Jak działa Google’s Advanced Protection Program


Google stworzyło pendrive'y, które można włożyć do komputerów i smartfonów, a które uniemożliwią hakerowi kradzież naszych danych uwierzytelniających na kontach

Hasła, mimo ogromnego zagrożenia dla naszego bezpieczeństwa, jakie często stwarzają, pozostają najpopularniejszą metodą dostępu do kont internetowych. Google postanowiło więc wzmocnić hasła za pomocą nowego narzędzia: Advanced Password Protection Program.

Celem tej nowej funkcji firmy z Mountain View jest uczynienie kradzieży danych uwierzytelniających bezużyteczną dla hakera.

Aby uzyskać dostęp do konta w sieci, nie wystarczy już, że atakujący zna tylko kod dostępu wybrany przez ofiarę. Aby zacząć korzystać z programu zaawansowanej ochrony Google, będziemy musieli kupić dwa małe fizyczne klucze, które będą chronić nasze smartfony i komputery. Jest to w zasadzie technika ochrony dwuskładnikowej, ale z wykorzystaniem urządzeń fizycznych. Oprócz hasła dostępu, musimy również wpisać hasło tymczasowe, które pokazuje nam mały fizyczny kluczyk.

Jak to działa

Jest to rozwiązanie bardzo podobne do tego, które wprowadziły już niektóre banki dla swoich usług online. W praktyce, aby uzyskać dostęp do naszego konta, haker musi być w stanie fizycznie wykraść pendrive'a, w przeciwnym razie, nawet jeśli padniemy ofiarą ataku phishingowego lub technik socjotechnicznych, nie stracimy naszego konta. Dlaczego Google wymyśliło takie rozwiązanie? Ponieważ badania przeprowadzone przez firmę Positive Technologies, zajmującą się bezpieczeństwem IT, wykazały, że wiadomości dotyczące uwierzytelniania dwuskładnikowego mogą stać się celem ataków hakerów, czyniąc użycie dwóch kodów dostępu bezużytecznym. Dla cyberprzestępców jednak nie ma możliwości manipulowania tymi kluczami, które generują unikalne hasła czasowe, chyba że fizycznie. Na razie firma Mountain View wybrała konkretną grupę docelową użytkowników, którym będzie sprzedawać te fizyczne generatory haseł. Są to duże i średnie przedsiębiorstwa, dziennikarze, instytucje, a nawet ofiary stalkingu. W chwili obecnej narzędzie nie jest jeszcze gotowe do masowej sprzedaży. Powód? Jest on kompatybilny tylko z kontami Google, a zatem nie działa z sieciami społecznościowymi, takimi jak Facebook, ani z kontami e-mail spoza Mountain View. Należy jednak powiedzieć, że Google obiecał, że wkrótce będzie pracował nad tym, aby jego "klucz bezpieczeństwa" był kompatybilny z większością usług w sieci.


Gdzie kupić

W chwili obecnej można jeszcze kupić klucze Google. Wystarczy, że zarejestrujemy się na stronie Programu Zaawansowanej Ochrony na naszym koncie Google, a następnie wybierzemy ile kluczy chcemy kupić. Koszt to około 20 dolarów za sztukę. Każdy klucz posiada skaner linii papilarnych, który rozpoznaje tylko nas. Aby z niej skorzystać, należy ją włożyć do komputera lub smartfona przez port USB. Za każdym razem, gdy uzyskujemy dostęp do usługi Google, klucz generuje unikalny kod dostępu, którego nie musimy wpisywać i który nie może zostać skopiowany, a który umożliwia nam dostęp do konta.