目录:
我不是我称之为非常重要的人物。 我仍然认为自己是各种各样的记者(这是我的大学学位),但我不会说我按照报纸的方式来练习。 我既不是活动家,商业领袖,也不是政治竞选团队。
我真的是Google高级保护计划的候选人吗? 我真的需要Google公开提供最强大的帐户安全保障吗?
我会在一分钟内回答。 但首先,我会定义我现在认为的样子:我正在接近中年,同时看着我的女儿开始他们的在线生活,我一如既往地坚信互联网本身就是倒退和破碎,我们都需要更认真地对待我们的在线安全性。 (也就是说,如果我们考虑它的话。)
你必须问自己的问题是,为什么你不想尽可能地保护你的在线生活。
双因素安全应该是强制性的。 如果服务不提供,您可能不应该使用该服务。 但是所有双因素方案都不是平等的。 SMS发送的一次性密码可被确定的攻击者拦截。 基于软件的令牌更好,但不是绝对可靠的。 更好的是物理硬件密钥。 您通过USB或NFC或蓝牙连接到计算机的物理密钥。 没钥匙? 你没进来。
这是FIDO联盟的所有部分 - “世界上最大的基于标准,可互操作认证的生态系统” - 以及U2F,FIDO诞生的“通用双因素”体验。 你基本上可以把U2F和2FA视为同一个东西,而FIDO就是让这个标准发生的群体,来自谷歌,微软,联想和亚马逊(以及其他人)的董事会。
在YouTube上订阅现代爸爸!
高级保护计划的基础知识
多年来,物理硬件密钥作为第二种身份验证形式存在,并且它们已成为Google帐户的安全选项已有一段时间了。
Google的高级保护计划使其成为登录的强制机制,并使其成为 唯一的 2FA选项。 您仍然拥有自己的Google密码,现在您必须使用物理硬件密钥和该密码来访问您的帐户。 没有更多短信代码。 没有更多Google身份验证器应用。 没有电话。 这是密码和密钥,或者你没有进入。
就这么简单,真的。 但谷歌确实走得更远。 您仍然可以使用自己的Google帐户登录网站。 但是,可以访问Gmail或Google云端硬盘文件的应用将受到严重限制。 以下是谷歌的说法:
为了保护您,Advanced Protection仅允许Google应用和所选第三方应用访问您的电子邮件和云端硬盘文件。
作为加强安全性的权衡,您的某些应用的功能可能会受到影响。 大多数需要访问您的Gmail或云端硬盘数据的第三方应用程序(例如旅行跟踪应用)将不再拥有权限。 而且您只能使用Chrome和Firefox访问已登录的Google服务,例如Gmail或照片。
Apple的邮件,日历和通讯录应用程序将继续正常访问您的Google数据。
这可能是你在日常使用中面临的最大障碍。
如果谷歌试图假装他们是你并且你已退出帐户,Google也会在某人面前施加额外的障碍。
黑客试图访问您帐户的常见方法是冒充您并假装他们已被锁定在您的帐户之外。 为了最有效地防止此类欺诈性帐户访问,Advanced Protection会在帐户恢复过程中添加额外的步骤来验证您的身份。
如果您无法访问自己的帐户和两个安全密钥,则这些已添加的验证要求将需要几天时间才能恢复对您帐户的访问权限。
这不是我必须经历的,但听起来并不好玩。
使用Google高级防护计划是什么感觉
首先,点击谷歌的高级保护计划网站。 你会被要求抓住几个U2F键。 以前谷歌推荐第三方密钥,这很好。 但是现在Google商店中提供了Titan键,它就像抓住它们一样容易。 你使用它们的方式将完全相同。
一旦拥有它们,您实际上将注册该服务。 这将打开所有的保护 - 并且它也会让你退出 所有的东西 ,原因显而易见。
所以,是时候重新登录了。或者不是。 这是事情变得有趣的地方。
我现在必须在Web浏览器中使用Gmail,而不是像Mailplane或Shift这样的包装器。 这是一个小麻烦,但不是真正的一个幻灯片。 (天啊,它在后台运行的应用程序少一个。)但这也意味着Mac OS也无法访问Gmail。 考虑到高级保护计划通过帮助“智能锁定”应用程序与iOS协同工作的程度,这实际上有点令人惊讶。 也许它会在某些时候发生变化。 但另一方面,我不会在Apple的Mail应用程序的浏览器中交换Gmail。
重新登录手机非常简单。 为此,我使用了我的蓝牙/ USB遥控器。 我已经有一个月左右的时间通过microUSB充电,这有点烦人。 但是,再次,不是一个交易破坏者。 如果我想用手机,我通过蓝牙连接。 如果我想在计算机上使用它,我将其插入。很容易。 我也使用了Yubikey Neo,它是USB-A并且内置了NFC,它也很棒。 请注意,如果您使用的是iPhone,则需要使用蓝牙功能,至少在iOS 12中正式打开NFC之前。
登录Pixelbook需要10秒钟。 输入我的密码,插入密钥并进行身份验证,然后我就开始运行了。 (虽然如果您 真的 使用Chromebook并且 真正 使用高级保护,那么您需要确保实施其他基本登录安全性,因此有人不能打开它并开始使用它。与任何相同其他笔记本电脑,真的。)
对我来说最大的打嗝是NVIDIA Shield TV。 (当您退出所有内容时,您将退出 所有内容 。)您认为您可以像Android手机一样登录。 (因为它毕竟是Android平台。)但无论出于何种原因,它都无法正常工作,就像您尝试使用其他一些不受信任的第三方来源登录一样。
除此之外,事情几乎是无缝的。 这不像我每天都必须登录我的帐户。 (虽然在某些商业环境中,这正是这种物理密钥方案的优点所在。)
如果我 确实 需要在某个地方登录新设备,我必须确保我的钥匙在我身上。 所以我把一个放在我的钥匙上,并在一个安全的地方备份。 (不,我不是告诉你在哪里。)
顺便说一下:如果你不能忍受它,你可以取消注册Google高级保护计划。 但我根本没有感受到这种冲动。 此外,您可以随时从任何服务取消注册密钥 - 您只需记住您使用密钥的服务。 (或者如果你完成了它,你总是可以销毁一把钥匙。)
哪种U2F密钥最适合高级保护?
在这里,事情真正归结为你自己的情况。 您可以获得一个直接的USB-A密钥。 您可以获得USB-C密钥。 您可以在大多数情况下获得一个纳米键(USB-A或USB-C),但不会妨碍(在占用端口之外)。 你可以通过蓝牙或NFC获得一些东西。
如果其他内容对您更有效,您不必使用Google的Titan安全密钥。
(但请注意:Google的Titan Security Key的USB型号包括NFC,但在发布时无法使用。这需要在手机上进行幕后更新。其他硬件键处理NFC就好了但是,如果你必须在第二次这样做。)
这一切都取决于您需要登录到登录所需的任何频率,以及您正在使用的设备类型。 如果您的企业需要每日授权,但是在可信任的计算机上(比如在一堆锁着的门后面),那么可能需要使用USB-A nano密钥。 如果像我一样,你不需要经常登录但仍然想要高级保护所提供的一切,那么更大的东西可能并不可怕。 如果你有USB-C笔记本电脑和USB-C手机,那么这个决定就更容易了。 它会根据您的使用情况而有所不同。
而且你也不一定需要谷歌的泰坦键。 它们的功能与其他U2F键完全相同 - 只有这些键背后有谷歌的力量,控制着里面的固件。 (这 是 一个很好的卖点。)与其他可以由IT部门操纵的密钥不同,固件完全被锁定。 您将按照Google的意图使用这些内容。
那么Google的高级保护计划对您来说是正确的吗?
这是我无法回答你的事情之一。
高级保护计划有点矫枉过正,但它也是做安全的正确方法。
一方面,我想说是的,确实如此。 我发现安全和烦恼之间的权衡是微不足道的。 在任何情况下,它都不会完全取代SMS代码和基于软件的令牌,但如果确实如此,它会很好。 简单的事实是服务使用硬件密钥不够。 (有些人只允许他们作为 辅助 2FA方法。)点击twofactorauth.org查看你最喜欢的服务是否使用它们。
我真的很接近把女儿的帐户放在上面。 (如果我还没有,因为现在我正在写这个…)
我以前必须帮助太多家庭成员收回帐户。 偶然点击永远不应该点击的链接太容易了。 它发生在我们最好的人身上。
我们需要的是更强大的后端支持,以配合互联网倒退和破坏的知识,我们必须更加警惕。
Google Advanced Protection提供了这种支持。
这取决于我们使用它。 而且我不会把它关掉。
