Daca sunteti unul
dintre sutele de milioane de oameni din întreaga lume, care depind
de suita de servicii Google, cum ar fi Gmail, YouTube sau Google
Docs, probabil vă conectati utilizând o adresă Gmail simplă si
o parolă. Acreditarile simple ca acestea sunt mai usor de a fi
furate de la utilizatori, fie prin ghicirea lor (în cazul în care
parolele sunt slabe), fie folosind un site fals, care il imită pe
cel real, fie folosind un keylogging malware (care fură datele de
conectare, deoarece acestea sunt tastate).
Din fericire,
Google oferă o modalitate simplă de a spori securitatea sub forma
sistemului său de verificare in doi pasi. Din punct de vedere
tehnic, acest lucru este un fel de sistem de autentificare cu doi
factori, o modalitate de a securiza conturile online folosind ceva ce
doar utilizatorul stie (parola) si ceva ce doar utilizatorul are (un
cod one-off sau jeton). În implementarea Google, in mod normal,
utilizatorii folosesc adresa de e-mail si parola, după care li se
cere să introduca un cod primit prin SMS o singură dată. Acest
lucru înseamnă că dacă un atacator face rost de adresa de e-mail si parola, acesta nu poatet accesa contul, deoarece nu are codul primit
prin SMS.
Google nu da cifre despre numărul de
utilizatori care au adoptat verificarea securitatii în doi pasi,
dar este aproape sigur ca este un procentaj mic din baza totală de
utilizatori. Constientizarea acestei caracteristici de securitate
încă pare să fie scăzută.
Ca si în cazul tuturor sistemelor de
autentificare cu doi factori, verificarea in doi pasi are câteva
puncte slabe pe care Google ar trebuit să le depăsească. În
primul rând, ce se întâmplă în cazul în care utilizatorul nu
poate primi codul de SMS, deoarece serviciul mobil este indisponibil?
Solutia este de a le genera pe telefon utilizând aplicația
Authenticator Google, care poate fi rulat de pe iPhone si BlackBerry
precum si dispozitive Android chiar si atunci când nu există nici
o conexiune de date.
O a doua problemă
este posibilitatea ca un atacator ar putea efectua un atac de tip
phishing pe un PC determinand utilizatorul sa instaleze o aplicatie
pe smartphone cu scopul de a intercepta codul de SMS. Acesta este un
atac care a fost implementat cu succes împotriva sistemelor de
autentificare bancar prin SMS-uri de verificare si desi este putin
probabil este departe de a fi imposibil.
Solutia Google
este de a oferi în continuare doua moduri chiar si mai sigure de a
utiliza verificarea în doi pasi. Primul este de a specifica faptul
că codul este trimis printr-un apel telefonic automat si al doilea
mod este prin conectarea cu o cheie USB fizică bazată pe protocolul
FIDO Universal 2 Factor (U2F). Această optiune este extrem de
sigura. Atacatorul ar trebui sa găseasca un punct slab în
standardul FIDO sau ar trebui sa fure token-ul.
Cum sa protejezi conturile Google de
hackeri - configurare:
Sună complicat,
dar configurarea verificarii in doi pasi este destul de simpla, desi
trebuie de retinut că accesarea tuturor caracteristicilor mentionate
mai sus necesită utilizarea browser-ul Google Chrome. Daca utilizati
contul in afaceri trebuie sa convingeti administratorii de sistem sa
permita accesul la panoul de administrare al Google Apps.
Consumatorii pot avea acces la
verificarea în doi pasi din pagina de configurare a contului Google
urmând instructiunile simple. Pentru a activa functia,
utilizatorului i se va cere sa desemneaze un număr de telefon mobil,
un număr de rezervă (în cazul în care primul este pierdut) si să
decidă dacă să utilizeze verificarea prin SMS de fiecare dată sau
doar atunci cand se conecteaza de la dispozitive „untrusted”
(PC-uri și telefoanele mobile, utilizate regulat, pot fi introduse
whitelist). În cazul în care utilizatorul nu are acces la optiuni
de autentificare (adică un telefon, telefon de rezervă sau token),
10 coduri de rezervă cu utilizare unica pot fi imprimate si stocate
pentru o utilizare de urgentă.
Unii utilizatori
accesează contul Gmail prin intermediul unui PC sau a unui cont de
mail a unui Macbook (IOS), în ambele cazuri aceste cereri vor
trebui, de asemenea, să fie autentificate (acestia se conectează
la cont, chiar dacă utilizatorii nu sunt constienti de acest
fapt). Configurarea Google poate genera parole pentru acele
aplicatii, care ar trebui să fie introduse o singură dată.
Un ultim aspect care trebuie luat în
considerare este parola utilizată pentru a securiza contul. Cu toate
că acest lucru nu are nimic de-a face cu autentificarea in doi pasi
este important să nu se vadă autentificarea ca fiind unica solutie
- parola contului principal trebuie să fie, de asemenea, lungă si
complexă. O parolă puternică si verificarea in doi pasi lucreaza
mână în mână si fiecare este la fel de sigura ca si cealalta.
Puteti achizitiona aici tokenul ePass
FIDO la pretul de numai 52 de lei.
