Сотрудникам Google не страшны фишинг-атаки благодаря USB-токенам

В 2017 году Google обязала всех своих сотрудников, а это более 85 000 человек по всему миру, использовать для входа в рабочий аккаунт аппаратные ключи защиты. С тех пор компания не зарегистрировала ни одного случая кражи учётных данных из-за фишинга.

Как это работает?

Стандарт универсальной двухфакторной аутентификации U2F, на который перешли в Google, позволяет отказаться от ввода паролей и одноразовых кодов проверки. Вместо этого у пользователя есть аппаратный токен размером с флешку. Для входа в свой аккаунт всего-то и надо, что вставить устройство в USB-порт и нажать на кнопку. Даже если сотрудник попадёт на фишинговый сайт, который выглядит в точности как оригинал, при попытке входа авторизация просто не пройдёт, и мошенники не получат логин и пароль.

До ввода новых правил в компании использовали «обычную» двухэтапную проверку с помощью генератора кодов Google Authenticator. Этот способ считается более надёжным, чем подтверждение по SMS, и мы не знаем, были ли случаи кражи аккаунтов раньше.

Где работает?

Аппаратные USB-ключи поддерживают Dropbox, Facebook, Github, Google, некоторые банки, VPN-сервисы, криптобиржи, а также менеджеры паролей (Dashlane, Keepass и LastPass). Функция по умолчанию доступна в браузерах Chrome и Opera, в Firefox её придётся активировать вручную на странице скрытых настроек. Microsoft обещает добавить U2F в Edge до конца 2018 года, планы Apple насчёт Safari неизвестны.

Цена токенов начинается с $10-20 за штуку в зависимости от бренда. Более дорогие модели оснащаются модулями NFC и Bluetooth для безопасного входа на мобильных устройствах. Стандарт U2F также может использоваться в USB-сканерах отпечатков пальцев.

Источник: Krebs on Security