@ 2017.10.23 , 12:30
8

黑客攻击频发,Google推出“高级保护”安全服务

黑客攻击频发,Google推出“高级保护”安全服务
credit:123RF

数字安全与便捷之间的权衡是一个永恒的话题,大多数科技公司致力于照顾绝大多数用户都会选择的便捷用户体验。但Google不同,它正在为那些注重数字安全的用户开发一系列功能。现在,你可以在最大程度上锁定你的个人帐户——还没有任何其他的公司直接对用户提供过这种功能,让便捷一边凉快去吧。

Google公司在10月17号宣布,将为旗下帐户推出一种新的“高级保护”设置,黑客要想入侵用户在Gmail、云端硬盘、YouTube及任何其他Google产品上的敏感数据将变得难上加难。这种可选的超级安全模式适用于真正的高风险用户,包括那些受到海量网络间谍(由国家资助的)威胁的用户:比如政府官员、高净值人群(一般指资产净值在600万人民币以上的个人)、政治活动家、政治反对派以及新闻记者等。

因此,这是一个戒备严密的系统,旨在加强平台中黑客可能用于劫持帐户的各处短板。用户从桌面登录需要一个特殊的USB物理安全密钥,而从移动设备访问数据也同样需要一个蓝牙适配器。并且,所有的非Google服务和应用程序都不能访问Gmail或云端硬盘,Google的恶意软件扫描程序也将更严密地隔离和分析用户所接收的文档。要是你忘记了密码或者丢失了硬件登录密钥,你就不得不完成比以往更繁杂的一系列手续以重新获得访问权限——这也是为了更好地防止黑客绕开Google的安全防护、进而实施访问。

民主科技中心的首席技术官约·霍尔(Joseph Lorenzo Hall)说:“可以说,这是一种非常强力的锁定帐户的方式。通过这种方式,即使是那些缺乏技术知识的人,也可以拥有高度受保护的个人档案”。

在Google发布这一套新的“高级保护”安全服务之前,Gmail曾经受到过一系列复杂的黑客攻击——其目标主要集中在新闻记者、政治活动家以及俄罗斯政府的政治反对派人士的个人Gmail帐户上。大多数公开的黑客入侵行为是由克里姆林宫(俄罗斯总统驻地)支持发起的,沦陷名单也包括了希拉里的竞选总干事约翰·波迪斯塔(John Podesta)的个人Gmail帐户——维基解密在随后的几个星期内逐步披露波迪斯塔的邮件,引发了影响深远的政治混乱。

黑客攻击频发,Google推出“高级保护”安全服务
希拉里的“邮件门”
credit:123RF

“我们有一批被忽视的少数用户群体,他们面临着特别高的针对性在线攻击的风险”,一篇来自Google安全团队的博客在提及这一新功能时谈到,“比如,他们有可能是正在为选举做准备的竞选人员或助手;有可能是需要保证消息来源机密性的新闻记者;或者是正处在虐待关系中寻求庇护的人群”。

或者,正如民主科技中心的首席技术官约·霍尔所言:“如果波迪斯塔在去年就使用了这套‘高级保护’安全服务,那么世界有可能会是另外一番格局”。

对大多数用户而言,在“高级保护”安全服务加强的所有安全措施中,最大的日常更改当属用户每次登录都要使用实体硬件。用户必须购买所谓的通用第二因素(Universal 2nd Factor,缩写为U2F。是一个开放认证标准,该标准目前由FIDO联盟运作管理)或者叫U2F安全钥匙——用于桌面登录的USB密钥大约为20美元,用于移动设备登录的支持低功耗蓝牙(Bluetooth-LE)的密钥则接近25美元。Google声称,只要是经过FIDO联盟(管理身份认证协议的组织)认可的密钥就都可以使用。

这些设备的出现意味着自纯数字双因素验证法成为硅谷标准以来的重大进步。这比用短信给用户发送临时登录验证码、或者用Google身份验证器这样的智能手机app生成一次性密码又多了一层保护。要求用户使用U2F令牌而非验证码进行登录,令黑客的用户伪装变得更加困难。与一次性验证码不同,这些令牌无法在运营商网络上被拦截,或者通过入侵某人的智能手机得到。更重要的是,启用硬件登录不容易受到钓鱼网站(伪装成Google的登录页面,再使用被盗的用户名和密码来劫持用户帐户)的攻击。U2F密钥可以自行完成身份验证步骤,然后Google网站会检验U2F密钥的合法性,二者都验证通过后才允许用户登入(无需手动输入密钥)。

Google在过去三年中一直都有推行这些U2F密钥设备,但是“高级保护”安全服务采用了比以往更严格的实施规定:只有这些实体密钥设备——加上一个登录密码——方可解锁你的帐户。一旦你丢失了密钥设备,是不可能用钱包中打印的备份验证码、或者找人把验证码发给你来补救的——你必须经历一个帐户恢复过程。Google表示,比起常见的用户点击“忘记密码?”的密码找回过程,这个帐户恢复程序要远远严格繁琐得多

Google并未详细解释这个恢复过程,但是约·霍尔称该过程中会有一个“冻结”期,在这段时期内用户帐户会一直被锁定,直到用户通过多种渠道验明正身。这种速度放缓的、严格的检查机制,旨在令帐户恢复过程难以成为侵入受害者的数据的后门。

帐户恢复“炼狱”不是“高级保护”程序要求牺牲用户体验的唯一安全措施。在登录的时候,用户必须通过Chrome浏览器访问Google产品才能激活这套程序;由于对恶意软件的扫描比平常更为严格,网页对附件和其他文件的接收延迟大约有60秒。此外,“高级保护”程序将禁止所有的非Google应用访问你的Gmail或Google帐户,以防你将电子邮件导出到任何其他软件如iOS邮件客户端、Outlook或Thunderbird上。

黑客攻击频发,Google推出“高级保护”安全服务
credit:123RF

霍尔说,所有这一切都意味着Google需要向用户交待清楚:“高级保护”安全服务需要用户对其使用习惯做出真正的改变——即要经常仔细检查那两个物理硅片——但也正是因为限制严苛才能带来有价值的安全收益。“如果这令用户的重要帐户总是被锁定,那么这套服务就不会被经常使用”,霍尔警告说,“有关这套服务的说明必须要传达得非常清楚:一旦你启用了它,那么就是真的‘你不能通过!’(典故出自《魔戒》里甘道夫的一句经典台词)”。

至于这些不便之处带来的回报?在理论上,“高级保护”安全服务可以防御近期针对Gmail的最为阴险的一些攻击手段。譬如令约翰·波迪斯塔中计的(非常容易上当的)钓鱼策略几乎肯定会失败;即使是一个更聪明的欺诈策略——比如去年五月的Google文档(Google Docs)钓鱼邮件,通过欺骗用户安装一个第三方应用程序来劫持他们的帐户——也会受到阻碍,因为“高级保护”安全服务对非Google软件访问Gmail的限制可以阻拦它。

这些都意味着“高级保护”安全服务为真正需要它的人提供了一个强大的选择。可能你已退休的叔叔的帐户被黑客劫持了,曾经多次向你发送垃圾邮件——然而你觉得与其花功夫解决它,还不如放任它不管。但如果你的电子邮件一旦遭到黑客入侵,就代表着一个事业甚至是生命的终结——那么在你的口袋里装着这些密钥、采取保护措施就是值得的。

本文译自 wired,由译者 七弦​ 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

4.5
赞一个 (5)

TOTAL COMMENTS: 8+1

  1. 3593902

    U。。。U盾?

    [26] XX [0] 回复 [0]
  2. 3593907

    google也不容易

  3. 你屋头
    @1 month ago
    3593909

    我的几个u盾都没用过几次。听说三和有人收,几百块一个????

  4. dogisacat
    @1 month ago
    3593919

    @Assay:
    原理差不多。但是在电子邮件用这个,也是满拼的。
    物理密匙一般都用于股票帐户,大额银行帐户,而不是电子邮件。

    [10] XX [0] 回复 [0]
  5. 3593926

    我有两个 Yubikey,4 和 Neo,主要拿来做 GPG Card 用

  6. Solatrader
    @4 weeks ago
    3593975

    加很多防护,然后开后门给 NSA

    [7] XX [10] 回复 [0]
  7. 疯狂老虎
    @4 weeks ago
    3594088

    一群只会搞DDOS的人自称黑客

  8. 北海边
    @4 weeks ago
    3595245

    google:除了我和川普,没人能看你的邮件。

发表评论


24H最赞