На прошлой неделе Google ввела поддержку физических ключей безопасности (Security Keys) в качестве второго уровня аутентификации для приложений, загружаемых с маркетплейса G Suite (ранее Google Apps). Отныне корпоративные администраторы, отвечающие за развертывание облачных приложений, предназначенных для повышения производительности, смогут реализовать двухэтапную систему аутентификации с подтверждением логина с помощью USB-токена.
Анонсирован также размещенный сервис S/MIME, способный обеспечить еще один уровень безопасности в дополнение к TLS, существующему на Gmail. «TLS лишь гарантирует службе отправителя шифрование до первого промежуточного узла маршрута, а получателю – на последнем хопе, – пишут представители Google в блоге. – Однако практика показывает, что письма в ходе передачи ретранслируются много раз (через узлы переадресации, списки рассылок, релеи, сетевые распределители и т.п.). В случае с размещенным S/MIME шифруется само сообщение, это облегчает надежную передачу на протяжении всего пути до ящика получателя».
По свидетельству Google, размещенный S/MIME добавляет проверку электронной подписи на аутентичность на уровне аккаунта – в отличие от технологии DKIM, в соответствии с которой проверке подвергается лишь домен отправителя. «Это означает, что получатель письма сможет удостовериться в том, что входящее сообщение отослано с аккаунта отправителя, а не просто из его домена, и что оно сохранило целостность после отправки», – гласит блог-запись Google.
Оба нововведения Google обеспечат пользователям дополнительные механизмы проверки идентичности и аутентификации. Поддержку физических ключей безопасности компания впервые ввела в 2014 году и позиционирует ее как надежную защиту от фишинга. «Вместо ввода уникального кода как второго фактора при регистрации, Security Keys посылает нам криптографическое доказательство того, что пользователь находится на легитимном сайте Google и вооружен ключом безопасности, – поясняют Христиан Бранд (Christiaan Brand) и Гуэмми Ким (Guemmy Kim) из команды по обеспечению безопасности аккаунтов Google. – Поскольку большинство перехватов осуществляется удаленно, эти усилия сводятся на нет, так как у атакующих нет физической возможности завладеть ключом безопасности».
Google также отметила, что эту защиту можно распространить и на мобильные устройства (Android и iOS), так как Security Keys поддерживает стандарт Bluetooth Low Energy (BLE) и парную работу устройств по протоколу BLE. «BLE Security Keys, работающий и на Android, и на iOS, улучшает юзабилити других форм-факторов», – заявили Бранд и Ким.
Анонс Security Keys для G Suite является частью более широкой программы совершенствования средств контроля, доступных корпоративным пользователям в рамках данного сервиса. Двумя днями ранее Google ввела поддержку технологии DLP (защиты от утечек данных) на Google Drive, расширив возможности администратора по контролю безопасности конфиденциальных данных, управлению их сохранением в облаке и ограничению совместного доступа. Настройки DLP в данном случае также позволяют с легкостью создавать правила и использовать оптическое распознавание отсканированных документов для контроля соблюдения политик и разделения доступа.
Напомним, поддержка USB-токенов была также недавно введена на Facebook. Google, Facebook и другие IT-провайдеры давно предлагают двухфакторную аутентификацию, но во всех прежних системах пароль обычно дополнялся одноразовым кодом, присланным в SMS или по электронной почте. Использование USB-токенов считается более надежной защитой, и Google в ближайшее время собирается ее предложить также владельцам аккаунтов. Альянс FIDO является партнером Google, и последняя давно использует ключи безопасности стандарта FIDO U2F для внутренних нужд.
Оригинал: threatpost.com