Afbeelding: Wikimedia
Als je bent gehackt in de afgelopen jaren, de kansen zijn u gevallen voor die perfecte afwerking phishing-bericht in uw e-mail. Zelfs de meest bedachtzame personen kunt glijden, maar de Google-werknemers hebben naar verluidt had een vlekkeloze veiligheid opnemen voor meer dan een jaar dankzij een recente beleid waarbij ze gebruik kunnen maken van de fysieke veiligheid toetsen.
Krebs on Security meldt dat in het begin 2017, Google gestart waarbij de van 85.000 medewerkers gebruik van een apparaat te hanteren twee-factor authenticatie bij het inloggen in hun verschillende accounts. Plaats dan gewoon een enkel wachtwoord, of het ontvangen van een secundaire toegang code via een sms-bericht (of een app zoals Google Authenticator), de werknemers voor het gebruik van een traditionele, een wachtwoord en de plug in een apparaat dat alleen zij bezaten. De resultaten waren stellar. Uit het rapport:
Een Google-woordvoerder zei dat de Beveiliging Sleutels vormen nu de basis van alle toegang tot een account bij Google.
“We hebben geen gemeld of bevestigd account overnames sinds de implementatie van de beveiligingssleutels op Google,” de woordvoerder gezegd. “Gebruikers kunnen gevraagd worden om te verifiëren met behulp van hun beveiligingssleutel voor veel verschillende apps/redenen. Het hangt allemaal af van de gevoeligheid van de app en het risico van de gebruiker op dat punt in de tijd.”
Een Google-woordvoerder bevestigde dat de verklaring als deze bereikt wordt door Gizmodo.
Natuurlijk, Google-medewerkers zijn een belangrijk doelwit voor hackers. Zelfs met succes phishing is een low-level werknemer kan bieden net genoeg toegang te krijgen tot gevoelige systemen of een jumping off point als doel voor een werknemer met een diepere toegang. Dus, wanneer Google zegt dat het verweerde misschien wel duizenden aanvallen van meer dan een jaar zonder bekende incident, het is de moeite waard perking tot en aandacht.
Je hebt waarschijnlijk al gebruik van twee-factor authenticatie voor tenminste een aantal van uw accounts, en als je niet zeker zou moeten. Het idee is dat er een extra stap die genomen moet worden door iedereen die probeert om toegang te krijgen tot een account. Bijvoorbeeld, als je zojuist had om te klik op die schaduwrijke link in je postvak in, en per ongeluk overgedragen je wachtwoord voor Gmail om een hacker, ze zou nog steeds nodig om de code van een sms-bericht of authenticator-app te krijgen tot uw account. Voor de uitvoering van de fysieke veiligheid van die eisen, medewerkers van Google gebruikt Google Authenticator voor die tweede laag van bescherming.
Vorig jaar nam het bedrijf nog een stap verder met de Universele 2e-Factor Authenticatie (U2F) via een apparaat als de populaire USB-YubiKey. Zelfs deze sms codes naar uw telefoon verzonden kan worden gekaapt door een bepaald hacker, maar een beveiligingssleutel is fysiek te worden ingevoegd in de machine die u gebruikt. Als een hacker echt wilde te krijgen tot uw bestanden, ze hadden om hun handen te krijgen op het apparaat zelf.
Totdat we erachter te komen een beter alternatief voor wachtwoorden, U2F is een van de beste opties om jezelf te beschermen. Helaas, het is niet overal beschikbaar. Het is gewoon zo gebeurt het werken in Google ‘ s Chrome browser, dus er is goede PR-hoek. Maar het kan ook handmatig worden ingesteld in Firefox. Het kan gebruikt worden voor apps zoals Facebook en wachtwoord managers zoals LastPass.
Yubico en Feitian zijn zowel vertrouwde fabrikanten van security-toets hardware-als u op zoek bent om te beginnen met U2F in uw dag-tot-dag leven. U kunt meer lezen over het krijgen van alles hier.
[Krebs on Security]