Table des matières:
- Les bases du programme de protection avancée
- Qu'est-ce que l'utilisation de Google Advanced Protection Program?
- Quelle clé U2F convient le mieux à la protection avancée?
- Le programme de protection avancée de Google est-il ce qu'il vous faut?
Je ne suis pas ce que j'appellerais une personne très importante. Je me considère toujours comme une sorte de journaliste (et c'est ce qui est écrit dans mon diplôme d'études collégiales), mais je ne dirais pas que je le pratique de la même manière que lorsque je faisais des journaux. Je ne suis pas non plus un activiste, un dirigeant d'entreprise ou une équipe de campagne politique.
Suis-je vraiment candidat au programme de protection avancée de Google? Ai-je vraiment besoin de la sécurité de compte la plus solide que Google offre publiquement?
Je vais répondre à cela dans une minute. Mais d’abord, je vais définir ce que je pense être ces jours-ci: j’approche de l’âge moyen en regardant mes filles commencer leur vie en ligne, et je suis aussi convaincu que jamais que l’Internet est intrinsèquement arriéré et brisé, et nous tous besoin de prendre notre sécurité en ligne plus au sérieux. (C'est-à-dire, si nous y pensons du tout.)
La question que vous devez vous poser est la suivante: pourquoi ne voudriez- vous pas protéger votre vie en ligne de votre mieux?
La sécurité à deux facteurs devrait être obligatoire. Si un service ne le fournit pas, vous ne devriez probablement pas utiliser ce service. Mais tous les régimes à deux facteurs ne sont pas créés égaux. Les mots de passe à usage unique envoyés par SMS peuvent être interceptés par un attaquant déterminé. Les jetons logiciels sont meilleurs, mais pas infaillibles. Mieux, encore, sont les clés matérielles physiques. Une clé physique que vous connectez à un ordinateur via USB, NFC ou Bluetooth, que vous connectez à un compte. Tu n'as pas la clé? Vous n'entrez pas.
Tout cela fait partie de l'alliance FIDO - "Le plus grand écosystème du monde pour l'authentification interopérable normalisée" - et de U2F, l'expérience "Universal 2-Factor" née de FIDO. Vous pouvez fondamentalement penser à U2F et 2FA comme la même chose, et FIDO est le groupe qui crée la norme, avec des personnes de Google, Microsoft, Lenovo et Amazon (entre autres) à son conseil.
Abonnez-vous à Papa moderne sur YouTube!
Les bases du programme de protection avancée
Les clés matérielles physiques constituent une deuxième forme d'authentification depuis des années et constituent une option de sécurité pour les comptes Google depuis un certain temps.
Le programme de protection avancée de Google en fait un mécanisme obligatoire pour la connexion et la seule option 2FA. Vous aurez toujours votre mot de passe Google et vous devrez maintenant utiliser une clé matérielle physique en association avec ce mot de passe pour accéder à votre compte. Plus de codes SMS. Plus aucune application Google Authenticator. Pas d'appels téléphoniques. C'est mot de passe et clé, ou vous n'entrez pas.
C'est aussi simple que ça. Mais Google va un peu plus loin. Vous pourrez toujours vous connecter à des sites Web avec votre compte Google. Mais les applications pouvant accéder aux fichiers Gmail ou Google Drive seront sévèrement limitées. Voici comment Google le dit:
Pour vous protéger, Advanced Protection autorise uniquement les applications Google et certaines applications tierces à accéder à vos courriers électroniques et à vos fichiers Drive.
En contrepartie de cette sécurité renforcée, la fonctionnalité de certaines de vos applications peut être affectée. La plupart des applications tierces nécessitant un accès à vos données Gmail ou Drive, telles que les applications de suivi des voyages, n'auront plus d'autorisation. Et vous ne pourrez utiliser que Chrome et Firefox pour accéder à vos services Google connectés, tels que Gmail ou Photos.
Les applications de messagerie, de calendrier et de contacts d'Apple continueront à pouvoir accéder à vos données Google normalement.
Ce sera probablement le plus gros obstacle auquel vous ferez face au quotidien.
Google jette également des obstacles supplémentaires devant quelqu'un qui essaie de faire semblant de le faire et que vous êtes déconnecté de votre compte.
Les pirates informatiques tentent généralement d'accéder à votre compte en se faisant passer pour vous et en prétendant qu'ils ont été bloqués hors de votre compte. Pour vous offrir la protection la plus efficace contre ce type d'accès frauduleux à un compte, la protection avancée ajoute des étapes supplémentaires pour vérifier votre identité lors du processus de récupération du compte.
Si vous perdez un jour l'accès à votre compte et à vos deux clés de sécurité, ces exigences de vérification supplémentaires prendront quelques jours pour restaurer l'accès à votre compte.
Je n'en ai pas encore fait l'expérience, mais ça n'a pas l'air amusant.
Qu'est-ce que l'utilisation de Google Advanced Protection Program?
Commencez par consulter le site Web du programme de protection avancée de Google. Vous serez invité à saisir quelques clés U2F. Auparavant, Google recommandait les clés tierces, ce qui est correct. Mais maintenant que les clés Titan sont disponibles dans le Google Store, il est tout aussi facile de les saisir. La façon dont vous les utiliserez sera exactement la même.
Une fois que vous les avez, vous vous inscrivez au service. Cela activera toutes les protections et vous déconnectera de tout, pour des raisons évidentes.
Il est donc temps de vous reconnecter. Ou pas. C'est là que les choses deviennent un peu intéressantes.
Je dois maintenant utiliser Gmail dans un navigateur Web plutôt que dans un wrapper comme Mailplane ou Shift. Cela a été une gêne mineure, mais pas vraiment un obstacle. (Enfer, c'est une application de moins à exécuter en arrière-plan.) Mais cela signifie également que Mac OS n'a plus accès à Gmail. C'était en fait un peu surprenant, compte tenu de l'efficacité du programme de protection avancée avec iOS via une application d'assistance "Smart Lock". Peut-être que ça va changer à un moment donné. Mais d'un autre côté, je n'échangerais pas Gmail dans un navigateur contre l'application Mail d'Apple.
Se reconnecter au téléphone était assez facile. Pour cela j'ai utilisé mon fob Bluetooth / USB. Celui que je possède depuis environ un mois se recharge via microUSB, ce qui est un peu gênant. Mais, encore une fois, pas un deal-breaker. Si je veux l'utiliser avec un téléphone, je me connecte via Bluetooth. Si je veux l'utiliser avec un ordinateur, je le branche. Assez facilement. J'ai également utilisé le Yubikey Neo, qui est USB-A et intègre la technologie NFC, et il fonctionne très bien aussi. Notez que si vous utilisez un iPhone, vous aurez besoin de quelque chose avec Bluetooth, au moins jusqu'à ce que le NFC soit officiellement ouvert dans iOS 12.
Se connecter à un Pixelbook a pris 10 secondes. Tapez mon mot de passe, connectez une clé et authentifiez-vous, et je suis opérationnel. (Toutefois, si vous utilisez réellement un Chromebook et que vous utilisez vraiment la protection avancée, vous voudrez vous assurer que vous avez mis en place une autre sécurité de connexion de base, afin que personne ne puisse simplement l'ouvrir et commencer à l'utiliser. autre ordinateur portable, vraiment.)
Le plus grand hic pour moi a été avec la télévision NVIDIA Shield. (Lorsque vous êtes déconnecté de tout, vous êtes déconnecté de tout.) Vous penseriez pouvoir vous connecter comme un téléphone Android. (Parce que c'est une plate-forme Android, après tout.) Mais pour une raison quelconque, cela ne fonctionne tout simplement pas, comme si vous essayiez de vous connecter avec une autre source tierce non fiable.
Au-delà de cela, les choses se sont bien déroulées. Ce n'est pas comme si je devais me connecter à mon compte tous les jours. (Bien que dans certains environnements professionnels, ce schéma de clé physique convient parfaitement.)
Si j'ai besoin de me connecter à un nouveau périphérique quelque part, je dois simplement m'assurer que j'ai la clé sur moi. Je garde donc une de mes clés et une copie de sauvegarde dans un endroit sûr. (Non, je ne vous dis pas où.)
Soit dit en passant: vous pouvez vous désinscrire du programme de protection avancée de Google si vous ne pouvez pas vivre avec. Mais je n'ai pas ressenti cette envie du tout. En outre, vous pouvez désinscrire des clés de n'importe quel service à tout moment. Vous devrez simplement vous rappeler avec quels services vous utilisez une clé. (Ou vous pouvez toujours détruire une clé si vous en avez fini.)
Quelle clé U2F convient le mieux à la protection avancée?
Voici où les choses se résument vraiment à votre propre situation. Vous pouvez obtenir une clé USB-A directe. Vous pouvez obtenir une clé USB-C. Vous pouvez obtenir une clé nano (USB-A ou USB-C) qui habite la plupart du temps dans votre ordinateur portable mais ne vous gêne pas (en dehors de l'utilisation d'un port). Vous pouvez obtenir quelque chose avec Bluetooth ou NFC.
Vous n'avez pas à utiliser la clé de sécurité Titan de Google si quelque chose d'autre fonctionne mieux pour vous.
(Remarque: le modèle USB de la clé de sécurité Titan de Google inclut la technologie NFC, mais cela ne fonctionnera pas au lancement. Cela nécessitera une mise à jour en arrière-plan sur votre téléphone. D'autres clés matérielles gèrent parfaitement la technologie NFC., cependant, si vous devez avoir raison dès cette seconde.)
Tout dépend de la fréquence à laquelle vous devez vous connecter à ce que vous devez vous connecter et du type de périphérique que vous utilisez. Si votre entreprise nécessite une autorisation quotidienne, mais sur un ordinateur de confiance (par exemple, derrière un tas de portes verrouillées), alors peut-être une clé nano USB-A est la solution. Si, comme moi, vous n'avez pas besoin de vous connecter très souvent, mais souhaitez tout ce que propose la protection avancée, une solution plus grande pourrait ne pas être terrible. Si vous avez un ordinateur portable USB-C et un téléphone USB-C, cela rend la décision encore plus facile. Cela va varier en fonction de ce que vous utilisez.
Et vous n'avez pas nécessairement besoin de la clé Titan de Google non plus. Elles fonctionnent exactement comme les autres clés U2F. Seules celles-ci ont la puissance de Google derrière elles, contrôlant le firmware interne. (Et c’est un bon argument de vente.) Et contrairement aux autres clés, qui peuvent être manipulées par un service informatique, le micrologiciel est totalement verrouillé. Vous les utiliserez comme prévu par Google.
Le programme de protection avancée de Google est-il ce qu'il vous faut?
C'est l'une de ces choses que je ne peux pas répondre pour vous.
Le programme de protection avancée est un peu excessif, mais c'est aussi la bonne façon de faire de la sécurité.
D'une part, je veux dire oui, c'est le cas. J'ai trouvé que le compromis entre sécurité et gêne était minime. De toute façon, cela ne va pas remplacer complètement les codes SMS et les jetons logiciels, même si ce serait bien. Le simple fait est que les services n'utilisent pas suffisamment de clés matérielles. (Et certains ne les autorisent que comme méthodes 2FA secondaires.) Consultez twofactorauth.org pour savoir si votre service préféré les utilise.
Et je suis vraiment près de mettre le compte de ma fille dessus. (Si je ne l'ai pas déjà fait, car maintenant que j'écris ceci…)
J'ai déjà dû aider trop de membres de la famille à récupérer des comptes. Il est tout simplement trop facile de cliquer accidentellement sur des liens sur lesquels vous n'auriez jamais dû cliquer. Ça arrive aux meilleurs d'entre nous.
Ce dont nous avons besoin, c’est d’un soutien renforcé en amont, qui permette de reconnaître que l’Internet est en retard et en panne, et que nous devons être plus vigilants.
Google Advanced Protection fournit cette assistance.
C'est juste à nous de l'utiliser. Et je ne l'éteins pas.
