Megerősített biztonságot kínál a Google
Nem egyszerű használni, de veszélyeztetett fiókoknál megérheti: kétfaktoros beléptetés, szigorított API-k és az elfelejtett jelszó sem könnyű támadási vektor. Cserébe szó szerint kulccsal nyílik a fiók.
Kimondottan a legnagyobb veszélynek kitett fiókokhoz kínál megerősített védelmet a Google - jelentette be a vállalat a héten. Az Advanced Protection Program azokat a felhasználókat szeretné megvédeni, amelyek rendszeresen célzott támogatások alatt vannak. A Google több példát is mond: ilyen védelem ajánlott például a különböző a pártok kampánystábjainak, kényes adatokkal és forrásokkal dolgozó újságíróknak vagy épp problémás kapcsolatban élőknek. Ami a csoportot összeköti: rendszeresen vannak kitéve célzott, kimondottan az áldozatra szabott támadásnak.
Kényelem vs biztonság
A kényelem és a biztonság sokszor egy csúszka két végpontját jelenti, ebben az APP néhány fokozattal a biztonság felé mozdul az alapértelmezett Google-fiókhoz képest - cserébe viszont kevésbé egyszerű a használata.
Jelenleg az APP három különböző védelmet kínál, de a Google ígérete szerint a jövőben további megoldások is élesednek majd. Az első a phishing támadások elleni védelem: ehhez kétfaktoros beléptetést használ a rendszer, ráadásul dedikált, hardveres tokennel. Ez azt is jelenti, hogy az APP aktiválásához némi beruházásra van szükség, be kell szerezni egy U2F (Universal 2nd Factor) protokollal kompatibilis eszközt. Ez lehet USB-alapú vagy bluetoothos, a lényeg, hogy a rendszer nem fog beengedni addig, míg ez nincs a kezünkben. A phishing támadás szerzője így hiába szerzi meg a fiókhoz tartozó jelszót, a második faktor hiányában nem tud hozzáférni a fiókhoz.
Ilyen kulcs nyitja az APP-védett fiókokat.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A második védelmi szint a nem szándékos megosztást igyekszik kivédeni. A Google a saját SaaS-szolgáltatásaihoz (Drive, Gmail, stb.) komplex API-t kínál külső fejlesztőknek, amelyen keresztül saját megoldásokat építhetnek a cég platformjára. Ez azonban azt is jelenti, hogy ha a felhasználó ezt leokézza, akkor hozzáférést tud adni egy támadónak a fiók tartalmához - akár nem szándékosan is. Az APP-t bekapcsolva ezeket az API-kat a Google korlátozza, és csak szigorú minősítésen átmenő fejlesztőknek adja meg a hozzáférést ilyenkor.
A harmadik védelem pedig az elveszített jelszó/token esetén aktivált folyamatot módosítja. A rendes Google-fiókok esetében is több lépcsős a (legitim) hozzáférés helyreállítása, az APP-s fiókoknál azonban még sokkal szigorúbb a folyamat, további ellenőrzésekkel és biztonsági kérdésekkel. Ez azt hivatott megakadályozni, hogy a kétfaktoros beléptetést ne tudják a támadók így megkerülni - például egy másodlagos email-cím jelszavának megszerzésével.
A megoldást egy ideje már teszteli a Google újságírókkal és a célcsoport más tagjaival, a visszajelzések alapján pedig sokat finomodott a rendszer működése. Az APP immár széles körben elérhető opció minden Google-fiókhoz. Egyetlen kikötés, hogy Chrome használata szükséges hozzá, mivel ez támogatja a szükséges U2F protokollt - de a támogatott böngészők köre bővül majd, ahogy mások is beépítik a támogatást.