må bare huske hvilke tjenester du bruker en nøkkel med. (Eller du kan alltids bare ødelegge en nøkkel hvis du er ferdig med den.)
Det er ingen enkelt perfekt nøkkel for alle — det avhenger veldig av hvilke enheter du trenger for å autentisere.
Hvilken U2F-nøkkel er best for avansert beskyttelse?
Her kommer ting virkelig ned til din egen situasjon. Du kan få en rett USB-A-nøkkel. Du kan få en USB-C-nøkkel. Du kan få en nanonøkkel (USB-A eller USB-C) som bor i den bærbare datamaskinen mesteparten av tiden, men som ikke er i veien (utenfor å ta opp en port). Du kan få noe med Bluetooth eller NFC.
Du trenger ikke bruke Googles Titan-sikkerhetsnøkkel hvis noe annet vil fungere bedre for deg.
(En merknad om det: USB-modellen til Googles Titan-sikkerhetsnøkkel inkluderer NFC, men den vil ikke fungere ved lansering. Det vil kreve en bak-kulissene-oppdatering på telefonen din. Andre maskinvarenøkler håndterer NFC helt fint, men hvis du må ha det rett dette sekundet .)
Alt avhenger av hvor ofte du trenger å logge på det du trenger å logge på, og hvilken type enhet du bruker. Hvis virksomheten din krever daglig autorisasjon, men på en pålitelig datamaskin (f.eks. bak en haug med låste dører), så er kanskje en USB-A nano-nøkkel veien å gå. Hvis du, som meg, ikke trenger å logge på veldig ofte, men fortsatt vil ha alt Avansert beskyttelse tilbyr, er noe større kanskje ikke forferdelig. Hvis du har en USB-C bærbar PC og USB-C telefon, vel, det gjør den avgjørelsen enda enklere. Det kommer til å variere avhengig av hva du bruker.
Og du trenger ikke nødvendigvis Googles Titan-nøkkel heller. De fungerer nøyaktig det samme som andre U2F-nøkler – bare disse har Googles makt bak seg, og kontrollerer fastvaren som er inni. (Og det er et godt salgsargument.) Og i motsetning til andre nøkler, som kan manipuleres av en IT-avdeling, er fastvaren fullstendig låst. Du kommer til å bruke disse slik Google har tenkt.
Google Titan-nøkkelen er utstyrt med NFC, men det vil kreve en bakgrunnsoppdatering før det fungerer med Android-telefoner.
Så er Googles avanserte beskyttelsesprogram det rette for deg ou?
Det er en av de tingene jeg ikke kan svare på for deg.
Det avanserte beskyttelsesprogrammet er litt overkill, men det er også den riktige måten å gjøre sikkerhet på.
På den ene siden vil jeg si ja, det er det. Jeg har funnet at avveiningen mellom sikkerhet og irritasjon er minimal. Det kommer ikke til å erstatte SMS-koder og programvarebaserte tokens fullstendig, selv om det ville vært fint om det gjorde det. Det enkle faktum er at ikke nok tjenester bruker maskinvarenøkler. (Og noen tillater dem bare som sekundære 2FA-metoder.) Gå til twofactorauth.org for å finne ut om favoritttjenesten din bruker dem.
Og jeg er veldig nær å sette min datterens konto på den. (Hvis jeg ikke allerede har gjort det, for nå som jeg skriver dette …)
Jeg har måttet hjelpe for mange familiemedlemmer med å få tilbake kontoer før. Det er rett og slett for lett å ved et uhell klikke på lenker som aldri burde vært klikket på. Det skjer med de beste av oss.
Det vi trenger er sterkere back-end-støtte for å gå sammen med kunnskapen om at internett er baklengs og ødelagt, og vi må være mer årvåkne.
< p>Google Advanced Protection gir denne støtten.
Det er bare opp til oss å bruke det. Og jeg slår den ikke av.