目次:
- 高度な保護プログラムの基本
- Google Advanced Protection Programの使用方法
- Advanced Protectionに最適なU2Fキーはどれですか?
- Googleの高度な保護プログラムはあなたにとって正しいことですか?
私は非常に重要な人とは呼ばないでしょう。 私は今でも自分はある種のジャーナリストだと思っています(そしてそれは私の大学の学位です)が、新聞を作ったときと同じように練習するとは言いません。 また、私は活動家でもビジネスリーダーでもありません。また、政治キャンペーンチームの一員でもありません。
私は本当にGoogleの高度な保護プログラムの候補者ですか? Googleが公開している最も強力なアカウントセキュリティが本当に必要ですか?
すぐにお答えします。 しかし、最初に、私が最近私が思うものを定義します:私は娘がオンライン生活を始めるのを見ながら中年に近づいています、そして、私はインターネットが本質的に後方にあり、壊れているとこれまでと同じように確信していますオンラインセキュリティをより真剣に考える必要があります。 (つまり、それについてまったく考えている場合です。)
自問し なければならない 質問は、オンラインライフをできる限り保護したく ない 理由です。
二要素セキュリティは必須です。 サービスが提供しない場合、おそらくそのサービスを使用すべきではありません。 ただし、すべての2要素スキームは同等に作成されません。 SMSによって送信されたワンタイムパスワードは、特定の攻撃者によって傍受される可能性があります。 ソフトウェアベースのトークンは優れていますが、絶対確実ではありません。 それでも、物理ハードウェアキーの方が優れています。 アカウントに接続するUSB、またはNFCまたはBluetoothを介してコンピューターに接続する物理キー。 キーを持っていないのですか? あなたは入っていません。
これはすべて、FIDOアライアンスの「標準ベースの相互運用可能な認証のための世界最大のエコシステム」と、FIDOから生まれた「ユニバーサル2要素」エクスペリエンスであるU2Fの一部です。 基本的にU2Fと2FAは同じものだと考えることができます。FIDOは標準を実現するグループであり、Google、Microsoft、Lenovo、Amazonなどの人々が役員を務めています。
YouTubeでモダンパパに登録しましょう!
高度な保護プログラムの基本
物理的なハードウェアキーは、認証の2番目の形式として長年使用されており、かなり前からGoogleアカウントのセキュリティオプションとして使用されてきました。
Googleの高度な保護プログラムにより、これらはログインに必須のメカニズムになり、2FAの 唯一の オプションになります。 Googleパスワードは引き続き保持されます。アカウントにアクセスするには、そのパスワードと組み合わせて物理ハードウェアキーを使用する必要があります。 SMSコードはこれ以上ありません。 これ以上のGoogle認証システムアプリはありません。 電話はありません。 パスワードとキー、またはあなたが入っていない。
本当に簡単です。 しかし、Googleはもう少し先に進みます。 Googleアカウントでウェブサイトにログインすることは引き続き可能です。 ただし、GmailまたはGoogleドライブのファイルにアクセスできるアプリは大幅に制限されます。 Googleは次のように述べています。
保護を強化するために、高度な保護では、Googleアプリのみを許可し、サードパーティアプリを選択してメールとドライブファイルにアクセスします。
このセキュリティ強化のトレードオフとして、一部のアプリの機能が影響を受ける可能性があります。 旅行追跡アプリなど、Gmailまたはドライブデータへのアクセスを必要とするほとんどのサードパーティアプリには、許可がなくなります。 また、ChromeとFirefoxのみを使用して、GmailやPhotosなどのサインインしたGoogleサービスにアクセスできます。
Appleのメール、カレンダー、連絡先アプリは、引き続き通常どおりGoogleデータにアクセスできます。
それはおそらく、日常の使用で直面する最大のハードルになるでしょう。
また、Googleは、誰かがあなたであり、あなたがアカウントからログアウトしているふりをしようとすると、誰かの前に余分な障害物を投げます。
ハッカーがアカウントにアクセスしようとする一般的な方法は、あなたになりすまし、アカウントからロックアウトされたふりをすることです。 このタイプの不正なアカウントアクセスに対する最も強力な保護を提供するために、Advanced Protectionは、アカウントの回復プロセス中に身元を確認するための追加の手順を追加します。
アカウントと両方のセキュリティキーへのアクセスを失った場合、これらの追加された確認要件は、アカウントへのアクセスを復元するのに数日かかります。
それは私がまだ経験しなければならないものではありませんが、楽しそうではありません。
Google Advanced Protection Programの使用方法
まず、GoogleのAdvanced Protection Program Webサイトにアクセスします。 いくつかのU2Fキーを取得するように指示されます。 以前、Googleはサードパーティキーを推奨していましたが、これは問題ありません。 しかし、TitanキーはGoogleストアで入手できるようになったため、簡単に入手できます。 それらの使用方法はまったく同じです。
それらを取得したら、実際にサービスに登録します。 これにより、すべての保護が有効になります。また、明らかな理由により、 すべて からログアウトします。
だから、再びログインする時です。 これは、物事が少しおもしろくなるところです。
MailplaneやShiftなどのラッパーではなく、WebブラウザーでGmailを使用する必要があります。 それはささいな面倒だったが、実際には目を見張るものではなかった。 (つまり、バックグラウンドで実行するアプリが1つ少なくなりました。)しかし、これはまた、Mac OSがGmailにアクセスできなくなったことも意味します。 高度な保護プログラムがヘルパーの「Smart Lock」アプリを介してiOSでどれほどうまく機能するかを考えると、実際には少し驚くべきことでした。 多分それはある時点で変わるでしょう。 しかし一方で、ブラウザでGmailをAppleのメールアプリと交換することはしません。
電話へのログインは簡単でした。 そのために、Bluetooth / USBフォブを使用しました。 私が1か月ほど持っていたものは今やmicroUSB経由で充電するが、これは少し面倒だ。 しかし、再び、契約を破る者ではありません。 電話で使用する場合は、Bluetooth経由で接続します。 コンピューターで使用したい場合は、プラグインします。簡単です。 また、USB-Aであり、NFCが組み込まれているYubikey Neoも使用しました。 iPhoneを使用している場合は、少なくともNFCがiOS 12で公式に公開されるまで、Bluetoothが必要です。
Pixelbookへのログインには10秒かかりました。 パスワードを入力し、キーを差し込んで認証すると、起動します。 (Chromebookを 実際に 使用していて、高度な保護を 実際に 使用している場合は、他の基本的なログインセキュリティを実装する必要があります。だから誰かがそれを開いて使用を開始することはできません。他のラップトップ、本当に。)
私にとって最大の問題は、NVIDIA Shield TVにありました。 (すべてからログアウトすると、すべてからログアウトし ます 。)Androidフォンのようにログインできると思います。 (結局、Androidプラットフォームだからです。)しかし、何らかの理由で、他の信頼できないサードパーティのソースでログインしようとした場合と同じように、動作しません。
それを超えて、物事はほとんどシームレスです。 毎日アカウントにログインしなければならないというわけではありません。 (ただし、一部のビジネス環境では、これがまさにこの物理キースキームが優れている理由です。)
どこかに新しいデバイスにログインする必要がある場合は、自分のキーが手元にあることを確認するだけです。 だから、私は自分の鍵に1つ、安全な場所にバックアップを保管します。 (いいえ、私はあなたにどこに言っているのではありません。)
ちなみに、Google Advanced Protection Programに対応できない場合は、Google Advanced Protection Programから登録解除できます。 しかし、私はその衝動をまったく感じていません。 また、いつでも任意のサービスからキーを登録解除できます。キーを使用するサービスを覚えておくだけです。 (または、キーを使い終わったらいつでもキーを破棄できます。)
Advanced Protectionに最適なU2Fキーはどれですか?
ここで、状況が実際にどのようになるかを説明します。 ストレートUSB-Aキーを入手できます。 USB-Cキーを取得できます。 ほとんどの場合ラップトップに常駐するナノキー(USB-AまたはUSB-C)を入手できますが、邪魔になりません(ポートを占有する以外)。 BluetoothまたはNFCで何かを手に入れることができます。
他の何かがあなたのためによりよく働くならば、あなたはGoogleのTitanセキュリティキーを使用する必要はありません。
(ただし、GoogleのTitan Security KeyのUSBモデルにはNFCが含まれていますが、起動時には機能しません。お使いの携帯電話で舞台裏の更新が必要になります。他のハードウェアキーはNFCを正常に処理します。 、ただし、この2番目を正しくする必要がある場合)
それは、ログインする必要があるものにログインする必要がある頻度と、使用しているデバイスの種類に依存します。 あなたのビジネスが毎日の承認を必要とするが、信頼できるコンピューター(例えば、鍵のかかったドアの後ろ)で、USB-A nanoキーが道を行くかもしれません。 私のように、あまり頻繁にログインする必要はないが、それでもAdvanced Protectionが提供するすべてのものが必要な場合、もっと大きなものはひどくないかもしれません。 USB-CラップトップとUSB-C電話をお持ちの場合は、その決定がさらに簡単になります。 使用する内容によって異なります。
また、必ずしもGoogleのTitanキーも必要ありません。 それらは他のU2Fキーとまったく同じように機能します。これらのキーのみが背後にGoogleの力を持ち、内部にあるファームウェアを制御します。 (そして、それ は 良いセールスポイントです。)そして、IT部門が操作できる他のキーとは異なり、ファームウェアは完全にロックされています。 これらはGoogleが意図したとおりに使用します。
Googleの高度な保護プログラムはあなたにとって正しいことですか?
それはあなたのために答えることができないものの一つです。
高度な保護プログラムは少しやり過ぎですが、セキュリティを実行する正しい方法でもあります。
一方で、はい、そうです。 セキュリティとイライラのトレードオフは最小限であることがわかりました。 いずれにしても、SMSコードとソフトウェアベースのトークンを完全に置き換えることはありませんが、置き換えたほうがいいでしょう。 単純な事実は、十分なサービスがハードウェアキーを使用しないことです。 (そして、いくつかは セカンダリ 2FAメソッドとしてのみ許可しています。)twofactorauth.orgにアクセスして、お気に入りのサービスがそれらを使用しているかどうかを確認してください。
そして、私は本当に娘のアカウントをそれに入れようとしています。 (まだ書いていないのなら、今これを書いているので…)
私は以前に多くの家族がアカウントを取り戻すのを助けなければなりませんでした。 クリックされるべきではないリンクを誤ってクリックするのは簡単すぎます。 それは私たちにとって最高の出来事です。
私たちが必要とするのは、インターネットが後方で壊れているという知識と一緒に進むための強力なバックエンドサポートであり、私たちはより警戒する必要があります。
Google Advanced Protectionはそのサポートを提供します。
使用するのは私たち次第です。 そして、私はそれを消していません。
