Многими сервисами Google пользуются десятки и сотни миллионов человек. Это актуально и для Gmail — почтового сервиса, который почти все его пользователи признают очень удобным. Но, к сожалению, защищенность аккаунтов Gmail оставляет желать лучшего. Конечно, в большинстве случаев во взломе аккаунтов виноваты сами пользователи. Редко кто выставляет сложный (действительно сложный) пароль, содержащий большие и маленькие буквы, символы и все прочее, что нужно для создания надежного пароля.
Аккаунт обычного человека такой пароль защитит с большой степенью вероятности. Но что, если речь идет о почтовом аккаунте пользователя, который представляет особый интерес для взломщиков? Это может быть политический деятель, звезда шоу-бизнеса, сотрудник корпорации, разрабатывающей новую технологию, банкир. Примеров можно приводить много. И несмотря даже на двухфакторную аутентификацию (о которой многие слышали, но до сих пор не пользуются) аккаунты иногда взламывают. Сейчас Gmail представил новые функции для тех пользователей, которым нужна особая защита.
Выбирает таких пользователей не Gmail, воспользоваться новым сервисом может любой желающий. Для этого нужно активировать то, что компания называет «Advanced Protection». Это целый набор функций, который значительно усложняет задачу взломщика. Главное преимущество такой системы — необходимость иметь физический ключ-токен для авторизации. То есть двухфакторная авторизация остается, но на втором этапе никаких сообщений или SMS — используется именно токен, физическое устройство. Его тоже можно выкрасть, конечно, но вероятность этого уже значительно ниже, чем «увод» SMS или использование каких-либо иных методов взлома.
Таким образом, Gmail на текущий момент — один из самых защищенных почтовых сервисов в мире. «Это то, что нужно было предпринять, чтобы дать обычным людям тот уровень защиты почты, который обычно доступен лишь известным людям», — заявила Кеннет Уайт, консультант по вопросам сетевой безопасности. «Для тех людей, кому действительно нужна такая защита, это отличный вариант».
Понятно, что физический ключ никто не будет высылать бесплатно. Его нужно покупать. Девайс такого рода от Google стоит $43. Есть и менее дорогие предложение. Сами ключи сейчас выпускаются двух типов — либо USB-устройство, либо беспроводный девайс. Оба работают с цифровыми подписями и криптографией. В случае двухэтапной аутентификации пользователю вместо ввода кодов нужно всего лишь нажать на кнопку устройства. Это, по мнению специалистов Gmail, позволяет избежать опасности отправки ключей злоумышленникам.
В некоторых случаях они создают фишинговые сайты, дизайн которых очень похож на Gmail. На определенном этапе фишинг-сайт требует пароль, используемый для прохождения двухэтапной аутентификации. Если ввести его вручную, то киберпреступник получает доступ к аккаунту пользователя на настоящем сервисе электронной почты. Но ключи спроектированы так, что работают лишь с сайтами/сервисами, для которых они предназначены.
В общем-то, защита почты, если там хранятся действительно важные данные это не то, на чем стоит экономить. По словам представителей Gmail, если даже пользователь тем либо иным способом получит пароль пользователя, чей аккаунт защищен при помощи ключа, то взломать учетную запись киберпреступник не сможет. Без ключа его действия будут блокироваться.
Кроме того, если включена продвинутая защита, то лишь приложения Google смогут получать доступ к аккаунту пользователя. Это, вероятно, ответ на действия взломщиков в мае. Команда киберпреступников создала приложение, действующее «от имени» Google Docs. И сотни тысяч человек разрешили этому приложению доступ к своему аккаунту. Соответственно, учетные записи были открыты для злоумышленников.
И последнее преимущество тех, кто включает новую функцию. Если она активирована, то для обнуления или изменения пароля также понадобится ключ. Если его нет — обнулить/изменить пароль становится чрезвычайно сложной задачей. Конечно, гарантии того, что кто-то не найдет способ обмануть и продвинутую защиту, нет. Тем не менее, для обхода новых методов нужно быть уж очень продвинутым взломщиком.
Комментарии (38)
mistergrim
18.10.2017 13:22+1Защищённым от всех, кроме гугла.
vics001
18.10.2017 13:43Вспоминается история про Google, как снаружи все было защищенно, а данные между датацентрами передавались по http.
Valsha
18.10.2017 13:34+1Минутку, Yubikey можно было использовать ещё год (минимум) назад. Так что изменилось то?
ShapovalovTS
18.10.2017 15:10Я 3 года уже использую Yubikey c gmail, но вероятно новость в том, что теперь можно два физических ключа подключить.
AndrewRo
18.10.2017 15:14Была бы ещё опция "Не выдавать данные АНБ" — цены бы им не было.
Costic
18.10.2017 18:29После истории со Сноуденом и Асанжом для меня почта и сервисы Google — это филиалы АНБ. Помню, в начале 2000-х можно было шифровать с помощью PGP. Странно, что эта технология не популярна и не автоматизирована. Вроде бы и сам Сноуден использовал PGP.
chinacoolhacker
19.10.2017 15:09PGP есть в protonmail.
arturbikbaev
20.10.2017 11:46Отправить PGP сообщение из Protonmail, к сожалению, не получится. Пока только на приём работает. Уже несколько лет обещают добавить такую возможность, но без указания каких-либо конкретных сроков. https://protonmail.com/support/knowledge-base/sending-a-message-using-pgppgp/
iNickname
18.10.2017 15:39Такой защищенный что сам себе в почту попасть не можешь. Настроил переадресацию и пусть идут на хер, защищальщики.
igor_kuznetsov
18.10.2017 15:58Реально круто. Тем временем у яндекса их яндекс ключ — это костыль и взрыв мозга от нелогичностью настройки…
OKyJIucT
18.10.2017 19:54Пользовался ключом целый год, делал бекап после добавления нового аккаунта, потом на телефоне понадобилось строить все данные и установить заново прошивку (тупил телефон).
Каково же было мое удивление, когда Яндекс ключ сказал, что бекапа у него нет. Написал в службу поддержки, сказали, что они хранят бекап ограниченное время.
С тех пор Яндекс.Ключом не пользуюсь. И никому не рекомендую. Чуть доступа к важным аккаунтам не лишился, хорошо, что перед установкой новой прошивки сделал бекап старой, с Яндекс ключом.
Pinguin
18.10.2017 16:49Если google аккаунт привязян к телефону на android, то завладевший телефоном получает доступ к почте, содержимому гугл диска и т.д. Как заставить gmail или другое google приложение на телефоне спрашивать пароль я не нашёл. При этом телефон должен быть привязан к google account'у, чтобы нормально им пользоваться.
Давно ищу, как это побороть. Можно поставить пароль на весь телефон, но это неудобно и не так надёжно в случае утери телефона. Придумал только создать новый google аккаунт, привязать к нему телефон, поставить на телефон samsung knox и засунуть свой основной google аккаунт в его песочницу, чтобы всегда спрашивался пароль. Но это муторно, не выглядит, как решение, которое предполагает гугл, и работает только с телефонами samsung.Psih
18.10.2017 17:13+1Я лично это решил тем, что зашифровал телефон полностью и включение только с вводом пароля. Разблокировка тоже только пароль или палец, при этом блокировка автоматическая настроена на короткое время (10 секунд).
Незнаю как у других, а на самсунгах есть KNOX — он позволяет создавать контейнер в телефоне, для доступа в который нужен пароль и контейнер зашифрован, и приложения, соотвественно, имеют свои настройки.
hyperwolf
18.10.2017 19:12Как заставить gmail или другое google приложение на телефоне спрашивать пароль я не нашёл.
Использовать их через браузер и разлогиниваться при выходе. Так же можно попробовать удалять учетные записи для приложений, если вы используете gmail как отдельное приложение, но каждый раз придется настраивать все заново.
Nalivai
19.10.2017 02:11У Xiaomi в их MiUi есть встроенная возможность запаролить любое приложение. Возможно есть какое-нибудь standalone решение.
martin_wanderer
19.10.2017 10:33На OnePlus 3t под седьмым андроидом есть возможность поставить пароль на отдельные приложения. Тот же самый графический ключ и отпечаток пальца, что и на всю систему
Ivan_83
18.10.2017 23:45Приятно видеть в каментах столько людей которым лапша гугла о безопасности и заботе больше не липнет к ушам.
(вот бы ещё венду, яблоки и андройды выкинули)
1. Гугль соблюдает локальные законы и конечно молча даёт доступ к любой инфе своим силовикам.
2. Гугль кладёт болт и не даёт ничего силовикам стран под санкциями или просто тем кто пытается сделать это в обход стандартных процедур.
3. Аппаратный ключ — ещё один способ привязать юзера, приемущество под фб, яблоком и прочими.
4. В европе есть платные почтовые сервисы с секурностью гораздо выше, и вероятно в более лояльных к обычным людям локациях, нужно просто поискать.
Только лучше не искать гуглем, а то я как ни искал себе «free mail» мне гугель выдавал или полный треш (только веб или с поп/смтп но ацкими лимитами/лимимитом 30 суток/только для граждан с верификацией по смс/телефону) или платные или сервисы коллег гансов.
1-2 приличных халявных почтовика гугель в упор не отдавал, а яндекс на первых страницах выдал.
(что они безопасные я сомневаюсь, но хотя бы чтобы оно не попадало в бигдату анб коротким путём)
Pinguinian
Забей, или закорефанься с Брином, он порешает если что :)
Я бы относился к гугель почте (и прочим аккам в инете) как к расходнику, это снимает все проблемы.zerg59
19.10.2017 06:34+2П1 наплевать, я ворованными кредитками через гмэйл не торгую. И не пользуюсь им как служебным.
П2 это хорошо, хотя тоже пофигу ;-)
MaximChistov
И что же делать если ключ уничтожил пожар?) вместе с бекапом, лежавшим в той же комнате.
SanekPlus
Тоже интересно.
saboteur_kiev
Учитывая доступность саппорта от гугла, заранее кладите бэкап в другую комнату (в другой стране)
Stanislavvv
Бекап железки? Хочу!
Не, не так. ХОЧУ!!!!111
imwode
Можете зарегистрировать несколько ключей. Можно также использовать распечатанные ОТП в качестве бэкапа
Stanislavvv
Это нихрена не бекап, к сожалению, это альтернативные методы входа.
Diordna
Где безопасно от кражи и от пожара хранить бэкап с приватными данными?
imwode
В банковской ячейке
Costic
Мало толку защищать ящик, в который все заинтересованные спецслужбы могут залезть. И цена 43$ явно завышена.
Google и Яндекс давно могли бы сделать шифрование всей переписки с использованием USB-свистка на ATTiny. Открытым ключом шифровать, а расшифровать можно только закрытым. Свисток не проблема сделать за 3$. По опыту с Телеграм, приходят из ФБР/ФСБ и требуют выдать ключи. Право Человека на тайну переписки не хотят соблюдать.
В числе компаний, сотрудничающих со спецслужбами, были названы Microsoft, Yahoo!, Google, Facebook, AOL, Skype, YouTube, Apple и PalTalk.
habrahabr.ru/post/216649
leon76
все верно, тоже самое с разными аппами типа Google Auth — потерял телефон=потерял доступ
нужно привязывать как-то два устройства минимум…
SchmeL
и одно закапывать в надежном месте =)
Lungo
В Authy можно восстановить доступ с другого устройства
Valery4
А можно напечатать 10 резервных ключей и
повесить на стенкуразместить в банковской ячейке.demimurych
Зависит от того насколько «по-уму» все сделано. Если действительно безопасно — то ничего не поможет.
hdfan2
Использовать резервные коды.
SanekPlus
А их нужно набить на внутренней стороне щеки. :)
profesor08
И случайно надкусить