W przyszłym miesiącu Google ma uruchomić Zaawansowany Program Ochrony. Uwierzytelnianie dwuetapowe zostanie w nim zastąpione przez parę dwóch fizycznych kluczy, zainstalowanych w pamięci USB. To rozwiązanie przede wszystkim dla menadżerów, polityków i instytucji, które boją się o poufność swoich danych.

Po uruchomieniu usługi Advanced Protection Program, wszystkie zewnętrzne aplikacje stracą dostęp do kont e-mail oraz plików na dysku Google. Aby się zalogować, użytkownik będzie musiał użyć dwóch fizycznych kluczy. Pomysł opiera się na oprogramowaniu USB Security Key, udostępnionym przez Google w 2014 roku. Podobne rozwiązanie ma też Yubico – klucze do Uniwersalnej Weryfikacji Dwuetapowej (U2F), stworzonej na licencji open source.

Uwierzytelnianie dwuetapowe jest całkiem dobrym zabezpieczeniem, stosowanym nie tylko w usługach Google, ale także na przykład w systemach bankowych. Polega na tym, że użytkownik po zalogowaniu się w urządzeniu otrzymuje SMS-em kod. Dopiero po jego wpisaniu serwis umożliwia swobodne korzystanie ze wszystkich funkcji.

Jak się jednak okazuje, weryfikacja dwuetapowa może nie wystarczać. Powszechność tej metody sprawiła, że przestępcy przy pomocy socjotechniki wyłudzają kody bezpieczeństwa. Pod koniec sierpnia pisaliśmy w CHIP-ie, że w sklepie Google Play wykryto konie trojańskie, przechwytujące SMS-y wysłane między innymi z banków. Dzięki nim przestępcy bez problemu kradli pieniądze z kont ofiar.

Ofiarą cyberataku wycelowanego w korespondencję padła w 2016 roku amerykańska Partia Demokratyczna. Przejęte zostały konta Gmail, między innymi Hillary Clinton oraz szefa jej kampanii wyborczej, Johna Podesty. E-maile udostępnił później serwis WikiLeaks. Według amerykańskich służb, za atakiem stał rosyjski wywiad. W styczniu 2017 roku CIA, FBI oraz NSA w swoim raporcie wskazały prezydenta Rosji Władimira Putina jako odpowiedzialnego za zlecenie cyberataków i wpływanie na wynik wyborów prezydenckich.

Advanced Protection Program Google’a zapewne może zwiększyć bezpieczeństwo, jednak i tak najsłabszym ogniwem pozostanie człowiek z jego niefrasobliwością. Profesjonalne internetowe włamania bardzo mocno koncentrują się na sferze całkowicie nietechnologicznej, czyli na zwyczajach i błędach użytkowników.

Źródło: chip.pl