Índice:
- Noções básicas do Programa de Proteção Avançada
- Como é usar o Programa de proteção avançada do Google
- Qual chave U2F é a melhor para proteção avançada?
- Então, o Programa de proteção avançada do Google é a coisa certa para você?
Eu não sou o que eu chamaria de pessoa muito importante. Ainda me considero uma espécie de jornalista (e é o que está no meu diploma universitário), mas não diria que pratico da mesma maneira que pratiquei quando escrevia jornais. Também não sou ativista, líder de negócios ou faço parte de uma equipe de campanha política.
Sou realmente um candidato ao Programa de proteção avançada do Google? Eu realmente preciso da segurança mais forte da conta que o Google oferece publicamente?
Eu vou responder isso em um minuto. Mas primeiro, definirei o que penso que sou hoje em dia: estou chegando à meia-idade enquanto assisto minhas filhas começarem suas vidas on-line, e estou tão convencido quanto sempre que a Internet é inerentemente invertida e quebrada, e todos nós precisamos levar nossa segurança online mais a sério. (Ou seja, se estamos pensando sobre isso.)
A pergunta que você deve fazer a si mesmo é por que não deseja proteger sua vida on-line da melhor maneira possível.
A segurança de dois fatores deve ser obrigatória. Se um serviço não o fornecer, você provavelmente não deve usá-lo. Mas todos os esquemas de dois fatores não são criados iguais. Senhas únicas enviadas por SMS podem ser interceptadas por um invasor determinado. Os tokens baseados em software são melhores, mas não infalíveis. Melhor ainda são as chaves físicas de hardware. Uma chave física que você conecta a um computador via USB, NFC ou Bluetooth e que se conecta a uma conta. Não tem a chave? Você não está entrando.
Isso tudo faz parte da Aliança FIDO - "O Maior Ecossistema do Mundo para Autenticação Interoperável Baseada em Padrões" - e U2F, a experiência de "Fator Universal 2" nascida da FIDO. Você pode basicamente pensar em U2F e 2FA como a mesma coisa, e a FIDO é o grupo que faz o padrão acontecer, com pessoas do Google, Microsoft, Lenovo e Amazon (entre outros) em seu quadro.
Inscreva-se no Modern Dad no YouTube!
Noções básicas do Programa de Proteção Avançada
As chaves físicas de hardware existem como uma segunda forma de autenticação há anos e são uma opção de segurança para as contas do Google há algum tempo.
O Programa de proteção avançada do Google os torna um mecanismo obrigatório de login e a única opção 2FA. Você ainda terá sua senha do Google e agora precisará usar uma chave física de hardware em conjunto com essa senha para acessar sua conta. Não há mais códigos SMS. Não há mais aplicativo Google Authenticator. Sem telefonemas. É senha e chave, ou você não está entrando.
É simples assim, realmente. Mas o Google vai um pouco mais longe. Você ainda poderá fazer login em sites com sua conta do Google. Mas os aplicativos que podem acessar os arquivos do Gmail ou do Google Drive serão severamente limitados. Veja como o Google coloca:
Para ajudar a protegê-lo, a Proteção Avançada permite que apenas aplicativos do Google e selecione aplicativos de terceiros acessem seus e-mails e arquivos do Drive.
Como compensação por essa segurança reforçada, a funcionalidade de alguns de seus aplicativos pode ser afetada. A maioria dos aplicativos de terceiros que exigem acesso aos dados do Gmail ou do Drive, como aplicativos de rastreamento de viagens, não terá mais permissão. E você só poderá usar o Chrome e o Firefox para acessar seus serviços do Google conectados como Gmail ou Fotos.
Os aplicativos Mail, Calendário e Contatos da Apple continuarão sendo capazes de acessar seus dados do Google normalmente.
Provavelmente, esse será o maior obstáculo que você enfrentará no dia-a-dia.
O Google também lança barreiras extras na frente de alguém, se ele tentar fingir que é você e você sair da sua conta.
Uma maneira comum de os hackers tentarem acessar sua conta é se passar por você e fingir que eles foram bloqueados. Para oferecer a proteção mais forte contra esse tipo de acesso fraudulento à conta, a Proteção Avançada adiciona etapas extras para verificar sua identidade durante o processo de recuperação da conta.
Se você perder o acesso à sua conta e a ambas as chaves de segurança, esses requisitos de verificação adicionais levarão alguns dias para restaurar o acesso à sua conta.
Ainda não tive essa experiência, mas não parece divertido.
Como é usar o Programa de proteção avançada do Google
Primeiro, acesse o site do Programa de proteção avançada do Google. Você será instruído a pegar algumas chaves U2F. Anteriormente, o Google recomendava chaves de terceiros, o que é bom. Mas agora que as chaves do Titan estão disponíveis na Google Store, é fácil pegá-las. A maneira como você os usa será exatamente a mesma.
Depois de tê-los, você realmente se inscreverá no serviço. Isso ativará todas as proteções - e também desconectará você de tudo, por razões óbvias.
Então, é hora de entrar novamente. Ou não. É aqui que as coisas ficam um pouco interessantes.
Agora eu tenho que usar o Gmail em um navegador da web em vez de em um invólucro como o Mailplane ou o Shift. Isso tem sido um pequeno aborrecimento, mas não é realmente um empecilho. (Inferno, é um aplicativo a menos para ser executado em segundo plano.) Mas isso também significa que o Mac OS não tem mais acesso ao Gmail. Na verdade, isso foi um pouco surpreendente, dado o quão bem o Programa de Proteção Avançada funciona com o iOS por meio de um aplicativo auxiliar "Smart Lock". Talvez isso mude em algum momento. Mas, por outro lado, eu não trocaria o Gmail em um navegador pelo aplicativo Mail da Apple.
Voltar a entrar nos telefones era fácil. Para isso, usei meu fob Bluetooth / USB. O que eu tenho há um mês ou mais agora cobra via microUSB, o que é um pouco chato. Mas, novamente, não é um rompedor de acordos. Se eu quiser usá-lo com um telefone, eu conecto via Bluetooth. Se eu quiser usá-lo em um computador, conecto-o. Fácil o suficiente. Também usei o Yubikey Neo, que é USB-A e possui NFC embutido, e funciona muito bem também. Observe que, se você estiver usando um iPhone, precisará de algo com Bluetooth, pelo menos até que a NFC seja oficialmente aberta no iOS 12.
O login em um Pixelbook levou 10 segundos. Digite minha senha, conecte uma chave e autentique-a, e estou em funcionamento. (Embora você esteja realmente usando um Chromebook e realmente usando a Proteção Avançada, verifique se há outra segurança básica de logon implementada, para que alguém não possa simplesmente abrir a coisa e começar a usá-la. outro laptop, na verdade.)
O maior soluço para mim foi com a TV NVIDIA Shield. (Quando você se desconecta de tudo, se desconecta de tudo.) Você pensaria que seria capaz de se conectar como um telefone Android. (Porque é uma plataforma Android, afinal.) Mas, por qualquer motivo, simplesmente não funciona, como se você tentasse fazer login com outra fonte de terceiros não confiável.
Além disso, as coisas praticamente foram perfeitas. Não é como se eu tivesse que fazer login na minha conta todos os dias. (Embora em alguns ambientes de negócios, é exatamente para isso que serve esse esquema de chaves físicas.)
Se eu precisar fazer login em um novo dispositivo em algum lugar, só preciso garantir que tenho minha chave. Portanto, mantenho um em minhas chaves e um backup em um local seguro. (Não, não estou lhe dizendo onde.)
A propósito: você pode cancelar a inscrição no Programa de proteção avançada do Google se não puder conviver com ele. Mas não senti esse desejo. Além disso, você pode cancelar o registro de chaves de qualquer serviço a qualquer momento - basta lembrar com quais serviços você usa uma chave. (Ou você sempre pode destruir uma chave, se tiver terminado.)
Qual chave U2F é a melhor para proteção avançada?
Aqui é onde as coisas realmente se resumem à sua própria situação. Você pode obter uma chave USB-A direta. Você pode obter uma chave USB-C. Você pode obter uma nano chave (USB-A ou USB-C) que mora no seu laptop a maior parte do tempo, mas não atrapalha (além de ocupar uma porta). Você pode obter algo com Bluetooth ou NFC.
Você não precisa usar a Chave de segurança Titan do Google se algo mais funcionar melhor para você.
(Observação: o modelo USB da Titan Security Key do Google inclui NFC, mas não funcionará no lançamento. Isso exigirá uma atualização dos bastidores do telefone. Outras chaves de hardware lidam com NFC muito bem, se você precisar acertar neste segundo.)
Tudo depende da frequência com que você precisa fazer login no que quer que seja e do tipo de dispositivo que está usando. Se sua empresa exige autorização diária, mas em um computador confiável (por exemplo, atrás de um monte de portas trancadas), talvez uma chave nano USB-A seja o caminho a seguir. Se, como eu, você não precisar fazer login com muita frequência, mas ainda desejar tudo o que a Proteção Avançada oferece, algo maior pode não ser horrível. Se você possui um laptop USB-C e um telefone USB-C, isso facilita ainda mais essa decisão. Vai variar dependendo do que você usa.
E você também não precisa necessariamente da chave Titan do Google. Eles funcionam exatamente da mesma forma que outras teclas U2F - somente essas têm o poder do Google por trás delas, controlando o firmware existente. (E esse é um bom ponto de venda.) E, ao contrário de outras chaves, que podem ser manipuladas por um departamento de TI, o firmware está totalmente bloqueado. Você os usará como pretendido pelo Google.
Então, o Programa de proteção avançada do Google é a coisa certa para você?
Essa é uma daquelas coisas que não posso responder por você.
O Advanced Protection Program é um pouco exagerado, mas também é o caminho certo para fazer segurança.
Por um lado, quero dizer que sim. Descobri que a troca entre segurança e aborrecimento é mínima. Ele não substituirá completamente os códigos SMS e os tokens baseados em software, apesar de que seria bom. O simples fato de não haver serviços suficientes usa chaves de hardware. (E alguns só os permitem como métodos 2FA secundários.) Acesse twofactorauth.org para descobrir se o seu serviço favorito os utiliza.
E estou muito perto de colocar a conta da minha filha nela. (Se ainda não o fiz, porque agora que estou escrevendo isso …)
Eu já tive que ajudar muitos membros da família a recuperar contas antes. É muito fácil clicar acidentalmente em links que nunca deveriam ter sido clicados. Isso acontece com o melhor de nós.
O que precisamos é de um suporte de back-end mais forte para acompanhar o conhecimento de que a Internet está invertida e quebrada e que precisamos estar mais vigilantes.
O Google Advanced Protection oferece esse suporte.
Depende de nós usá-lo. E não estou desligando.
