Inhaltsverzeichnis:
- Die Grundlagen des erweiterten Schutzprogramms
- Wie ist die Verwendung von Google Advanced Protection Program?
- Welcher U2F-Schlüssel eignet sich am besten für Advanced Protection?
- Ist das erweiterte Schutzprogramm von Google das Richtige für Sie?
Ich bin keine sehr wichtige Person. Ich betrachte mich immer noch als eine Art Journalist (und das ist mein College-Abschluss), aber ich würde nicht sagen, dass ich es so praktiziere, wie ich es damals gemacht habe, als ich Zeitungen gemacht habe. Ich bin weder Aktivist noch Wirtschaftsführer oder Mitglied eines politischen Kampagnenteams.
Bin ich wirklich ein Kandidat für das Advanced Protection Program von Google? Brauche ich wirklich die höchste Kontosicherheit, die Google öffentlich bietet?
Ich werde das gleich beantworten. Aber zuerst werde ich definieren, was ich denke, dass ich in diesen Tagen bin: Ich nähere mich dem mittleren Alter, während ich sehe, wie meine Töchter ihr Online-Leben beginnen, und ich bin nach wie vor davon überzeugt, dass das Internet von Natur aus rückständig und kaputt ist, und wir alle müssen unsere Online-Sicherheit ernst nehmen. (Das heißt, wenn wir überhaupt darüber nachdenken.)
Die Frage, die Sie sich stellen müssen, ist, warum Sie Ihr Online-Leben nicht so gut wie möglich schützen möchten.
Zwei-Faktor-Sicherheit sollte obligatorisch sein. Wenn ein Dienst es nicht bereitstellt, sollten Sie diesen Dienst wahrscheinlich nicht verwenden. Aber nicht alle Zwei-Faktor-Schemata sind gleich. Per SMS versendete Einmalpasswörter können von einem bestimmten Angreifer abgefangen werden. Software-basierte Token sind besser, aber nicht unfehlbar. Besser noch sind physische Hardwareschlüssel. Ein physischer Schlüssel, den Sie über USB oder über NFC oder Bluetooth an einen Computer anschließen und der mit einem Konto verbunden ist. Sie haben keinen Schlüssel? Du kommst nicht rein.
Dies alles ist Teil der FIDO-Allianz - dem "weltweit größten Ökosystem für standardbasierte, interoperable Authentifizierung" - und U2F, der "Universal 2-Factor" -Erfahrung, die aus FIDO hervorgegangen ist. Grundsätzlich können Sie sich U2F und 2FA als dasselbe vorstellen, und FIDO ist die Gruppe, die den Standard verwirklicht, mit Leuten von Google, Microsoft, Lenovo und Amazon (unter anderem) im Vorstand.
Abonniere Modern Dad auf YouTube!
Die Grundlagen des erweiterten Schutzprogramms
Physische Hardwareschlüssel gibt es schon seit Jahren als zweite Form der Authentifizierung und sie sind seit geraumer Zeit eine Sicherheitsoption für Google-Konten.
Das erweiterte Schutzprogramm von Google macht sie zu einem obligatorischen Anmeldemechanismus und zur einzigen 2FA-Option. Sie haben immer noch Ihr Google-Passwort und müssen jetzt einen physischen Hardwareschlüssel in Verbindung mit diesem Passwort verwenden, um auf Ihr Konto zuzugreifen. Keine SMS-Codes mehr. Keine Google Authenticator-App mehr. Keine Anrufe. Es ist ein Passwort und ein Schlüssel, oder Sie kommen nicht rein.
So einfach ist das wirklich. Aber Google geht noch ein bisschen weiter. Sie können sich weiterhin mit Ihrem Google-Konto bei Websites anmelden. Apps, die auf Google Mail- oder Google Drive-Dateien zugreifen können, sind jedoch stark eingeschränkt. So bringt es Google auf den Punkt:
Zum besseren Schutz lässt Advanced Protection nur Google Apps und ausgewählte Drittanbieter-Apps zu, um auf Ihre E-Mails und Drive-Dateien zuzugreifen.
Als Kompromiss für diese verschärfte Sicherheit kann die Funktionalität einiger Ihrer Apps beeinträchtigt sein. Die meisten Apps von Drittanbietern, die Zugriff auf Ihre Google Mail- oder Google Drive-Daten benötigen, z. Mit Chrome und Firefox können Sie nur auf Ihre angemeldeten Google-Dienste wie Google Mail oder Fotos zugreifen.
Apples Mail-, Kalender- und Kontakt-Apps können weiterhin wie gewohnt auf Ihre Google-Daten zugreifen.
Das wird wahrscheinlich die größte Hürde sein, der Sie im täglichen Gebrauch begegnen werden.
Google wirft außerdem zusätzliche Straßensperren vor jemanden, der vorgibt, Sie zu sein und sich von Ihrem Konto abgemeldet zu haben.
Häufig versuchen Hacker, auf Ihr Konto zuzugreifen, indem sie sich als Sie ausgeben und so tun, als wären sie für Ihr Konto gesperrt. Um Ihnen den bestmöglichen Schutz vor dieser Art von betrügerischem Kontozugriff zu bieten, fügt Advanced Protection zusätzliche Schritte hinzu, um Ihre Identität während des Kontowiederherstellungsprozesses zu überprüfen.
Wenn Sie jemals den Zugriff auf Ihr Konto und Ihre beiden Sicherheitsschlüssel verlieren, dauert es einige Tage, bis diese zusätzlichen Überprüfungsanforderungen den Zugriff auf Ihr Konto wiederherstellen.
Das habe ich noch nicht erlebt, aber es klingt nicht nach Spaß.
Wie ist die Verwendung von Google Advanced Protection Program?
Rufen Sie zunächst die Website des Advanced Protection Program von Google auf. Sie werden angewiesen, sich ein paar U2F-Schlüssel zu schnappen. Zuvor hat Google Schlüssel von Drittanbietern empfohlen, die in Ordnung sind. Aber jetzt, da die Titan-Schlüssel im Google Store verfügbar sind, ist es genauso einfach, sie zu greifen. Die Art und Weise, wie Sie sie verwenden, wird genau die gleiche sein.
Sobald Sie sie haben, werden Sie tatsächlich in den Dienst einschreiben. Dadurch werden alle Schutzfunktionen aktiviert - und Sie werden aus offensichtlichen Gründen auch von allem abgemeldet.
Also ist es Zeit, sich wieder anzumelden. Oder nicht. Hier wird es etwas interessanter.
Ich muss jetzt Google Mail in einem Webbrowser anstatt in einem Wrapper wie Mailplane oder Shift verwenden. Das war ein kleiner Ärger, aber kein wirklicher Showstopper. (Zum Teufel, es ist eine App weniger, die im Hintergrund ausgeführt wird.) Dies bedeutet jedoch auch, dass Mac OS nicht mehr auf Google Mail zugreifen kann. Das war ein wenig überraschend, da das Advanced Protection Program mit iOS über eine Hilfsprogramm-App "Smart Lock" funktioniert. Vielleicht ändert es sich irgendwann. Andererseits würde ich Google Mail nicht in einem Browser gegen Apples Mail-App eintauschen.
Das Zurückmelden in Handys war einfach genug. Dafür habe ich meinen Bluetooth / USB-Anhänger benutzt. Die, die ich seit ungefähr einem Monat habe, wird jetzt über microUSB aufgeladen, was ein wenig ärgerlich ist. Aber auch hier kein Deal-Breaker. Wenn ich es mit einem Telefon verwenden möchte, verbinde ich mich über Bluetooth. Wenn ich es mit einem Computer verwenden möchte, schließe ich es an. Einfach genug. Ich habe auch den Yubikey Neo verwendet, der über USB-A und NFC verfügt und auch hervorragend funktioniert. Beachten Sie, dass Sie, wenn Sie ein iPhone verwenden, etwas mit Bluetooth benötigen, zumindest bis NFC in iOS 12 offiziell geöffnet ist.
Das Einloggen in ein Pixelbook dauerte 10 Sekunden. Geben Sie mein Passwort ein, stecken Sie einen Schlüssel ein und authentifizieren Sie sich, und ich kann loslegen. (Wenn Sie wirklich ein Chromebook verwenden und wirklich Advanced Protection verwenden, sollten Sie sicherstellen, dass andere grundlegende Anmeldesicherheitsfunktionen implementiert sind, damit nicht einfach jemand das Ding öffnen und mit der Verwendung beginnen kann. Wie bei jedem anderen anderer Laptop, wirklich.)
Das größte Problem für mich war der NVIDIA Shield-Fernseher. (Wenn Sie von allem abgemeldet werden, werden Sie von allem abgemeldet.) Sie würden denken, Sie könnten sich wie bei einem Android-Telefon anmelden. (Weil es sich immerhin um eine Android-Plattform handelt.) Aber aus irgendeinem Grund funktioniert es einfach nicht, so als ob Sie versucht hätten, sich mit einer anderen nicht vertrauenswürdigen Quelle eines Drittanbieters anzumelden.
Darüber hinaus verliefen die Dinge nahezu nahtlos. Es ist nicht so, dass ich mich jeden Tag in mein Konto einloggen muss. (In einigen Geschäftsumgebungen eignet sich dieses physische Schlüsselschema genau dafür.)
Wenn ich mich irgendwo bei einem neuen Gerät anmelden muss, muss ich nur sicherstellen, dass ich meinen Schlüssel bei mir habe. Also habe ich einen auf meinen Schlüsseln und ein Backup an einem sicheren Ort. (Nein, ich sage dir nicht wo.)
Übrigens: Sie können sich vom Google Advanced Protection-Programm abmelden, wenn Sie damit nicht leben können. Aber ich habe diesen Drang überhaupt nicht gespürt. Außerdem können Sie die Registrierung von Schlüsseln für jeden Dienst jederzeit aufheben. Sie müssen sich nur merken, für welche Dienste Sie einen Schlüssel verwenden. (Oder Sie können immer nur einen Schlüssel zerstören, wenn Sie damit fertig sind.)
Welcher U2F-Schlüssel eignet sich am besten für Advanced Protection?
Hier kommt es wirklich auf Ihre Situation an. Sie können einen geraden USB-A-Schlüssel erhalten. Sie können einen USB-C-Schlüssel erhalten. Sie können einen Nano-Schlüssel (USB-A oder USB-C) erwerben, der die meiste Zeit in Ihrem Laptop steckt, aber nicht im Weg ist (außer wenn Sie einen Port belegen). Sie können etwas mit Bluetooth oder NFC bekommen.
Sie müssen den Titan-Sicherheitsschlüssel von Google nicht verwenden, wenn etwas anderes für Sie besser funktioniert.
(Ein Hinweis dazu: Das USB-Modell des Titan Security Key von Google enthält NFC, kann jedoch beim Start nicht verwendet werden. Dies erfordert eine Aktualisierung Ihres Telefons im Hintergrund. Bei anderen Hardwareschlüsseln ist NFC in Ordnung aber wenn du es in dieser Sekunde richtig haben musst.)
Es hängt davon ab, wie oft Sie sich bei dem Gerät anmelden müssen, bei dem Sie sich anmelden möchten, und welche Art von Gerät Sie verwenden. Wenn für Ihr Unternehmen eine tägliche Autorisierung erforderlich ist, jedoch an einem vertrauenswürdigen Computer (z. B. hinter einer Reihe von verschlossenen Türen), ist ein USB-A-Nano-Schlüssel möglicherweise die richtige Wahl. Wenn Sie sich, wie ich, nicht sehr oft anmelden müssen, aber dennoch alle Advanced Protection-Angebote nutzen möchten, ist etwas Größeres möglicherweise nicht so schlimm. Wenn Sie einen USB-C-Laptop und ein USB-C-Telefon haben, ist diese Entscheidung noch einfacher. Es wird variieren, je nachdem, was Sie verwenden.
Außerdem benötigen Sie nicht unbedingt den Titan-Schlüssel von Google. Sie funktionieren genauso wie andere U2F-Tasten - nur diese haben die Macht von Google und steuern die darin enthaltene Firmware. (Und das ist ein gutes Verkaufsargument.) Im Gegensatz zu anderen Schlüsseln, die von einer IT-Abteilung manipuliert werden können, ist die Firmware vollständig gesperrt. Sie verwenden diese wie von Google beabsichtigt.
Ist das erweiterte Schutzprogramm von Google das Richtige für Sie?
Das ist eines der Dinge, die ich für dich nicht beantworten kann.
Das Advanced Protection Program ist ein wenig übertrieben, aber es ist auch der richtige Weg, um Sicherheit zu gewährleisten.
Einerseits möchte ich ja sagen, das ist es. Ich habe festgestellt, dass der Kompromiss zwischen Sicherheit und Ärger minimal ist. Es wird SMS-Codes und softwarebasierte Token auf keinen Fall vollständig ersetzen, obwohl es schön wäre, wenn es so wäre. Die einfache Tatsache ist, dass nicht genug Dienste Hardwareschlüssel verwenden. (Und einige erlauben sie nur als sekundäre 2FA-Methoden.) Rufen Sie twofactorauth.org auf, um herauszufinden, ob Ihr Lieblingsdienst sie verwendet.
Und ich stehe kurz davor, das Konto meiner Tochter zu eröffnen. (Wenn ich es noch nicht getan habe, weil ich das jetzt schreibe …)
Ich musste schon zu vielen Familienmitgliedern helfen, ihre Konten zurückzufordern. Es ist einfach zu einfach, versehentlich auf Links zu klicken, auf die niemals geklickt werden sollte. Es passiert den Besten von uns.
Was wir brauchen, ist eine stärkere Back-End-Unterstützung, um mit dem Wissen einherzugehen, dass das Internet rückständig und kaputt ist und wir wachsamer sein müssen.
Google Advanced Protection bietet diese Unterstützung.
Es liegt nur an uns, es zu benutzen. Und ich schalte es nicht aus.
