Biztonsági óra: tudod-e tartani a Google-t a Gmail-ből?

Ezen a héten egy korábban írt olvasó üzenetét követem nyomon, amely arról szól, hogyan ne kerüljön ki a fiókjaiból, amikor két tényezőjű hitelesítést vagy 2FA-t használ. Jeremy (Capetown) szintén bejelentkezett, hogy megkérdezze, lehet-e használni a 2FA-t a Google távol tartására a Gmailből. Levélét röviden szerkesztettük.

Van-e olyan biztonsági beállítás, amelyet végre lehet hajtani, amely megakadályozhatja magát a Google-t a Gmail elérésében?

Mi a kétfaktoros hitelesítés?

Áttekintés: kétfaktoros hitelesítés az, amikor két lehetséges hitelesítési tényezőt használ a lehetséges három listájából: Valami, amit tudsz, valami van, vagy valami vagy. A jelszó például valami, amit tud, és az ujjlenyomat valami. Ha a kettőt együtt használja, akkor a 2FA-t használja.

Gyakorlati szempontból a 2FA magában foglal egy extra lépést, amelyet a jelszó megadása után tesz, hogy abszolút bizonyítsa, hogy Ön az, akit mond. Ez gyakran magában foglalja az alkalmazásból előállított vagy SMS-ben elküldött egyszeri kód használatát, de sok más lehetőség is létezik, beleértve a bejelentkezéshez szükséges alkalmazásokat, például a Duo-t, vagy a hardver biztonsági kulcsait, mint például a Yubico és más gyártók.

A 2FA jó. Használd. Ez egy nagyszerű módszer a rosszfiúk fiókjaiból való távoltartására, de úgy tűnik, hogy sokat fog tenni a Google kiszolgálásának elkerülése érdekében.

Ki mit lát?

Általában úgy tűnik, hogy a Google hozzáfér az e-mailek tartalmához. Christopher Cuong Nguyen, aki magát a Google egyik alkalmazottjaként sorolja fel, a Quora-ban 2010-ben írta, hogy nagyon kevés munkavállaló fér hozzá az e-mail tartalmakhoz, és hogy az információk visszaszerzéséhez rendkívül szabályozott út áll fenn. Ezen információ ezen a ponton majdnem egy évtizede régi, de azt bizonyítja, hogy igen, egy ponton voltak emberek, akik elérhetik a Gmail-fiókod.

Mint törvényt befogadó vállalat, a Google szerint a kormányok és a bűnüldöző szervek kötelesek eleget tenni a törvényes információkéréseknek. Ez magában foglalhatja az e-mail üzenetek tartalmát, bár a Google rámutat arra, hogy igyekszik szűkíteni a kapott kérések körét, és a fényképek, dokumentumok, e-mailek és egyebek átadása előtt keresési engedélyre van szüksége.

A Google más módon is felhasználhatja az Ön Gmail-adatait. Miközben a vállalat nem szkennel üzeneteket egyedi hirdetéstartalom létrehozására, évek óta híresen tette. A Gmail még most is elemezte az üzeneteit ahhoz, hogy kihúzza és kiemelje az utazási információkat, és típus-előzetes javaslatokat generáljon, amikor üzeneteket ír. Kényelem szintjétől függően ez lehet teljesen finom vagy vadul inváziós.

Úgy tűnik, hogy a Google titkosítja az Ön e-maileit, de elsősorban azoknak az üzeneteknek a továbbítása során. A Google még akkor is elképzelhetően hozzáférhet az Ön üzeneteihez, ha ezeket az üzeneteket titkosítva pihenjük a Google szerverein, ha a Google kezeli a titkosítási kulcsokat - és amit láttam, ez azt jelenti.

A 2FA nem a válasz

Látom, honnan jön Jeremy a kérdésével. Mivel én irányítom a Yubikey-t, és a Google nem, ha engedélyezem a 2FA-t, a Google nem férhet hozzá Gmail-fiókomhoz. A Google azonban változtatásokat hajthat végre a 2FA-val védett fiókokban.

Az egyik nem munkahelyi Gmail-fiókom feltöltésére kattintottam az Elfelejtett jelszó elemre. Azonnal alternatív lehetőségeket váltott ki a bejelentkezéshez: szöveges küldés a telefonra, a Yubikey használatával, riasztás megérintése egy ellenőrzött telefonra, e-mail küldése a helyreállítási e-mail címemre, a biztonsági kérdés megválaszolása, a Gmail létrehozásának dátumának megadása fiókot, majd végül elhagy egy e-mail címet, amellyel a Google elérhetett engem a problémám közvetlen kezeléséhez. Ha a Google hozzáférést biztosíthat nekem a saját számlámhoz anélkül, hogy feltétlenül rendelkezne a jelszavammal vagy a második tényezővel, ez azt jelenti, hogy a Google maga is megteheti.

Még a Google speciális Gmail-védelmi programja is rendelkezik egyfajta helyreállítási lehetőséggel. Ha engedélyezve van, az Advanced Protection megköveteli, hogy két különböző hardver biztonsági kulcsot regisztráljon - egyet a bejelentkezéshez, a másikat pedig biztonsági másolatként. Ha elveszíti mindkét kulcsot, a Google ezt mondja az Advanced Protection Program-fiókjának irányításának visszaszerzéséről:

Ha továbbra is hozzáfér egy bejelentkezett munkamenethez, akkor látogasson el a account.google.com webhelyre, és regisztrálja a cserekulcsokat az elveszett kulcsok helyett. Ha elvesztette mindkét kulcsot, és nem fér hozzá a bejelentkezett munkamenethez, akkor fiókjának helyreállítási kérelmét kell benyújtania. Néhány nap eltelte után a Google ellenőrzi, hogy Ön vagy, és hozzáférést biztosít számlájához.

Összességében úgy tűnik, hogy a 2FA - még a speciális védelemben alkalmazott szélsőséges változat is - nem elég ahhoz, hogy tartsa magát a Google-t az e-mailjeitől. A legtöbb ember számára ez valószínűleg jó dolog. Az e-mail fiókok hihetetlenül fontos része az egyén biztonsági infrastruktúrájának. Ha elfelejti a jelszavát, vagy meg kell változtatnia a jelszót, az ellenőrzött fiókhoz küldött e-mail általában a folyamat része. Ha a támadó hozzáférést kap az Ön e-mail fiókjához, akkor tovább használhatja a webhelyen a fiók-helyreállítási lehetőséget, hogy még több fiókhoz hozzáférjen. Fontos, hogy a felhasználók rendelkezzenek eszközökkel fiókjaik ellenőrzésének visszaszerzéséhez.

Valóban privát üzenetek

Amikor arról beszélünk, hogy mi lehet és mit nem lehet látni az üzenetküldő rendszerekben, akkor a titkosításról, nem pedig a hitelesítésről kell beszélnünk. A legtöbb szolgáltatás titkosítást használ az üzenet küldésének és tárolásának különböző pontjain. A Gmail például a TLS-t használja az üzenet küldésekor annak biztosítása érdekében, hogy az ne legyen elfogva. Ha bármilyen üzenetküldő szolgáltatás megtartja az üzeneteinek titkosításához használt kulcsokat, amikor a szerveren pihennek, akkor biztonságos feltételezés, hogy a vállalat maguk is hozzáférhetnek ezekhez az üzenetekhez.

Ha meg szeretné őrizni Gmail-fiókját, de üzeneteit olvashatatlanná szeretné tenni, ezeket az üzeneteket saját maga is titkosíthatja. Számos titkosítási beépülő modul létezik a Chrome számára, vagy beállíthatja a Thunderbird üzeneteinek titkosításához a PGP-vel, az e-mailek általánosan használt titkosítási sémával. A drágább Yubico modelleket úgy is konfigurálhatják, hogy szükség esetén kilökjenek a PGP-kulcsra.

Csak őszinte legyek és azt mondom, hogy bár biztos vagyok benne, hogy ezeknek a munkáknak egy része, soha nem tudtam megérteni őket megfelelően. A PGP alkotója híresen elmondta, hogy még azt is úgy találja, hogy a folyamat túlságosan hajlított ahhoz, hogy megértse.

Könnyebb lehet a titkosító eszközök használata az üzenetek titkosításához, majd a titkosított kimenet csatolásához vagy beillesztéséhez a Gmailbe. A dekódolási folyamatot a másik végén kellene összehangolnia, de az e-mail tartalma nem olvasható a Google, vagy bárki más számára. A Keybase.io egy másik szolgáltatás, amely titkosíthat, dekódolhat vagy aláírhat egy e-mailben használható szöveget.

Ha feltétlenül biztosnak kell lennie abban, hogy senki másnak sincs hozzáférése az e-mailhez, van néhány lehetőség. Első és legfontosabb az, hogy áthidalja a Gmailt. A ProtonMail a ProtonVPN alkotóitól egy olyan szolgáltatás, amely tiszteletben tartja az Ön személyes adatait, és ezt úgy teszi, hogy titkosítja az összes e-mail üzenetét - beleértve azokat is, amelyeket más e-mail szolgáltatókkal küldött és fogadott emberektől. A következőképpen írja le a ProtonMail működését:

A ProtonMail beérkező levelekben lévő összes üzenet végétől a végig titkosítva van. Ez azt jelenti, hogy nem tudjuk elolvasni az Ön üzeneteit vagy átadni azokat harmadik félnek. Ide tartoznak a nem ProtonMail felhasználók által küldött üzenetek, bár ne feledje, ha e-mailt küld Önnek a Gmailből, a Gmail valószínűleg megőrzi az üzenet másolatát is.

• Kétfaktoros hitelesítés: ki rendelkezik és hogyan állíthatja be Kétfaktoros hitelesítés: ki rendelkezik és hogyan kell beállítani
• Google Titan biztonsági kulcscsomag. Google Titan biztonsági kulcscsomag
• SecurityWatch: Hogyan ne kerülhessen ki a két tényezővel történő hitelesítés SecurityWatch: Hogyan ne szabaduljunk ki két tényezős hitelesítéssel

Egy másik lehetőség az e-maileken kívüli megjelenés. A 2010-es évek vége egy csomó over-the-top üzenetküldő szolgáltatást hozott létre, amelyek az adatkapcsolatot használják az SMS-terv helyett az üzenetek küldésére az eszközök között. Az utóbbi években ezek közül a szolgáltatások közül sok teljes körű titkosítást alkalmaz, vagyis csak az Ön és a címzett tudja elolvasni az üzeneteit. A jel a legismertebb és kiváló alkalmazás önmagában. A WhatsApp elfogadta a Signal protokollt, és most az üzeneteit végpontokig titkosítja. A Facebook Messenger, kissé ironikus módon, a Signal protokollt használja a titkos üzenetek üzemmódhoz is.

Az Apple Messages platformját talán legismertebb matricáiról és animoji karaoke-ról ismerték, de ez egy rendkívül biztonságos üzenetküldő rendszer is. Az is figyelemre méltó, mert ellentétben más üzenetküldő szolgáltatásokkal, üzeneteket küldhet és fogadhat akár telefonján, akár számítógépén anélkül, hogy az Apple hozzáférést biztosítana az üzenetek tartalmához.

A Gmail használatához azt javaslom, hogy az emberek hallgassák meg a belek. Ha mélyen aggódik amiatt, hogy üzeneteit emberek vagy robotok olvasják el, próbáljon ki egy alternatívát. Ha a Gmail valóban kényelmes az Ön számára, és tetszik az általa kínált szolgáltatások, tartsa be. Minden bizonnyal megpróbálhatjuk meghajolni a Gmailt a teljesen biztonságos felé, de olyan sok egyszerűbb alternatíva létezik. Végül, a 2FA kiváló megoldás a rosszfiúk fiókjaiból való távoltartására, erről szól. Nem bíznék abban, hogy kiszorítom a szolgáltatás tulajdonosát.