Τα Security keys μπορούν να σταματήσουν ακόμα και τις πιο εκλεπτυσμένες επιθέσεις, προστατεύοντας τους λογαριασμούς σας. Η απαγορευτική τιμή ήταν μέχρι τώρα ο κύριος λόγος που η τεχνολογία δεν έχει γίνει ευρέως αποδεκτή από τους χρήστες. Η Google όμως επιθυμεί να αλλάξει τα πράγματα με μια κίνηση καλής θελήσεως, επιτρέποντας στο κινητό σας να λειτουργεί σαν Security Key χωρίς κανένα επιπλέον κόστος.

Η λειτουργία είναι πλέον διαθέσιμη σε όσους χρήστες έχουν Android 7.0 και πάνω. Το ενσωματωμένο λοιπόν κλειδί δουλεύει όπως ένα φυσικό security key (που έρχεται σε μορφή USB) με την διαφορά ότι είναι δωρεάν!

Με αυτό το σύστημα, κάθε φορά που βάζετε τον κωδικό σας σε έναν υπολογιστή θα δέχεστε μια ειδοποίηση στο κινητό σας. Με την επαλήθευσή σας, το Android θα στέλνει μια ηλεκτρονική επιβεβαίωση μέσω Bluetooth στον υπολογιστή σας, ξεκλειδώνοντας τον λογαριασμό σας. Όσοι χρησιμοποιούν ήδη Two-factor authentication όταν εισέρχονται στους Google λογαριασμούς τους η διαδικασία θα τους φανεί οικεία. Όμως στην βάση της αυτή η μέθοδος είναι διαφορετική.

Αυτό το παραπάνω στρώμα ασφάλειας είναι σχεδιασμένο για να εξασφαλίζει ότι μόνο εσείς μπορείτε να έχετε πρόσβαση στον λογαριασμό σας. Για την ώρα η τεχνολογία δουλεύει μόνο με τους λογαριασμούς Google και G Suite. Επίσης χρειάζεστε έναν υπολογιστή που να υποστηρίζει Bluetooth και να έχετε εγκατεστημένο τον Chrome browser. Ο γενικότερος στόχος είναι να επεκταθεί η πλατφόρμα και σε άλλους διακομιστές συμπεριλαμβανομένων των Firefox και Safari, καθώς σε και τρίτες ιστοσελίδες. Εδώ μπορείτε να δείτε πως να το ενεργοποιήσετε.

Μια προσπάθεια να μπει ένα τέλος στους κωδικούς ασφάλειας

«Θέλουμε να κάνουμε αυτή την τεχνολογία όσο πιο ευρεία διαθέσιμη γίνεται,» αναφέρει ο product manager της Google, Christian Brand στο PCMag.

Η λύση που παρέχει η Google αξιοποιεί το FIDO 2 standard. Δουλεύει όπως ένα φυσικό Security Key, το κινητό αποθηκεύει ένα κρυπτογραφικό κλειδί το οποίο μετά μπορεί να χρησιμοποιηθεί για το ξεκλείδωμα του ανάλογου λογαριασμού.

Αυτό που κάνει την τεχνική αυτή τόσο ασφαλή είναι το γεγονός ότι ο κωδικός αυτός δεν θα μεταφερθεί ποτέ μέσω του internet. Η λειτουργία ανταποκρίνεται μόνο σε αιτήματα πιστοποίησης από τους αυθεντικούς πάροχους του λογαριασμού σας. Έτσι, ακόμα και οι πιο πιστές αντιγραφές σελίδων από κακόβουλους χρήστες δεν θα μπορέσουν να "κοροϊδέψουν" το Security Key.

Η επιλογή του Android 7.0 από την Google δεν είναι τυχαία. Η συγκεκριμένη έκδοση είναι η πρώτη που περιέχει Trusted Execution Environment (TEE), μια στεγανή «περιοχή» στον επεξεργαστή του τηλεφώνου. Μέσω του TEE, το κινητό μπορεί να αποθηκεύσει και να επεξεργαστεί τις πιο ευαίσθητες πληροφορίες σας, όπως οι κρυπτογραφημένες πληροφορίες του δακτυλικού σας αποτυπώματος.

Στις περισσότερες περιπτώσεις το ενσωματωμένο Security Key της Google θα λειτουργεί εντός του ασφαλούς πλαισίου του TEE. Τα Pixel 3 από την άλλη θα προσφέρουν ακόμα περισσότερη ασφάλεια, αποθηκεύοντας τους κωδικούς μέσα στο ειδικό Titan security chip της εταιρίας το οποίο δουλεύει ανεξάρτητα από τον κύριο επεξεργαστή της συσκευής.

Για την ώρα μπορείτε να χρησιμοποιήσετε το Security Key μόνο σε μία συσκευή. Αν αποκτήσετε νέα συσκευή πρέπει να απενεργοποιήσετε την λειτουργία στην παλιά σας συσκευή και να την ενεργοποιήσετε εκ νέου στην καινούργια.

Μπορούμε να εμπιστευτούμε την Google;

Μερικοί ίσως είναι σκεπτικοί με την νέα λύση ασφάλειας που προσφέρει η Google. Εξάλλου το λογισμικό Android έχει πολλές φορές βρεθεί υπό την απειλή malware ή επικίνδυνων software exploits. Ο Brand, τόνισε στο PCMag ότι για να αποκτήσει κανείς πρόσβαση σε αυτό τον ειδικό κωδικό θα πρέπει να έχει φυσική πρόσβαση στην συσκευή κάτι που σημαίνει ότι την έχετε «βάψει» ούτως η άλλος.

«Το νόημα είναι ότι παύει να υφίσταται το πρόβλημα του phishing,” αναφέρει ο Product Manager της Google, «Εντάξει, τώρα αν έχω έναν κακόβουλο χρήστη που συνδέει με καλώδιο την συσκευή και γνωρίζει κάποιο άγνωστο κενό ασφάλειας στο Android 7, που του επιτρέπει να μεταφέρει όλα τα αρχεία σε ένα flash δίσκο, είναι ένα σημαντικό πρόβλημα. Αλλά είναι σίγουρα ένα κατά πολύ δευτερεύων πρόβλημα σε σύγκριση με αυτό που προσπαθούμε να αντιμετωπίσουμε.»

Πολλοί χρήστες ακόμα προστατεύουν αναποτελεσματικά τους λογαριασμούς τους μόνο με κωδικούς, πρόσθεσε ο Sam Srinivas, product manager director της Google. «Η πραγματική απειλή προέρχεται από κάποιον που κάθετε 3.000 μίλια μακριά και σου στέλνει μια ψεύτικη σελίδα για να συμπληρώσεις τα στοιχεία σου. Ενάντια σε αυτούς θέλουμε να σας προστατεύσουμε: μια απομακρυσμένη επίθεση. Αυτός είναι ο καθαρός και υπάρχων κίνδυνος,» είπε.

Δυστυχώς πολλές ιστοσελίδες, όπως αυτές των τράπεζων, δεν προσφέρουν ακόμα τέτοιες υπηρεσίες ασφάλειας. Άλλες προσφέρουν μόνο two-factor authentication λειτουργίες που παράγουν έναν κωδικό μιας χρήσης και τον στέλνουν μέσω SMS στον χρήστη. Ακόμα και αυτή η τεχνική όμως δεν είναι πλήρως ασφαλής. O Srinivas ελπίζει ότι η νέα υπηρεσία της Google θα γίνει καθολικά αποδεκτή από τους χρήστες και τις υπηρεσίες.

Γιατί να χρησιμοποιήσω την λειτουργεία Security Key;

Η λύση αυτή παρέχει μεγάλα πλεονεκτήματα έναντι των two-factor authentication (2FA) συστημάτων. Τα 2FA συνήθως χρειάζονται από τον χρήστη να παρέχει και έναν επιπλέον κωδικό μιας χρήσης που δημιουργείται, είτε μέσω μιας εφαρμογής, είτε στέλνεται μέσω SMS από την εταιρία, ώστε ακόμα και αν ο αρχικός σας κωδικός κλαπεί, ο χάκερ να μην έχει πρόσβαση στον λογαριασμό σας.

Τα συστήματα 2FA δυστυχώς όμως είναι και αυτά τρωτά. Οι πολυμήχανοι hackers έχουν αποδείξει ότι μπορούν να ξεγελάσουν τα θύματά τους και να τους στείλουν τον κωδικό μιας χρήσης μέσω προσεκτικά κατασκευασμένων επισημοφανών email.

Η ειδοποιός διαφορά του security key, είναι ότι ενώ δουλεύει όπως ένα 2FA, αντικαθιστά τον κωδικό μιας χρήσης με την φυσική συσκευή σας. Έτσι, ο επίδοξος κλέφτης θα πρέπει να έχει φυσική πρόσβαση στο κινητό σας αν θέλει να κλέψει τον λογαριασμό σας. Εταιρείες όπως η Google, Facebook, Twitter και Dropbox όλες παρέχουν security key υπηρεσίες με τους λογαριασμούς τους.

Η Google βρήκε την ιδέα τόσο αποτελεσματική ώστε να δώσει security keys σε όλους τους υπαλλήλους της το 2017. Από τότε δεν έχει υπάρξει ούτε μια επιβεβαιωμένη παραβίαση εταιρικού λογαριασμού. Τον τελευταίο χρόνο η εταιρία επίσης ξεκίνησε να πουλάει το αποκλειστικό της «Titan» security key προϊόν για $50.

Πάρα την παραπάνω υπηρεσία, οι εταιρικοί πελάτες της Google είχαν επανειλημμένα ζητήσει από την εταιρία να βρει μια πιο προσιτή λύση ώστε να μπορέσουν σχεδόν όλοι οι υπάλληλοι τους να έχουν πρόσβαση στην αυξημένη ασφάλεια που παρέχει η τεχνολογία. Σε απάντηση η Google λοιπόν πρόσθεσε αυτή την λειτουργία στην συσκευή που όλοι καθολικά έχουμε μαζί μας όλη την ώρα, τα κινητά τηλεφώνα.

Για να προστατεύσετε πλήρως τον Google λογαριασμό σας με το νέο security key, θα πρέπει να πάτε στις ρυθμίσεις ασφάλειας και να απενεργοποιήσετε όλες τις 2FA υπηρεσίες γλυτώνοντας έτσι χρόνο οπότε συνδέεστε στον λογαριασμό σας και προσθέτοντας ένα θεωρητικά αδιαπέραστο επίπεδο ασφάλειας. Το μειονέκτημα είναι ότι η υπηρεσία δουλεύει μόνο σε Windows 10, macOS και Chrome OS συσκευές που έχουν Bluetooth λειτουργία.

Πηγή: gr.pcmag.com