Tabla de contenido:
- Los fundamentos del programa de protección avanzada
- Cómo es usar el Programa de Protección Avanzada de Google
- ¿Qué tecla U2F es mejor para la Protección avanzada?
- Entonces, ¿es el Programa de Protección Avanzada de Google lo correcto para usted?
No soy lo que llamaría una persona muy importante. Todavía me considero una especie de periodista (y es lo que está en mi título universitario), pero no diría que lo practico de la misma manera que cuando escribía en los periódicos. Tampoco soy activista, líder empresarial ni estoy en un equipo de campaña política.
¿Soy realmente un candidato para el Programa de Protección Avanzada de Google? ¿Realmente necesito la seguridad de cuenta más fuerte que Google ofrezca públicamente?
Contestaré eso en un minuto. Pero primero, definiré lo que creo que soy en estos días: me estoy acercando a la mediana edad mientras veo a mis hijas comenzar su vida en línea, y estoy tan convencido como siempre de que Internet está inherentemente al revés y roto, y todos Necesitamos tomar nuestra seguridad en línea más en serio. (Es decir, si estamos pensando en eso).
La pregunta que debe hacerse es por qué no querría proteger su vida en línea lo mejor que pueda.
La seguridad de dos factores debe ser obligatoria. Si un servicio no lo proporciona, probablemente no debería usar ese servicio. Pero todos los esquemas de dos factores no son iguales. Las contraseñas de un solo uso enviadas por SMS pueden ser interceptadas por un atacante determinado. Los tokens basados en software son mejores, pero no infalibles. Aún mejor, son las llaves físicas de hardware. Una llave física que conecta a una computadora a través de USB, o por NFC o Bluetooth, que conecta a una cuenta. ¿No tienes la llave? No vas a entrar.
Todo esto es parte de la Alianza FIDO - "El Ecosistema más grande del mundo para la autenticación interoperable basada en estándares" - y U2F, la experiencia del "Factor universal 2" nacido de FIDO. Básicamente, puede pensar en U2F y 2FA como la misma cosa, y FIDO es el grupo que hace que el estándar suceda, con personas de Google, Microsoft, Lenovo y Amazon (entre otros) en su junta.
¡Suscríbete a Modern Dad en YouTube!
Los fundamentos del programa de protección avanzada
Las claves de hardware físico han existido como una segunda forma de autenticación durante años, y han sido una opción de seguridad para las cuentas de Google durante bastante tiempo.
El Programa de Protección Avanzada de Google los convierte en un mecanismo obligatorio para iniciar sesión, y los convierte en la única opción 2FA. Aún tendrá su contraseña de Google, y ahora tendrá que usar una clave de hardware física junto con esa contraseña para acceder a su cuenta. No más códigos SMS. No más aplicaciones de Google Authenticator. No hay llamadas telefónicas. Es contraseña y clave, o no estás entrando.
Es así de simple, de verdad. Pero Google va un poco más allá. Aún podrá iniciar sesión en sitios web con su cuenta de Google. Pero las aplicaciones que pueden acceder a los archivos de Gmail o Google Drive serán muy limitadas. Así es como lo expresa Google:
Para ayudar a protegerlo, Advanced Protection solo permite que las aplicaciones de Google y ciertas aplicaciones de terceros accedan a sus correos electrónicos y archivos de Drive.
Como compensación por esta seguridad más estricta, la funcionalidad de algunas de sus aplicaciones puede verse afectada. La mayoría de las aplicaciones de terceros que requieren acceso a sus datos de Gmail o Drive, como las aplicaciones de seguimiento de viajes, ya no tendrán permiso. Y solo podrá usar Chrome y Firefox para acceder a sus servicios de Google registrados como Gmail o Fotos.
Las aplicaciones de Correo, Calendario y Contactos de Apple continuarán pudiendo acceder a sus datos de Google de manera normal.
Probablemente sea el mayor obstáculo que enfrentarás en el uso diario.
Google también lanza obstáculos adicionales frente a alguien si intentan fingir que eres tú y que has cerrado sesión en tu cuenta.
Una forma común en que los piratas informáticos intentan acceder a su cuenta es hacerse pasar por usted y simular que han sido bloqueados de su cuenta. Para brindarle la mejor protección contra este tipo de acceso fraudulento a la cuenta, Advanced Protection agrega pasos adicionales para verificar su identidad durante el proceso de recuperación de la cuenta.
Si alguna vez pierde el acceso a su cuenta y a ambas Claves de seguridad, estos requisitos de verificación adicionales demorarán algunos días en restablecer el acceso a su cuenta.
Esa no es una que haya tenido que experimentar todavía, pero no suena divertido.
Cómo es usar el Programa de Protección Avanzada de Google
Primero, visite el sitio web del Programa de Protección Avanzada de Google. Se le indicará que tome un par de claves U2F. Anteriormente, Google recomendaba claves de terceros, que están bien. Pero ahora que las llaves Titan están disponibles en Google Store, es igual de fácil agarrarlas. La forma en que los use será exactamente la misma.
Una vez que los tenga, en realidad se inscribirá en el servicio. Eso activará todas las protecciones, y también lo desconectará de todo, por razones obvias.
Entonces, es hora de volver a iniciar sesión. O no. Aquí es donde las cosas se ponen un poco interesantes.
Ahora tengo que usar Gmail en un navegador web en lugar de en un contenedor como Mailplane o Shift. Eso ha sido una molestia menor, pero en realidad no un espectáculo espectacular. (Demonios, es una aplicación menos que se ejecuta en segundo plano). Pero también significa que Mac OS ya no tiene acceso a Gmail. Eso en realidad fue un poco sorprendente, dado lo bien que funciona el Programa de Protección Avanzada con iOS a través de una aplicación auxiliar "Smart Lock". Tal vez cambie en algún momento. Pero, por otro lado, no cambiaría Gmail en un navegador por la aplicación de correo de Apple.
Volver a iniciar sesión en los teléfonos fue bastante fácil. Para eso usé mi mando Bluetooth / USB. El que he tenido durante aproximadamente un mes ahora cobra a través de microUSB, lo cual es un poco molesto. Pero, de nuevo, no es un factor decisivo. Si quiero usarlo con un teléfono, me conecto a través de Bluetooth. Si quiero usarlo con una computadora, lo enchufo. Bastante fácil. También he usado el Yubikey Neo, que es USB-A y tiene NFC incorporado, y también funciona muy bien. Tenga en cuenta que si está utilizando un iPhone, necesitará algo con Bluetooth, al menos hasta que NFC se abra oficialmente en iOS 12.
Iniciar sesión en un Pixelbook tardó 10 segundos. Escriba mi contraseña, conecte una clave y autentíquese, y ya estoy en funcionamiento. (Sin embargo, si realmente está usando un Chromebook y realmente usando Protección Avanzada, querrá asegurarse de tener implementada otra seguridad básica de inicio de sesión, para que alguien no pueda simplemente abrir la cosa y comenzar a usarla. Igual que cualquier otra otra computadora portátil, de verdad.)
El mayor inconveniente para mí ha sido con el NVIDIA Shield TV. (Cuando se desconecta de todo, se desconecta de todo). Pensaría que podría iniciar sesión como un teléfono Android. (Porque es una plataforma Android, después de todo). Pero por cualquier razón, simplemente no funciona, igual que si intentaras iniciar sesión con alguna otra fuente de terceros que no sea de confianza.
Más allá de eso, las cosas han sido prácticamente perfectas. No es como si tuviera que iniciar sesión en mi cuenta todos los días. (Aunque en algunos entornos empresariales, eso es exactamente para lo que este esquema de clave física es excelente).
Si necesito iniciar sesión en un nuevo dispositivo en algún lugar, solo tengo que asegurarme de tener mi clave. Así que guardo una en mis llaves y una copia de seguridad en un lugar seguro. (No, no te estoy diciendo dónde.)
Por cierto: puede cancelar su inscripción en el Programa de Protección Avanzada de Google si simplemente no puede vivir con él. Pero no he sentido ese impulso en absoluto. Además, puede anular la inscripción de claves de cualquier servicio en cualquier momento, solo tendrá que recordar con qué servicios utiliza una clave. (O siempre puedes destruir una clave si ya terminaste con ella).
¿Qué tecla U2F es mejor para la Protección avanzada?
Aquí es donde las cosas realmente se reducen a su propia situación. Puede obtener una llave USB-A directa. Puede obtener una llave USB-C. Puede obtener una llave nano (USB-A o USB-C) que vive en su computadora portátil la mayor parte del tiempo pero que no se interpone en el camino (fuera de tomar un puerto). Puede obtener algo con Bluetooth o NFC.
No tiene que usar la clave de seguridad Titan de Google si algo más funcionará mejor para usted.
(Sin embargo, una nota sobre eso: el modelo USB de la Titan Security Key de Google incluye NFC, pero no funcionará en el lanzamiento. Eso requerirá una actualización detrás de escena en su teléfono. Otras teclas de hardware manejan NFC muy bien Sin embargo, si tiene que hacerlo bien en este momento).
Todo depende de la frecuencia con la que necesite iniciar sesión en lo que sea que necesite iniciar sesión y del tipo de dispositivo que esté utilizando. Si su negocio requiere autorización diaria, pero en una computadora confiable (por ejemplo, detrás de un montón de puertas cerradas), entonces tal vez una llave nano USB-A sea el camino a seguir. Si, como yo, no necesita iniciar sesión muy a menudo pero aún quiere todo lo que ofrece Advanced Protection, algo más grande podría no ser horrible. Si tiene una computadora portátil USB-C y un teléfono USB-C, bueno, eso hace que la decisión sea aún más fácil. Va a variar según lo que uses.
Y tampoco necesita necesariamente la clave Titan de Google. Funcionan exactamente igual que otras teclas U2F: solo estas tienen el poder de Google detrás de ellas, controlando el firmware que está dentro. (Y ese es un buen punto de venta). Y a diferencia de otras teclas, que pueden ser manipuladas por un departamento de TI, el firmware está totalmente bloqueado. Los usarás como Google pretendía.
Entonces, ¿es el Programa de Protección Avanzada de Google lo correcto para usted?
Esa es una de esas cosas que no puedo responder por ti.
El Programa de Protección Avanzada es un poco exagerado, pero también es la forma correcta de hacer seguridad.
Por un lado, quiero decir que sí, lo es. He encontrado que la compensación entre seguridad y molestia es mínima. No reemplazará por completo los códigos SMS y los tokens basados en software en ningún caso, aunque sería bueno si lo hiciera. El simple hecho es que los servicios no usan claves de hardware suficientes. (Y algunos solo los permiten como métodos 2FA secundarios). Acceda a twofactorauth.org para averiguar si su servicio favorito los usa.
Y estoy muy cerca de poner la cuenta de mi hija en él. (Si aún no lo he hecho, porque ahora que estoy escribiendo esto …)
He tenido que ayudar a demasiados miembros de la familia a recuperar cuentas antes. Es demasiado fácil hacer clic accidentalmente en enlaces en los que nunca se debería haber hecho clic. Le pasa a los mejores de nosotros.
Lo que necesitamos es un soporte de respaldo más sólido para estar de acuerdo con el conocimiento de que Internet está al revés y roto y que debemos estar más atentos.
Google Advanced Protection brinda ese soporte.
Depende de nosotros usarlo. Y no lo estoy apagando.
