Поиск по сайту:

Использовать учетную запись Gmail для бизнес-услуг? Зачем вам нужна Расширенная защита Google


Если вы используете учетную запись Gmail для своего бизнеса, эта учетная запись является ключом ко всей вашей жизни. Вы можете подумать, что двухфакторной аутентификации (2FA) достаточно, чтобы держать преступников в страхе, но 2FA на основе SMS можно легко обойти.

Проблемы с 2FA

Двухфакторная аутентификация отлично подходит для защиты учетной записи. Вместо того, чтобы просто запрашивать пароль, учетная запись с поддержкой 2FA отправит вам код по SMS или через приложение-аутентификатор на ваш телефон, который вам нужно будет ввести, чтобы подтвердить, что это вы. Это здорово, потому что, если ваш пароль будет украден, злоумышленнику все равно потребуется физический доступ к вашему телефону.

По крайней мере, так это должно работать, но есть одно важное предостережение: даже с 2FA на основе приложений-аутентификаторов (которые не используют SMS) ваш номер телефона по-прежнему функционирует как устройство восстановления в вашей учетной записи. Не ваш телефон, а ваш номер телефона. Это означает, что если кто-то получит контроль над вашим номером, теперь у него есть доступ к вашей учетной записи.

Это не просто гипотеза — украсть чей-то номер телефона невероятно просто. Когда я купил новый телефон в магазине Verizon, меня попросили указать только две вещи: мой номер телефона и мою дату рождения, обе из которых общедоступны (хотя обычно не должно быть даты рождения). Они не взяли мое удостоверение личности, они не подтвердили, что я владелец счета, им не нужен был мой старый телефон и они не проверили мою кредитную карту. Они просто дали мне новую SIM-карту с привязанным к ней моим номером телефона, и я вышел за дверь. Но это мог быть чей-то другой номер, а мог быть и ваш.

Что еще хуже, хакеру в этой атаке даже не понадобится ваш пароль, поскольку основные учетные записи Gmail могут сбросить свои пароли, используя только ваш номер телефона. Решение этой проблемы — вообще вырезать телефон, а не ставить контроль над своей учетной записью на лень розничных работников Verizon.

Расширенная защита Google

Двухфакторная аутентификация чаще всего используется с телефоном, потому что он всегда есть под рукой. Но это не единственное устройство, которое вы можете использовать.

Это ключи безопасности Titan от Google. Это брелоки, которые работают как двухфакторное устройство; вы можете думать о них как о ключах от своей машины, за исключением того, что они необходимы для входа в вашу учетную запись Gmail.

Эти ключи нельзя украсть (за исключением того, что кто-то украдет у вас карман), и их нельзя подделать, потому что они работают с реальным физическим доступом. Этот метод аутентификации обычно называют универсальным двухфакторным или U2F. Ключи Titan — не единственный ключ, который вы можете получить, существует стандарт FIDO, который определяет, как они должны работать, и их много на рынке.

Вы можете использовать эти ключи в качестве замены для SMS 2FA, но их лучше всего использовать в сочетании с программой расширенной защиты Google. Расширенная защита требует, чтобы вы использовали этот ключ, и он блокирует восстановление учетной записи, делая его гораздо более сложным процессом, а это означает, что никто не может обойти 2FA и пароль вашей учетной записи, украв ваш номер телефона (что является основной проблемой при обычной аутентификации).

Главное предостережение заключается в том, что они немного заблокируют вашу учетную запись. Вы не сможете использовать некоторые сторонние приложения, которым требуется доступ к вашим данным, и вам придется использовать Chrome или Firefox для доступа к зарегистрированным службам Google, хотя мобильный Chrome будет работать нормально.

Как включить Дополнительную защиту

Во-первых, вам понадобятся ключи безопасности. Хотя вы можете использовать любой брелок, совместимый с FIDO, мы рекомендуем ключи Titan от Google, поскольку они лучше всего интегрируются с их услугами и официально поддерживаются.

Ключи Titan стоят 50 долларов за пару. Вы получите один ключ Bluetooth, который является вашим основным ключом, и другой, похожий на флешку, который будет вашим резервным ключом на случай, если вы потеряете первый. Вы обязательно должны хранить их в отдельных местах.

Вам придется дождаться их отправки, но как только они прибудут, вы сможете зарегистрироваться в программе Advanced Security Protection, связав оба своих ключа.

После этого вы выйдете из системы на всех устройствах, и для повторного входа потребуется доступ с помощью брелока, и теперь ваша учетная запись настолько безопасна, насколько может быть защищена учетная запись Google.

С G Suite все немного сложнее. Ваша учетная запись администратора G Suite (которая должна заканчиваться вашим доменным именем) в настоящее время не может включить Дополнительную защиту, доступную для обычных учетных записей Google, но вы по-прежнему можете использовать свой ключ Titan для включения авторизации с помощью брелока.

Важно отметить, что это не дает вам расширенной защиты восстановления, предлагаемой пользователям Advanced Protection. Вы можете обойти это, просто удалив свой номер телефона из параметров восстановления, поскольку в этом нет необходимости. Обязательно укажите резервный адрес электронной почты (который может быть вашей обычной учетной записью Gmail) на случай, если вы забудете свой пароль. Кроме того, восстановление будет отключено автоматически в любом случае, если в вашем домене G Suite более 3 администраторов или более 500 пользователей, чтобы предотвратить атаки на крупный бизнес.

Кроме того, вы можете включить Дополнительную защиту для всех пользователей вашего G Suite. Это вынуждает их использовать собственные брелоки и блокирует восстановление учетной записи по SMS. Обратите внимание, что это относится только к учетным записям сотрудников, а не к учетной записи администратора, так как для нее требуется собственная настройка.