На прошлой неделе Google ввела поддержку физических ключей безопасности (Security Keys) в качестве второго уровня аутентификации для приложений, загружаемых с маркетплейса G Suite (ранее Google Apps). Отныне корпоративные администраторы, отвечающие за развертывание облачных приложений, предназначенных для повышения производительности, смогут реализовать двухэтапную систему аутентификации с подтверждением логина с помощью USB-токена.

Анонсирован также размещенный сервис S/MIME, способный обеспечить еще один уровень безопасности в дополнение к TLS, существующему на Gmail. «TLS лишь гарантирует службе отправителя шифрование до первого промежуточного узла маршрута, а получателю — на последнем хопе, — пишут представители Google в блоге. — Однако практика показывает, что письма в ходе передачи ретранслируются много раз (через узлы переадресации, списки рассылок, релеи, сетевые распределители и т.п.). В случае с размещенным S/MIME шифруется само сообщение, это облегчает надежную передачу на протяжении всего пути до ящика получателя».

По свидетельству Google, размещенный S/MIME добавляет проверку электронной подписи на аутентичность на уровне аккаунта, в отличие от технологии DKIM, в соответствии с которой проверке подвергается лишь домен отправителя. «Это означает, что получатель письма сможет удостовериться в том, что входящее сообщение отослано с аккаунта отправителя, а не просто из его домена и что оно сохранило целостность после отправки», — гласит блог-запись Google.

Оба нововведения Google обеспечат пользователям дополнительные механизмы проверки идентичности и аутентификации. Поддержку физических ключей безопасности компания впервые ввела в 2014 году и позиционирует ее как надежную защиту от фишинга. «Вместо ввода уникального кода как второго фактора при регистрации Security Keys посылает нам криптографическое доказательство того, что пользователь находится на легитимном сайте Google и вооружен ключом безопасности, — поясняют Христиан Бранд (Christiaan Brand) и Гуэмми Ким (Guemmy Kim) из команды по обеспечению безопасности аккаунтов Google. — Поскольку большинство перехватов осуществляются удаленно, эти усилия сводятся на нет, так как у атакующих нет физической возможности завладеть ключом безопасности».

Google также отметила, что эту защиту можно распространить и на мобильные устройства (Android и iOS), так как Security Keys поддерживает стандарт Bluetooth Low Energy (BLE) и парную работу устройств по протоколу BLE. «BLE Security Keys, работающий и на Android, и на iOS, улучшает юзабилити других формфакторов», — заявили Бранд и Ким.

Анонс Security Keys для G Suite является частью более широкой программы совершенствования средств контроля, доступных корпоративным пользователям в рамках данного сервиса. Двумя днями ранее Google ввела поддержку технологии DLP (защиты от утечек данных) на Google Drive, расширив возможности администратора по контролю безопасности конфиденциальных данных, управлению их сохранением в облаке и ограничению совместного доступа. Настройки DLP в данном случае также позволяют с легкостью создавать правила и использовать оптическое распознавание отсканированных документов для контроля соблюдения политик и разделения доступа.

Напомним, поддержка USB-токенов была также недавно введена на Facebook. Google, Facebook и другие IT-провайдеры давно предлагают двухфакторную аутентификацию, но во всех прежних системах пароль обычно дополнялся одноразовым кодом, присланным в SMS или по электронной почте. Использование USB-токенов считается более надежной защитой, и Google в ближайшее время собирается ее предложить также владельцам аккаунтов. Альянс FIDO является партнером Google, и последняя давно использует ключи безопасности стандарта FIDO U2F для внутренних нужд.

Категории: Кибероборона