您的位置:首页 >科技 >

Google拥有保证您安全的关键 但您不需要它

2019-02-23 15:21:01来源:

谷歌有效地终止了对其员工的网络钓鱼攻击,但其方法并不是每个人的最佳解决方案。Google的帐户安全团队的Guemmy Kim解释道。

如果人们不使用它,创建一个完美的解决方案并不重要。这是安全方面的根本冲突,而Google的帐户安全团队的产品管理负责人Guemmy Kim非常了解。

在2018年7月,谷歌宣布它通过部署简单的硬件安全密钥有效地结束了对其员工的网络钓鱼攻击。随后宣布普通消费者可以通过其高级保护计划获得相同的功能,以及他们自己的谷歌品牌安全密钥。但是,虽然这一切都很有效,但实际上并不适合所有人,Kim说。

先进保护的承诺

当谷歌在2017年宣布高级保护时,这是一个奇怪的功能。它不是针对使用Google处理电子邮件和其他办公应用的商家或G-Suite用户。相反,它针对的是个人用户帐户,因为他们通常是风险最高的用户。政治家,记者,商界领袖,名人等等都是那些可能被资金充足且有决定的攻击者专门定位的人。

Kim解释说,大多数非知名人士将成为自动攻击的目标。这些可能有一定程度的定制,但主要是在黑暗中射击,大量射击的目标与坏人可以管理的目标一样多。高级保护绝对可以抵御这类攻击,但其主要目标是在考虑特定目标的情况下抵御坏人。

这很重要。在安全方面,我们通常会告诉人们,如果一个坏人想要专门追捕你,他们最终会成功。大多数安全预防措施旨在阻止大规模攻击,并增加攻击者实现其目标所需的时间,金钱或工作成本。当攻击者有一个特定的人时,特别是当那些攻击者得到民族国家的金库支持时,这就会崩溃。

“对于目标明确的人,你会看到自动化,但你也看到手册,”金说。这些攻击更具动态性,并且可以在攻击者遇到障碍时改变路线。越来越多的低成本且易于使用的工具也为攻击者提供了帮助。“人们正在分享知识 - 如果你愿意的话,一个有用的社区,攻击者,”金说。

在复杂的针对性攻击中,您可能会看到密码网上诱骗,但您也可能遇到专门针对您的恶意应用。或恶意OAUTH攻击,它试图诱骗您授予第三方访问您帐户的权限。访问帐户的这些替代方法是Kim认为非常重要的。她说:“安全不只是身份验证,而只是进入帐户的前门。”

与Google Advanced Protection最明显的区别在于它要求您使用硬件安全密钥,如YubiKey或Google 的Titan Security Key Bundle。输入密码后,您将使用密钥作为第二次身份验证的一部分。

您可能听说过这称为双因素身份验证或2FA。当你使用两种可能的三种认证方法时:你知道什么,你是什么,你有什么。密码是您所知道的,并且您拥有硬件安全密钥。

如果丢失安全密钥会怎样?Kim证实,由于你丢失了2FA标识符而被锁定是一个真正的问题。这就是高级保护要求用户注册两个安全密钥的原因:一个用于日常使用,另一个安全存储作为备份。

Kim说,安全密钥是保护帐户的最佳方式。“如果人们无法进入前门,他们会通过帐户恢复进入后门。” 当您点击忘记我的密码选项时,通常会使用通过电子邮件或其他方法发送给您的说明更改您的登录凭据。但高级保护用户必须在帐户恢复期间使用其安全密钥,从而有效地消除了这种途径。

在后门被阻止,攻击者可能会尝试侧窗,Kim说这是OAUTH请求。当第三方应用程序要求访问您帐户的某些部分时。Advanced Protection通过限制第三方对敏感数据的访问来封锁OAUTH请求。该服务还提供Kim所谓的“更深层次的Gmail扫描”,以及确保帐户保持安全的其他措施。

这一切都很好,但Kim强调,目标攻击的一个标志是动态变化。“高级保护的第二大承诺是,它是一个计划,我们将继续发展,”金说。“我们需要保持领先于这条曲线。”

Kim解释说,Google处于良好的发展阶段。“我们保护的大多数人都不是安全专家,但谷歌是。我们保护着全世界成千上万的高度针对性的人,所以我们看到了那些先进的技术。” 高级保护只会随着时间的推移变得更强。

主要钥匙

当Google宣布已向所有员工推出硬件安全密钥时,考虑到该公司已经以Google身份验证器的形式提供强大的2FA服务,这有点令人惊讶。此应用程序每隔30秒左右创建一个新的六位数代码,您在密码后输入第二个身份验证器。

Android上的Google身份验证器

但这还不够好。“在一天结束时,任何取决于用户知道的东西都可以被钓鱼,”金说。例如,攻击者可以创建网络钓鱼页面以获取通过SMS发送的登录代码或拦截代码。甚至备份代码,由帐户生成一次并由用户保存为用于重新获得对锁定帐户的控制的故障保护,也可以被钓鱼。

Kim承认,虽然大多数人可能永远不会成为备份代码网络钓鱼的目标,但安全密钥可以解决网络钓鱼问题。由于密钥具有物理硬件元素,因此它们可以加密地与服务通信并进行验证。

密钥本身也可以抵御攻击和篡改。“你不能真的搞砸它。它不可更新[所以]你不能真正妥协这个钥匙。”

通过创建自己的密钥,Google创建了一个最适合其用户的设备。“我们希望与供应商密切合作开发它,但后来添加了谷歌的秘密酱,”金说,拒绝披露究竟是什么秘密酱。

但这不适合所有人

因此,一旦您有效地消除了帐户接管并构建了一个易于部署的工具,您可能会认为下一步是将其推广到所有用户,无处不在。毕竟,谷歌负责超过15亿活跃的Gmail帐户,而且不包括其他服务的星座。但金说,这实际上并不是解决问题的最佳方法。

“作为一个完整的帐户安全计划,我们正在考虑如何保护我们庞大的数十亿用户用户群,”Kim解释说。问题是很多这些解决方案不能以同样的方式应用于所有这些用户。这需要Kim及其团队询问“我们想要保护的受众群体或用户群体是什么”。