Сигурност или удобство? Кое от двете бихте избрали, когато става дума за онези онлайн-услуги, които ползвате всекидневно? Например, електронна поща, YouTube или външна памет за съхраняване на документи и снимки.
Повечето потребители вероятно биха предпочели максималното улеснение, защото просто нямат основателни причини да се поддават на излишна параноя. Това е и причината технологичните компании да се стремят да правят услугите си колкото се може "по-безболезнени" за масовите потребители, без да компрометират сигурността им.
Сега обаче Google прави ход към онези хора, които работят с чувствителна информация или са потенциален обект на хакерски атаки заради публичния си профил.
Компанията анонсира програмата Advanced Protection - допълнителна стъпка към системата за сигурност на Google-акаунтите, чиято цел е да предпазва клиентите от кражба на лични данни, атаки със зловреден софтуер за криптиране на файловете (подобни на WannaCry), слабости в защитата на Wi-Fi мрежите или други форми на нерегламентиран пробив.
Целевите потребители на Advanced Protection са мениджъри, политици, сътрудници на предизборни щабове, журналисти, обществени активисти или други хора, които държат да запазят кореспонденцията си в тайна и чиято позиция може да ги превърне в жертви на кибершпионаж или хакерски атаки.
Новата система на Google се фокусира върху три ключови точки.
На първо място - използва физически ключове за сигурност (U2F ключ), които помагат за защита срещу phishing-сайтове, подвеждащи потребителите да въведат сами личните си данни, като имитират log-in страниците на легитимни услуги.
На второ място - системата ограничава достъпа на външни приложения или сайтове към писмата и документите, съхранявани в Gmail или Google Drive на конкретния потребител.
И трето - Advanced Protection блокира възможността на злонамерени лица да влизат в профила ви без ваше знание. Вече няма да е достатъчно да помните само юзърнейм и парола, но и ще трябва да ползвате външно устройство за идентификация.
Въпросното устройство, или ключ за сигурност, представлява USB-флашка или безконтактен Bluetooth-донгъл. За да убедите Google, че сте истинският собственик на профила си, трябва да включите флашката към компютъра или мобилното си устройство и да натиснете един бутон.
Ако външен човек се опита да влезе в профила ви в Gmail без този ключ, достъпът му ще бъде автоматично блокиран - независимо че има правилния юзърнейм и парола.
Ако забравите паролата си или изгубите физическия си ключ, ще се наложи да преминете през доста по-сериозна проверка за самоличността, преди да си върнете достъпа до акаунта. Отново целта е да не се допуска пробив от трети лица, които се опитват да се представят за вас.
Системата изисква да имате два ключа - един с Bluetooth (за телефон, таблет, лаптоп и др.) и с USB (за PC). Google препоръчва използването на Feitian MultiPass Fido (за мобилни устройства) и Yubikey Fido U2F USB (за PC), като цените им варират около 18-20 долара през Amazon.
Ако вече разполагате с два съвместими ключа, спокойно можете да ги ползвате, без да се налага да купувате нови.
Как ключът предпазва от phishing-измами?
Двустепенната система за сигурност с изпращането на кодове за верификация, например, може да бъде преодоляна чрез "имитиращи" сайтове, които носят всички атрибути на нормалната log-in страница на акаунтите на Google, но на практика краде личните ви данни.
Ако разполагате с физически ключ обаче няма как да влезете в подправен сайт, защото устройството работи само с познати адреси.
Програмата Advanced Protection не е трудна за ползване, но определено изисква малко повече внимание от потребителя. На първо място: ще трябва да ползвате физическия ключ всеки път когато се опитате да влезете в мобилно приложение или сайт от групата на Google. Ако изгубите ключа си, може да ви отнеме поне няколко дни, докато си върнете достъпа до акаунта.
Системата за сигурност създава още едно ограничение: няма да можете да ползвате приложения от трети производители, които изискват достъп до Gmail или Google Drive. Например, ако ползвате Advanced Protection и сте потребител на Apple, фирмените приложения Mail, Contacts и Calendar върху iPhone или iPad няма да работят с услугите на Google, тоест - ще трябва да ползвате оригиналните еквивалентни приложения.
Трябва ли ви Advanced Protection?
Идеята на системата за сигурност е да предпази потребители от целенасочени атаки - т.е. ако сте редови гражданин или частно лице без достъп до чувствителна информация, едва ли ще имате необходимост от тройната защита на Google. Във всеки случай - нищо не ви пречи да се възползвате от нея, ако сте готови да отделите близо 60 лева за физическите ключове.
Дори без Advanced Protection, има доста други опции за по-висока онлайн-сигурност. Един от най-добрите варианти е да разрешите двустепенната верификация, която например може ви да изпраща sms с уникален код за валидиране при всяко влизане от чуждо IP. Имайте предвид, че това не е безупречен модел за безопасност - ако сте обект на злонамерена атака, е възможно извършителите й да прихващат и sms-комуникацията ви.
За всички останали случаи важи универсалното правило - използвайте различни пароли за всеки сайт.
