Hoe het is om te leven onder het geavanceerde beveiligingsprogramma van Google

De auteur en de nieuwe Google Titan-beveiligingssleutel, die de U2F-protocollen gebruikt die door de FIDO Alliance zijn ontwikkeld om een ​​veilige tweede factor voor online authenticatie te bieden. De Titan-beveiligingssleutel is nu te koop in de Google Store.

Ik ben niet wat ik een heel belangrijk persoon zou noemen. Ik beschouw mezelf nog steeds als een soort journalist (en dat is wat er op mijn hbo-opleiding staat), maar ik zou niet zeggen dat ik het op dezelfde manier beoefende als toen ik kranten maakte. Ik ben ook geen activist, zakelijk leider of lid van een politiek campagneteam.

Ben ik echt een kandidaat voor het geavanceerde beveiligingsprogramma van Google? Heb ik echt de sterkste accountbeveiliging nodig die Google publiekelijk biedt?

Ik zal dat zo beantwoorden. Maar eerst zal ik definiëren wat ik tegenwoordig denk te zijn: ik nader de middelbare leeftijd terwijl ik kijk hoe mijn dochters hun online leven beginnen, en ik ben net zo overtuigd als altijd dat internet inherent achteruit en gebroken is, en we allemaal moeten onze online beveiliging serieuzer nemen. (Dat wil zeggen, als we er al over nadenken.)

De vraag die je jezelf moet stellen is waarom je je online leven niet zo goed mogelijk wilt beschermen.

Twee-factorbeveiliging moet verplicht zijn. Als een service deze niet biedt, moet u deze service waarschijnlijk niet gebruiken. Maar alle tweefactorschema's zijn niet hetzelfde. Eenmalige wachtwoorden verzonden via sms kunnen worden onderschept door een bepaalde aanvaller. Op software gebaseerde tokens zijn beter, maar niet onfeilbaar. Beter nog, zijn fysieke hardwaresleutels. Een fysieke sleutel die u via USB of via NFC of Bluetooth op een computer aansluit en waarmee u verbinding maakt met een account. Heb je de sleutel niet? Je komt er niet in.

Dit maakt allemaal deel uit van de FIDO Alliance - '' s werelds grootste ecosysteem voor op standaarden gebaseerde, interoperabele authenticatie '- en U2F, de "Universal 2-Factor" -ervaring geboren uit FIDO. Je kunt in principe U2F en 2FA als hetzelfde beschouwen, en FIDO is de groep die de standaard maakt, met mensen van onder andere Google, Microsoft, Lenovo en Amazon op het bord.

Abonneer je op Modern Dad op YouTube!

De basisprincipes van het Advanced Protection Program

Fysieke hardwaresleutels bestaan ​​al jaren als een tweede vorm van authenticatie en zijn al geruime tijd een beveiligingsoptie voor Google-accounts.

Dankzij het geavanceerde beveiligingsprogramma van Google zijn ze verplicht om in te loggen en zijn ze de enige 2FA-optie. Je hebt nog steeds je Google-wachtwoord en nu moet je een fysieke hardwaresleutel gebruiken in combinatie met dat wachtwoord om toegang te krijgen tot je account. Geen sms-codes meer. Geen Google Authenticator-app meer. Geen telefoontjes. Het is wachtwoord en sleutel, of je komt er niet in.

Zo simpel is het eigenlijk. Maar Google gaat nog een beetje verder. U kunt zich nog steeds aanmelden bij websites met uw Google-account. Maar apps die toegang hebben tot Gmail- of Google Drive-bestanden zullen ernstig worden beperkt. Hier is hoe Google het zegt:

Om u te helpen beschermen, staat geavanceerde bescherming alleen Google-apps toe en selecteert u apps van derden voor toegang tot uw e-mails en Drive-bestanden.

Als een afweging voor deze aangescherpte beveiliging kan de functionaliteit van sommige van uw apps worden beïnvloed. De meeste apps van derden die toegang tot uw Gmail- of Drive-gegevens vereisen, zoals apps voor het bijhouden van reizen, hebben geen toestemming meer. En u kunt Chrome en Firefox alleen gebruiken om toegang te krijgen tot uw ingelogde Google-services zoals Gmail of Foto's.

De apps Mail, Agenda en Contacten van Apple blijven gewoon toegang houden tot uw Google-gegevens.

Dat is waarschijnlijk de grootste hindernis waarmee u dagelijks te maken krijgt.

Google gooit ook extra wegversperringen voor iemand als ze proberen te doen alsof ze jou zijn en je bent uitgelogd van je account.

Een veelvoorkomende manier waarop hackers toegang proberen te krijgen tot uw account, is door u voor te doen en te doen alsof ze zijn geblokkeerd. Om u de beste bescherming te bieden tegen dit soort frauduleuze accounttoegang, voegt Advanced Protection extra stappen toe om uw identiteit te verifiëren tijdens het accountherstelproces.

Als u ooit de toegang tot uw account en beide beveiligingssleutels verliest, duurt het enkele dagen voordat de toegang tot uw account is hersteld.

Dat heb ik nog niet meegemaakt, maar het klinkt niet leuk.

De meesten van ons buiten een beveiligde werkomgeving hoeven geen fysieke sleutel te gebruiken om heel vaak te verifiëren, dus het is meer een extreem sterke beveiligingsmethode.

Hoe het is om Google Advanced Protection Program te gebruiken

Ga eerst naar de Google Advanced Protection Program-website. U wordt gevraagd om een ​​paar U2F-sleutels te pakken. Eerder adviseerde Google sleutels van derden, wat prima is. Maar nu de Titan-toetsen beschikbaar zijn in de Google Store, is het net zo gemakkelijk om ze te pakken. De manier waarop u ze gebruikt, is precies hetzelfde.

Zodra je ze hebt, zul je je daadwerkelijk aanmelden voor de dienst. Dat schakelt alle beveiligingen in - en het logt je ook uit bij alles, om voor de hand liggende redenen.

Het is dus tijd om weer in te loggen. Of niet. Dit is waar dingen een beetje interessant worden.

Ik moet Gmail nu in een webbrowser gebruiken in plaats van in een wrapper zoals Mailplane of Shift. Dat is een kleine ergernis geweest, maar niet echt een showstopper. (Het is een app minder om op de achtergrond te worden uitgevoerd.) Maar het betekent ook dat Mac OS ook geen toegang meer heeft tot Gmail. Dat was eigenlijk een beetje verrassend, gezien hoe goed het Advanced Protection Program werkt met iOS via een helper-app "Smart Lock". Misschien zal het op een gegeven moment veranderen. Maar aan de andere kant zou ik Gmail niet in een browser inruilen voor de Mail-app van Apple.

De Google Smartlock-app op iPhone X.

Inloggen op telefoons was eenvoudig genoeg. Daarvoor gebruikte ik mijn Bluetooth / USB-fob. Degene die ik een maand of zo heb gehad, laadt nu via microUSB, wat een beetje vervelend is. Maar nogmaals, geen dealbreaker. Als ik het met een telefoon wil gebruiken, maak ik verbinding via Bluetooth. Als ik het met een computer wil gebruiken, sluit ik het aan. Gemakkelijk genoeg. Ik heb ook de Yubikey Neo gebruikt, die USB-A is en NFC heeft ingebouwd, en het werkt ook geweldig. Merk op dat als je een iPhone gebruikt, je iets nodig hebt met Bluetooth, tenminste totdat NFC officieel wordt geopend in iOS 12.

Aanmelden bij een Pixelbook duurde 10 seconden. Voer mijn wachtwoord in, sluit een sleutel aan en verifieer, en ik ben actief. (Maar als je echt een Chromebook gebruikt en echt Geavanceerde bescherming gebruikt, wil je zeker weten dat je andere elementaire inlogbeveiliging hebt geïmplementeerd, zodat iemand het ding niet zomaar kan openen en gebruiken. Hetzelfde als elke andere andere laptop eigenlijk.)

De grootste hik voor mij was de NVIDIA Shield TV. (Wanneer u bij alles bent uitgelogd, wordt u bij alles uitgelogd.) U zou denken dat u zich net als een Android-telefoon kunt aanmelden. (Omdat het tenslotte een Android-platform is.) Maar om welke reden dan ook, het werkt gewoon niet, net alsof u probeert in te loggen met een andere niet-vertrouwde externe bron.

Verder zijn de dingen vrijwel naadloos geweest. Het is niet alsof ik elke dag moet inloggen op mijn account. (Hoewel dit in sommige zakelijke omgevingen precies is waar dit fysieke sleutelschema geweldig voor is.)

Als ik ergens op een nieuw apparaat moet inloggen, moet ik ervoor zorgen dat ik mijn sleutel bij me heb. Dus ik bewaar er een op mijn sleutels en een back-up op een veilige plaats. (Nee, ik vertel je niet waar.)

Trouwens: u kunt zich uitschrijven voor het Google Advanced Protection Program als u er gewoon niet mee kunt leven. Maar die drang heb ik helemaal niet gevoeld. U kunt ook sleutels van elke service op elk gewenst moment uitschrijven - u moet gewoon onthouden met welke services u een sleutel gebruikt. (Of u kunt altijd een sleutel vernietigen als u hiermee klaar bent.)

Er is niet één perfecte sleutel voor iedereen - het zal erg afhangen van welke apparaten u moet authenticeren.

Welke U2F-sleutel is het beste voor geavanceerde bescherming?

Hier komt het echt op uw eigen situatie aan. Je kunt een rechte USB-A-sleutel krijgen. U kunt een USB-C-sleutel krijgen. Je kunt een nano-sleutel (USB-A of USB-C) krijgen die meestal in je laptop leeft, maar niet in de weg zit (zonder een poort in te nemen). Je kunt iets krijgen met Bluetooth of NFC.

U hoeft de Titan-beveiligingssleutel van Google niet te gebruiken als er iets anders voor u werkt.

(Een opmerking daarover: het USB-model van de Titan-beveiligingssleutel van Google bevat NFC, maar het werkt niet bij de lancering. Daarvoor is een update achter de schermen op uw telefoon nodig. Andere hardwaretoetsen kunnen prima met NFC omgaan, als je het echter meteen goed hebt.)

Het hangt allemaal af van hoe vaak u moet inloggen op wat u ook moet inloggen en van het soort apparaat dat u gebruikt. Als uw bedrijf dagelijkse autorisatie vereist, maar op een vertrouwde computer (bijvoorbeeld achter een aantal gesloten deuren), dan is misschien een USB-A-nanosleutel de juiste keuze. Als u, net als ik, niet vaak hoeft in te loggen maar toch alles wilt wat Advanced Protection biedt, is iets groters misschien niet zo erg. Als je een USB-C-laptop en een USB-C-telefoon hebt, maakt dat die beslissing nog eenvoudiger. Het zal variëren, afhankelijk van wat je gebruikt.

En u hebt ook niet noodzakelijk de Titan-sleutel van Google nodig. Ze werken exact hetzelfde als andere U2F-sleutels - alleen deze hebben de macht van Google achter zich en besturen de firmware die erin zit. (En dat is een goed verkoopargument.) En in tegenstelling tot andere sleutels, die kunnen worden gemanipuleerd door een IT-afdeling, is de firmware volledig vergrendeld. U zult deze gebruiken zoals Google bedoeld heeft.

De Google Titan-sleutel is uitgerust met NFC, maar het vereist een achtergrondupdate voordat het werkt met Android-telefoons.

Dus is het geavanceerde beveiligingsprogramma van Google het juiste voor u?

Dat is een van die dingen die ik niet voor je kan beantwoorden.

Het Advanced Protection Program is een beetje overdreven, maar het is ook de juiste manier om beveiliging te bieden.

Aan de ene kant wil ik ja zeggen, dat is het. Ik vond de afweging tussen veiligheid en ergernis minimaal. Het gaat in elk geval niet volledig de sms-codes en op software gebaseerde tokens vervangen, hoewel het leuk zou zijn als dat het geval was. Het simpele feit is dat niet genoeg services hardwaresleutels gebruiken. (En sommige staan ​​ze alleen toe als secundaire 2FA-methoden.) Ga naar twofactorauth.org om erachter te komen of uw favoriete service ze gebruikt.

En ik sta er heel dicht bij om het account van mijn dochter erop te zetten. (Als ik dat nog niet heb gedaan, want nu ik dit schrijf …)

Ik heb al te veel familieleden moeten helpen bij het terugvorderen van accounts. Het is gewoon te gemakkelijk om per ongeluk op links te klikken waarop nooit had moeten worden geklikt. Het overkomt ons het beste.

Wat we nodig hebben, is sterkere back-endondersteuning om mee te gaan met de wetenschap dat internet achteruit en gebroken is en dat we waakzamer moeten zijn.

Google Advanced Protection biedt die ondersteuning.

Het is aan ons om het te gebruiken. En ik zet het niet uit.