Die Unternehmenssicherheit bei Google ist, davon kann man ausgehen, schon ganz gut aufgestellt. Doch es gibt Angriffsvektoren, gegen die gibt es keinen 100%igen Schutz. Erstrecht nicht wenn man 85.000 Mitarbeiter hat. Doch Google hat das Problem gelöst. Mit einem 20 Dollar teuren USB-Stick wurde das Problem, so wie es aussieht, gelöst. Seit der Einführung der Sticks ist kein Fall bekannt geworden bei dem ein Google Mitarbeiter Account durch eine Phishing Attacke erfolgreich übernommen werden konnte.
Hardware-Token um die Unternehmenssicherheit bei Google zu erhöhen.
Es ist ein USB-Stick der an jeden Schlüsselanhänger passt. Und genau das ist er im Grunde auch: Ein Schlüssel. Damit lassen sich jedoch nur virtuelle Türen öffnen. Der U2F (Universal Two Factor) Protokoll fähige Stick wird zum fehlenden Puzzleteil für Angreifer, die bereits den Benutzernamen und das Passwort ergaunert haben. Einmal eingerichtet sind diese Daten nämlich nicht mehr ausreichend. Jeder der 85.000 Mitarbeiter bei Google muss diesen Stick bei sich haben, um bei Bedarf zu beweisen das er der Berechtigte ist um auf den Account zuzugreifen. Der Stick muss dann ans Gerät angeschlossen werden.
Bei NFC reicht es auch ihn in der unmittelbaren Umgebungen des Geräts zu haben. Sobald nach dem Stick gefragt wird, reicht ein kleiner Druck auf den Stick um diese Anfrage zu beantworten. Was sich im ersten Augenblick nach Mehraufwand anhört, sorgt für ein enormes Sicherheitsplus.
We have had no reported or confirmed account takeovers since implementing security keys at Google.
Dabei hat sich der Technologiekonzern bewusst gegen die SMS und das One-Time-Password per App entschieden. Die kostengünstigen bzw. kostenlosen Alternativen haben nämlich ihre Schwächen. So war bei den Verantwortlichen Accounts, die dem Reddit Hack zum Opfer gefallen sind, die SMS als zweiter Faktor aktiviert. Dass das geht hat schon der Vorfall rund um das mTAN Verfahren gezeigt. Mit viel Aufwand konnten SMS Nachrichten abgefangen werden. Die Untersuchungen bei Reddit stehen noch an.
Die Security Keys können auch für zahlreiche private Accounts eingesetzt werden.
Klar ist, wenn jeder so einen Stick hätte dann sehe das mit der Sicherheit im Internet schon ganz anders aus. Mit dem Datendiebstahl ließe sich nicht mehr allzu viel Geld verdienen, weil stets der Stick fehlt. Die Realität sieht aber anders aus. An allen Ecken und Kanten findet man noch schlechte Passwörter und den fehlenden zweiten Faktor bei der Authentifizierung.
Kommen Angreifer nicht schnell ans Ziel, hat man gute Chancen dass sie das Ziel über kurz oder lang wechseln. Gerade wenn der Gmail, Dropbox und Facebook Account viele sensible Informationen beinhalten oder eine hohe Reichweite besitzen, sollte man über die Anschaffung des Sticks nachdenken. Je nach Einsatzzweck und USB Anschluss gibt es unterschiedliche Sticks.
Wer sein persönliches Sicherheitsniveau auf das von der Unternehmenssicherheit von Google hieven will, der braucht so einen Stick und geht dann in das Einstellungsmenü von Google hinein.
“Kontoeinstellungen”
-> “Anmeldung & Sicherheit”
–> “Bestätigung in zwei Schritten” aktivieren
Dort lässt sich der Stick dann ohne große Umstände für euren Account aktivieren. Die Fehlertoleranz bei den Sticks ist übrigens außergewöhnlich klein. So hat eine studie von Google gezeigt, dass die 2-Faktor-Authentifizierung, basierend auf Textnachrichten oder der App, eine durchschnittliche Fehlerrate von 3% aufweist. Für einen zweiten Faktor ist das aus meiner Sicht schon viel Spielraum. Der Stick hingegen besitzt eine Fehlerrate von 0%. Wenn schon sicher, dann richtig.