Google ha transferido a todos sus empleados a tokens de hardware. Durante un año, ninguno de ellos robó una cuenta - Meduza

Google ha transferido a todos sus empleados a tokens de hardware. Durante un año, ninguno de ellos robó una cuenta - Meduza

Google Corporation a principios de 2017 transfirió a todos sus empleados (y a más de ellos) a tokens de hardware, pequeños dispositivos que además pueden proteger la cuenta del usuario contra intrusos. Desde que los representantes de la compañía le dijeron al periodista estadounidense Brian Krebs, no robaron exitosamente a los empleados & # 39; cuentas fue grabada.

Los tokens de hardware suelen ser similares a las unidades flash USB o llaveros. Almacenan información cifrada en sí mismos y se utilizan como un sustituto de otros métodos de autenticación de dos pasos.

La autenticación en dos pasos asume que el usuario ingresa primero la contraseña que conoce y luego el código que recibe de forma alternativa, por ejemplo, a través de SMS o en la aplicación Google Authentificator (donde el nuevo código se genera cada minuto). En este caso, incluso si el atacante asoma o roba la contraseña del usuario, no puede ingresar su cuenta; aún necesitará acceso al teléfono.

Sin embargo, estos métodos tienen sus inconvenientes. La infraestructura en la que operan casi todos los teléfonos celulares tiene una vulnerabilidad que permite a los piratas informáticos interceptar los mensajes SMS. Además, los agentes de seguridad y los ciberdelincuentes pueden acceder a los mensajes a través de los operadores de telefonía móvil, por lo que, probablemente, en abril de 2016, las cuentas se dividieron en Telegram de activistas rusos.

Usar aplicaciones como Google Authentificator es más seguro: el código no se envía a través de la red, sino que se genera en el dispositivo. Pero este método también tiene sus desventajas: un atacante puede interceptar el código en la etapa de configuración de una aplicación o usar ingeniería social para obligar a un usuario a ir a un sitio de phishing similar al real e ingresar tanto una contraseña como un código generado. ahí.

Los tokens de hardware no tienen estos inconvenientes. Para ingresar a su cuenta desde un nuevo dispositivo, el usuario debe ingresar la contraseña y luego insertar un token en el puerto USB y hacer clic en el botón que se encuentra en él (para teléfonos y tabletas se venden versiones con soporte Bluetooth). En este caso, el token rastrea la dirección del sitio e ingresa el código solo donde debería; lo más probable es que esto haya afectado principalmente al hecho de que nadie logró robar las cuentas de los empleados de Google.

La corporación considera que las claves de hardware son la manera más confiable de proteger los datos de los usuarios, por ejemplo, es el único método de autenticación de dos factores utilizado en el Programa de protección avanzada para periodistas y políticos (Medusa escribió sobre este programa poco antes del lanzamiento, aquí el oficial información de Google).

Los usuarios simples también pueden configurar seguridad con un token de hardware. Para hacer esto, necesitarán un dispositivo: cuesta varias decenas de dólares. Google publicó una instrucción paso a paso para usuarios de computadoras y teléfonos; los tokens admiten docenas de otros servicios, incluidos Facebook, Twitter y computadoras que ejecutan Windows y macOS (se pueden ingresar usando un token).

Brian Krebs, que aprendió sobre la implementación exitosa de las claves físicas en Google, señala que los tokens tienen su propio inconveniente, siempre y cuando sean totalmente compatibles solo con los navegadores Chrome y Opera. En Firefox, la compatibilidad se puede habilitar en la página de configuración, en el navegador Microsoft Edge, aparecerá más adelante. Aparecerá en algún momento de Safari, no se conoce.

.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.