Продвинутая защита аккаунта Google

Google ввёл режим продвинутой защиты персональных аккаунтов для тех, кому есть, что защищать о целенаправленных атак.

Многие пользователи относятся к настройкам безопасности крайне халатно, уповая на то, что, как им кажется, их личные данные никого не интересуют. По этой причине, Google не заставляет всех без исключения пользователей тратить хоть сколь-нибудь значимое время на настройку аккаунта, а также ограничивать себя использованием только безопасных приложений. 

Тем не менее, существуют думающие люди, которые понимают ценность своих документов, контактов и прочих данных и готовы потратить время и деньги на их защиту не только от обычных мошенников, но даже от целенаправленного преследования со стороны государства (в первую очередь это относиться к журналистам, правозащитникам, активистам и индивидуальным предпринимателям в странах с тоталитарными режимами, в т.ч. на территории бывшего СССР). 

Именно для таких думающих людей Google бесплатно предлагает программу продвинутой защиты персональных аккаунтов (Advanced Protection Program), которая представляет собой возможность использовать недоступные иным способом настройки безопасности персональных аккаунтов Google, в обмен на отказ от использования небезопасного ПО и устаревших средств аутентификации.

Для участия в программе продвинутой защиты персональных аккаунтов Google без излишних проблем, необходимо приобрести два ключа безопасности:

1) Ключ безопасности стандарта FIDO U2F с интерфейсами Bluetooth Low Energy (BLE) и USB в качестве основного ключа

2) Ключ безопасности стандатра FIDO U2F с интерфейсом USB в качестве резервного ключа

На самом деле, есть ещё одно очевидное, но нигде не упомянутое требование, а именно, использовать только либо смартфоны от Google, либо смартфоны на чистом Android, так как использование приложений для документов, календаря и контактов от сторонних производителей, которые установлены на любых других смартфонах,  в программу защиты не попадает, т.к. сторонние приложения априори не попадают под требования безопасного кода.

Перед настройкой продвинутой защиты персонального аккаунта Google, необходимо уже иметь под рукой минимум два ключа безопасности, неподключенные на момент начала настройки к компьютеру.

Если вам вдруг не удалось приобрести ключ FIDO U2F с BLE (не поставляются в Россию напрямую), вы можете использовать ключ FIDO U2F с NFC и это будет отлично работать для десктопов, но возможно, не будет работать, как запланировано изначально, как минимум на некоторых смартфонах, если вы уже используете продвинутую защиту кодов ключами NFC.

После того, как вы зарегистрировали в своём персональном аккаунте Google оба ваших ключа, назначив им интуитивно понятные имена (см. рис. выше), вы можете переходить к следующему экрану. Однако, как я заметил позже, информация о ранее настроенных ключах для вашего аккаунта теряется, поэтому при назначении имён можно исходить из того, что никаких других ключей ранее не было зарегистрировано.

Экран включения продвинутой защиты аккаунта содержит только две кнопки "Включить" (Turn on) и "Отменить" (Cancel). Под этими кнопками максимально подробно расписаны преимущества и ограничения продвинутой защиты персонального аккаунта Google, а именно:

1) Обязательное использование аппаратных ключей защиты при логине на каждом новом устройстве

2) Возможность чтения почты только с помощью почтовых клиентов Gmail, т.к. другие почтовые клиенты не явлются безопасными (хранят пароли к почтовым ящикам).

3) Возможность использования файлов на Google Drive только с помощью штатного приложения от Google

4) Все сторонние приложения потеряют доступ к вашим контактам и календарю. Вы сможете использовать для этого только новые Google Contacts и Google Calendar соответственно.

5) Техническая поддержка Google потребует дополнительных шагов для восстановления доступа к защищённому аккаунту, если он будет заблокирован при утрате ключа или пароля

6) Вы не сможете использовать свой аккаунт Google с приложениями, не поддерживающими двухфакторную аутентификацию.

Последний пункт является фактически ключевым, т.к. в режиме продвинутой защиты аккаунта пользователю, даже если он сам этого захочет, или попробует по глупости, не удасться запустить любое фишинговое Web приложение с сайта или по ссылке из почты и предоставить доступ к своим персональным данным и файлам в аккаунте Google.

И в данном случае то, что для обычных пользователей, которые привыкли запускать всё подряд, включая откровенные трояны, и переходить по сомнительным ссылкам, не задумываясь, это покажется серьёзным ограничением, для думающих пользователей, которые случайно запустили опасное приложение или перешли по фишинговой ссылке, отказ в доступе к их данным будет большим благом.

После настройки продвинутой защиты аккаунта Google вы можете продолжить работу только после того, как перелогинетесь на всех своих устройствах. И вот, как раз на этом этапе вам пригодятся новые возможности ключей FIDO U2F, в частности интерфейс BLE.

Хотя использование BLE - это на любителя, так как, в отличие от ключей NFC, ключи с BLE требуют постоянной поддержки заряда батареи в ключе безопасности для функционирования, тем не менее, имеет и некоторые моменты, которые многие считаю крайне облегчающими жизнь. Например, в браузер Google Chrome давно встроена авторизация по FIDO U2F с помощью BLE, поэтому, если ключ BLE у вас в кармане, вы можете, даже не доставая его, начинать работу с приложениями сразу, как подойдёте к компьютеру и оно будет блокироваться сразу, как вы от него отойдёте (максимальный радиус действия BLE не превосходит 3-5 метров в условиях офисного помещения).

В качестве бонуса, можете зайти на страницу настроек безопасности двухфакторной аутентификации вашего аккаунта Google с продвинутой защитой (см. рис. выше) и убедиться, что незащищённые вторые факторы не просто отключены, а даже исчезли из настроек вовсе, так что их нельзя включить даже случайно.

В общем, если вы действительно хотите защитить свои данные, то продвинутая защита аккаунта Google это именно то, что вам нужно. Всё максимально просто, надёжно и даже со встроенной "защитой от дурака". Однако, чтобы ей воспользоваться надо быть быть умным, так как Google её никому не навязывает, как говориться, не хочешь - не пользуйся, если сохранность твоих данных тебя не интересует.