Securitywatch: maaari mo bang mapanatili ang google sa iyong gmail?

Sa linggong ito, sinusundan ko ang isang mensahe mula sa isang mambabasa na dati nang sumulat tungkol sa kung paano hindi mai-lock ang iyong mga account kapag gumagamit ka ng pagpapatunay na two-factor, o 2FA. Isinulat din ni Jeremy mula sa Capetown upang tanungin kung posible na gumamit ng 2FA upang mapanatili ang Google sa Gmail. Ang kanyang sulat ay na-edit para sa brevity.

Mayroon bang ilang uri ng seguridad na naka-set up na maaaring ipatupad ng isa na maaaring mapigilan ang Google mismo na mai-access ang isang Gmail?

Ano ang Dalawang-Factor Authentication?

Upang suriin: ang dalawang-factor na pagpapatunay ay kapag gumagamit ka ng dalawang mga kadahilanan sa pagpapatunay mula sa isang listahan ng isang posibleng tatlo: Isang bagay na alam mo, isang bagay na mayroon ka, o kung ano ka. Ang isang password, halimbawa, ay isang bagay na alam mo at isang fingerprint ay isang bagay ka. Kapag ginamit mo ang dalawa, gumagamit ka ng 2FA.

Sa mga praktikal na termino, ang 2FA ay nagsasangkot ng isang dagdag na hakbang na gagawin mo pagkatapos ipasok ang iyong password upang ganap na mapatunayan na ikaw ang nagsasabing ikaw ay. Ito ay madalas na nagsasangkot ng paggamit ng isang one-time code na nabuo mula sa isang app o ipinadala sa pamamagitan ng SMS, ngunit maraming iba pang mga pagpipilian, kabilang ang mga tap-to-login na app tulad ng Duo o mga key ng seguridad sa hardware tulad ng mula sa Yubico at iba pang mga tagagawa.

Mabuti ang 2FA. Dapat mong gamitin ito. Ito ay isang mahusay na paraan upang maiwasan ang mga masasamang tao sa iyong mga account, ngunit hindi ito lilitaw na marami itong gagawin upang mapanatili ang Google.

Sino ang Nakikita?

Sa pangkalahatan, ang Google ay lilitaw na magkaroon ng access sa nilalaman ng iyong mga email. Si Christopher Cuong Nguyen, na naglilista ng kanyang sarili bilang isang dating empleyado ng Google, ay nagsulat sa Quora noong 2010 na ang isang napakaliit na bilang ng mga empleyado ay maaaring ma-access ang nilalaman ng email, at ang isang mataas na regulated path ay umiiral para makuha ang impormasyon. Ngayon, ang impormasyong ito ay halos isang dekada na sa puntong ito, ngunit ipinapakita nito na oo, sa isang punto ay may mga taong maaaring makarating sa iyong account sa Gmail.

Bilang kumpanya na sumusunod sa batas, sinabi ng Google na kinakailangan na sumunod sa mga ligal na kahilingan para sa impormasyon mula sa mga pamahalaan at pagpapatupad ng batas. Maaari nitong isama ang mga nilalaman ng iyong mga email message, kahit na itinuturo ng Google na nagsisikap na paliitin ang saklaw ng mga kahilingan na natanggap nito at nangangailangan ng isang search warrant bago ibigay ang iyong mga larawan, dokumento, mga mensahe sa email at marami pa.

Mayroong iba pang mga paraan na ginagamit ng Google ang iyong impormasyon sa Gmail. Habang ang kumpanya ay hindi na nag-scan ng mga mensahe upang makabuo ng mga pasadyang nilalaman ng ad, sikat na ginawa ito sa loob ng maraming taon. Kahit ngayon, ipinapalagay ng Gmail ang iyong mga mensahe nang sapat upang hilahin at i-highlight ang impormasyon sa paglalakbay, at makabuo ng mga mungkahi sa uri kapag nagsulat ka ng mga mensahe. Depende sa iyong antas ng kaginhawaan, maaaring maging ganap na maayos o wildly invasive.

Ang Google ay lilitaw upang i-encrypt ang iyong mga email, ngunit lalo na habang ang mga mensahe ay nasa transit. Kahit na ang mga mensahe na iyon ay naka-encrypt habang nagpapahinga sa mga server ng Google, kung pinamamahalaan ng Google ang mga susi ng pag-encrypt - at kung ano ang aking nakita ay nagpapahiwatig na ginagawa nito - maiisip pa rin ng Google ang iyong mga mensahe.

2FA Hindi ba ang Sagot

Kitang-kita ko kung saan nanggaling si Jeremy sa kanyang tanong. Dahil kinokontrol ko ang aking Yubikey, at hindi ang Google, kung pinagana ko ang 2FA, hindi dapat mai-access ng Google ang aking account sa Gmail. Gayunpaman, maaaring magawa ng Google ang mga pagbabago sa mga account na na-secure sa 2FA.

Pag-file ng isa sa aking mga di-gawa na account sa Gmail, na-click ko ang opsyon na Nakalimutan ang Aking Password. Agad itong tumalon ng mga kahaliling pagpipilian para sa pag-sign-in: pagpapadala ng isang teksto sa aking telepono, gamit ang aking Yubikey, pag-tap ng isang alerto sa isang na-verify na telepono, pagpapadala ng isang email sa aking email sa pagbawi, pagsagot sa isang tanong sa seguridad, pagpasok ng petsa na nilikha ko ang aking Gmail account, at sa wakas ay nag-iwan ng isang email address kung saan ako maaabot ng Google upang direktang matugunan ang aking problema. Kung bibigyan ako ng Google ng pag-access sa aking sariling account nang hindi kinakailangang magkaroon ng aking password o pangalawang kadahilanan, ipinapahiwatig nito na magagawa ito ng Google.

Kahit na ang Advanced na Programa ng Proteksyon ng Google para sa Gmail ay may isang uri ng pagpipilian sa pagbawi. Kapag pinagana, hinihiling ng Advanced na Proteksyon na mag-enrol ka ng dalawang magkakaibang mga key key ng seguridad sa hardware - isa para sa pag-login at isa pa bilang isang backup. Kung nawalan ka ng parehong mga susi, sinasabi ito ng Google tungkol sa muling pagkontrol ng iyong Advanced na Program ng Proteksyon ng Program:

Kung mayroon ka pa ring access sa session na naka-log in, maaari mong bisitahin ang account.google.com at irehistro ang mga pindutan ng kapalit sa lugar ng mga nawalang mga key. Kung nawala ang parehong mga susi at walang access sa isang naka-log session, kakailanganin mong magsumite ng isang kahilingan upang mabawi ang iyong account. Aabutin ng ilang araw para ma-verify ng Google na ikaw ito at bibigyan ka ng pag-access sa iyong account.

Sa balanse, parang 2FA-kahit na ang matinding bersyon nito na ginamit sa Advanced na Proteksyon - ay hindi sapat upang maiiwasan ang Google mismo sa iyong email. Para sa karamihan ng mga tao, marahil ay isang magandang bagay. Ang mga email account ay isang hindi kapani-paniwalang mahalagang bahagi ng imprastraktura ng seguridad ng isang indibidwal. Kung nawalan ka ng isang password o kailangang magbago ng isang password, ang isang email na ipinadala sa isang na-verify na account ay karaniwang bahagi ng proseso. Kung ang isang nagsasalakay ay nakakakuha ng pag-access sa iyong email account, maaari silang magpatuloy upang magamit ang pagpipilian sa pagbawi ng account sa mga website upang makakuha ng pag-access sa higit pang mga account. Mahalaga na ang mga gumagamit ay may paraan upang mabawi ang kontrol ng kanilang mga account.

Tunay na Pribadong Mensahe

Kung pinag-uusapan natin kung ano ang maaari at hindi makikita sa mga sistema ng pagmemensahe, pinag-uusapan namin ang tungkol sa pag-encrypt, hindi pagpapatotoo. Karamihan sa mga serbisyo ay gumagamit ng pag-encrypt sa iba't ibang mga punto sa proseso ng pagpapadala at pagtatago ng isang mensahe. Halimbawa, ang Gmail, ay gumagamit ng TLS kapag nagpapadala ng isang mensahe upang matiyak na hindi ito naharang. Kung ang isang serbisyo ng pagmemensahe ng anumang uri ay mananatili ang mga susi na ginamit upang i-encrypt ang iyong mga mensahe kapag nagpapahinga sila sa server, ito ay isang ligtas na palagay na ma-access ng kumpanya ang mga mensahe sa kanilang sarili.

Kung nais mong panatilihin ang iyong Gmail account, ngunit nais na gawin ang iyong mga mensahe na hindi mabasa, maaari mong i-encrypt ang mga mensahe sa iyong sarili. Maraming mga plug-in para sa Chrome, o maaari mong i-configure ang Thunderbird upang i-encrypt ang iyong mga mensahe gamit ang PGP, isang karaniwang ginagamit na scheme ng pag-encrypt para sa email. Ang mas mahal na mga modelo ng Yubico ay maaari ring mai-configure upang iwaksi ang iyong key ng PGP, kung kinakailangan.

Magiging tapat lang ako at sasabihin na habang natitiyak ko na ang ilan sa mga gawaing ito, hindi ko lubos na naiintindihan ang mga ito. Kilalang sinabi ng tagalikha ng PGP na kahit na natagpuan niya ang proseso na masyadong naiintindihan upang maunawaan.

Ano ang maaaring maging mas madali ay ang paggamit ng mga tool sa pag-encrypt upang i-encrypt ang mga mensahe, at pagkatapos ay ilakip o i-paste ang naka-encrypt na output sa Gmail. Kailangan mong i-coordinate ang proseso ng decryption sa kabilang dulo, ngunit ang nilalaman ng email ay hindi mabasa sa Google, o kahit sino pa para sa bagay na iyon. Ang Keybase.io ay isa pang serbisyo na maaaring mag-encrypt, mag-decrypt, o mag-sign text na maaaring magamit sa isang email.

Kung talagang dapat mong tiyakin na walang sinuman ngunit mayroon kang pag-access sa iyong email, may ilang mga pagpipilian. Una at pinakamahalaga ay ang paghuhugas ng Gmail. Ang ProtonMail, mula sa mga tagalikha ng ProtonVPN, ay isang serbisyo na inilaan upang igalang ang iyong privacy, at ginagawa ito sa pamamagitan ng pag-encrypt sa lahat ng iyong mga email na mensahe - kabilang ang mga ipinadadala mo at natanggap mula sa mga taong gumagamit ng iba pang mga email provider. Narito kung paano inilalarawan ng ProtonMail ang operasyon nito:

Ang lahat ng mga mensahe sa iyong ProtonMail inbox ay naka-imbak ng naka-encrypt na end-to-end na naka-encrypt. Nangangahulugan ito na hindi namin mabasa ang alinman sa iyong mga mensahe o ibigay ang mga ito sa mga third party. Kasama dito ang mga mensahe na ipinadala sa iyo ng mga hindi gumagamit ng ProtonMail, bagaman tandaan kung ang isang email ay ipinadala sa iyo mula sa Gmail, malamang na nananatili rin ang Gmail ng isang kopya ng mensaheng iyon.

• Two-Factor Authentication: Sino ang May Ito at Paano Itakda Ito Dalawa-Factor Authentication: Sino May Ito at Paano Itakda Ito
• Ang Google Titan Security Key Bundle ng Google Titan Security Key Bundle
• SecurityWatch: Paano Hindi Makaka-lock Sa May Dalubhasang Dalubhasang Factor SecurityWatch: Paano Hindi Makaka-lock Sa May Dalubhasang Factor Authentication

Ang isa pang pagpipilian ay ang pagtingin sa kabila ng email. Ang huling bahagi ng 2010 ay nagdala ng isang glut ng over-the-top na mga serbisyo sa pagmemensahe, na gumagamit ng iyong koneksyon ng data sa halip ng iyong plano sa SMS upang magpadala ng mga mensahe sa pagitan ng mga aparato. Sa mga nagdaang taon, marami sa mga serbisyong iyon ang nagpatibay ng pag-encrypt ng end-to-end, na nangangahulugang ikaw lamang at ang iyong inilaan na tatanggap, ang maaaring basahin ang iyong mga mensahe. Ang signal ay ang pinakamahusay na kilala, at isang mahusay na app sa sarili nitong karapatan. Pinagtibay ng WhatsApp ang protocol ng Signal, at ngayon ay nai-encrypt na matapos ang mga mensahe nito. Ang Facebook Messenger, medyo ironically, ay gumagamit din ng Signal protocol para sa mode ng Lihim na Mga mensahe nito.

Ang platform ng Mga Mensahe ng Apple ay marahil ay pinakamahusay na kilala para sa mga sticker at animoji karaoke, ngunit ito rin ay isang lubos na ligtas na sistema ng pagmemensahe. Kapansin-pansin din dahil hindi katulad ng iba pang mga serbisyo sa pagmemensahe, maaari kang magpadala at makatanggap ng mga mensahe sa alinman sa iyong telepono o sa iyong computer nang hindi nagbibigay ng pag-access sa Apple sa nilalaman ng iyong mga mensahe.

Pagdating sa paggamit ng Gmail, inirerekumenda kong makinig ang mga tao sa kanilang mga bayag. Kung labis kang nag-aalala tungkol sa iyong mga mensahe na binabasa ng mga tao o bot, subukan ang isang kahalili. Kung ang Gmail ay talagang maginhawa para sa iyo, at gusto mo ang mga tampok na inaalok nito, manatili dito. Ang pagsisikap na ibaluktot ang Gmail patungo sa ganap na ligtas ay tiyak na posible, ngunit maraming mas madaling kapalit. Panghuli, ang 2FA ay isang mahusay na solusyon para mapanatili ang mga masamang tao sa iyong mga account, at tungkol dito. Hindi ako aasa dito upang mai-lock ang may-ari ng isang serbisyo.