Immagine: Wikimedia
Se siete stati violati negli ultimi anni, le probabilità sono che è caduto per che perfettamente predisposto messaggio di phishing nella tua e-mail. Anche i più consapevoli le persone possono sbagliare, ma i dipendenti di Google hanno riferito ha avuto un perfetto record di sicurezza per più di un anno, grazie a una recente politica di richiedere l’utilizzo di fisica chiavi di sicurezza.
Krebs on Security segnala che nei primi mesi del 2017, Google ha iniziato a richiedere i suoi 85.000 dipendenti per l’utilizzo di una chiave di protezione dispositivo di gestire l’autenticazione a due fattori quando si accede a vari loro conti. Piuttosto che avere una sola password, o la ricezione di un codice di accesso secondario tramite messaggio di testo (o un app come Google Authenticator), i dipendenti dovuto usare una password tradizionale così come collega un dispositivo che solo lui possedeva. I risultati sono stati stellare. Dal report:
Un portavoce di Google ha detto le Chiavi di Sicurezza sono ora alla base di tutti gli account di accesso di Google.
“Abbiamo avuto segnalazioni o confermato conto acquisizioni dal momento che l’attuazione di chiavi di sicurezza di Google,” ha detto un portavoce. “Gli utenti, potrebbe essere richiesto di autenticarsi utilizzando la loro chiave di sicurezza per molte applicazioni diverse/motivi. Tutto dipende dalla sensibilità dell’app e il rischio che l’utente in quel momento.”
Un portavoce di Google ha confermato che la dichiarazione quando viene raggiunto da Gizmodo.
Ovviamente, i dipendenti di Google sono un buon bersaglio per gli hacker. Anche con successo di phishing a un basso livello operaio in grado di fornire abbastanza di accesso per entrare in sistemi sensibili o fornire un punto di partenza per la destinazione di un dipendente con un migliore accesso. Così, quando Google si dice resistito forse migliaia di attacchi più di un anno senza alcun incidente, vale la pena di adornare in su e prestando attenzione.
Probabilmente già utilizzare l’autenticazione a due fattori per almeno alcuni dei vostri conti, e se non è certamente dovrebbe. L’idea è che un passaggio supplementare deve essere presa da chiunque tenti di accedere a un account. Per esempio, se si doveva fare clic che ombrosi link nella tua casella di posta e accidentalmente consegnato Gmail password per un hacker, si sarebbe ancora bisogno di ottenere il codice da un messaggio di testo o authenticator per entrare nel tuo account. Prima di implementare la sicurezza fisica requisito fondamentale, i dipendenti di Google utilizzato Google Authenticator per il secondo strato di protezione.
L’anno scorso, la società ha preso le cose un passo ulteriore con la Universal 2nd Fattore di Autenticazione (U2F) tramite un dispositivo come il popolare USB YubiKey. Anche coloro messaggio di testo i codici inviati al tuo telefono cellulare può essere dirottato da un hacker determinato, ma una Chiave di Protezione, deve essere fisicamente inserito nella macchina che si sta utilizzando. Se un hacker voleva davvero ottenere i vostri file, che avrebbero dovuto mettere le mani sul dispositivo stesso.
Fino a quando troviamo un alternativa migliore per le password, U2F è una delle migliori opzioni per proteggere se stessi. Purtroppo, non è disponibile ovunque. Così succede in Google Chrome browser, quindi non c’è il buon PR angolo. Ma può anche essere configurato manualmente in Firefox. Può essere utilizzato per applicazioni come Facebook e gestori di password come LastPass.
Yubico e Feitian sono entrambi produttori di fiducia di chiave di protezione hardware se stai cercando di iniziare a utilizzare U2F nel vostro giorno per giorno la vita. Si può leggere di più su come ottenere tutto impostato qui.
[Krebs on Security]