Dieses $20 Produkt steigert die Unternehmenssicherheit bei Google enorm!

Die Unternehmenssicherheit bei Google ist, davon kann man ausgehen, schon ganz gut aufgestellt. Doch es gibt Angriffsvektoren, gegen die gibt es keinen 100%igen Schutz. Erstrecht nicht wenn man 85.000 Mitarbeiter hat. Doch Google hat das Problem gelöst. Mit einem 20 Dollar teuren USB-Stick wurde das Problem, so wie es aussieht, gelöst.

Seit der Einführung der Sticks ist kein Fall bekannt geworden bei dem ein Google Mitarbeiter Account durch eine Phishing Attacke erfolgreich übernommen werden konnte.

Hardware-Token um die Unternehmenssicherheit bei Google zu erhöhen.

Es ist ein USB-Stick der an jeden Schlüsselanhänger passt. Und genau das ist er im Grunde auch: Ein Schlüssel. Damit lassen sich jedoch nur virtuelle Türen öffnen. Der U2F (Universal Two Factor) Protokoll fähige Stick wird zum fehlenden Puzzleteil für Angreifer, die bereits den Benutzernamen und das Passwort ergaunert haben.

https://www.amazon.de/Yubico-Security-Key-USB-Authentication/dp/B07BYSB7FK?SubscriptionId=AKIAJ5RYOVH75UIDPDJQ&tag=awr7-21&linkCode=xm2&camp=2025&creative=165953&creativeASIN=B07BYSB7FK Yubico Security Key - U2F and FIDO2, USB-A, Two-Factor Authentication*
  • For USB-A ports
  • Supports U2F and FIDO2
  • Extremely durable; crush-resistant, waterproof, no batteries or moving parts
  • Works with Google, Facebook, Dropbox, Dashlane, Keeper Security, GitHub, and more
  • Made in the Sweden
25,22 EUR https://www.amazon.de/gp/prime/?tag=awr7-21Bei Amazon kaufen Preis inkl. MwSt., zzgl. Versandkosten

Einmal eingerichtet sind diese Daten nämlich nicht mehr ausreichend. Jeder der 85.000 Mitarbeiter bei Google muss diesen Stick bei sich haben, um bei Bedarf zu beweisen das er der Berechtigte ist um auf den Account zuzugreifen. Der Stick muss dann ans Gerät angeschlossen werden.

Bei NFC reicht es auch ihn in der unmittelbaren Umgebungen des Geräts zu haben. Sobald nach dem Stick gefragt wird, reicht ein kleiner Druck auf den Stick um diese Anfrage zu beantworten. Was sich im ersten Augenblick nach Mehraufwand anhört, sorgt für ein enormes Sicherheitsplus.

We have had no reported or confirmed account takeovers since implementing security keys at Google.

– Google

Dabei hat sich der Technologiekonzern bewusst gegen die SMS und das One-Time-Password per App entschieden. Die kostengünstigen bzw. kostenlosen Alternativen haben nämlich ihre Schwächen. So war bei den Verantwortlichen Accounts, die dem Reddit Hack zum Opfer gefallen sind, die SMS als zweiter Faktor aktiviert. Dass das geht hat schon der Vorfall rund um das mTAN Verfahren gezeigt. Mit viel Aufwand konnten SMS Nachrichten abgefangen werden. Die Untersuchungen bei Reddit stehen noch an.

Die Security Keys können auch für zahlreiche private Accounts eingesetzt werden.

Klar ist, wenn jeder so einen Stick hätte dann sehe das mit der Sicherheit im Internet schon ganz anders aus. Mit dem Datendiebstahl ließe sich nicht mehr allzu viel Geld verdienen, weil stets der Stick fehlt. Die Realität sieht aber anders aus. An allen Ecken und Kanten findet man noch schlechte Passwörter und den fehlenden zweiten Faktor bei der Authentifizierung.

Kommen Angreifer nicht schnell ans Ziel, hat man gute Chancen dass sie das Ziel über kurz oder lang wechseln. Gerade wenn der Gmail, Dropbox und Facebook Account viele sensible Informationen beinhalten oder eine hohe Reichweite besitzen, sollte man über die Anschaffung des Sticks nachdenken. Je nach Einsatzzweck und USB Anschluss gibt es unterschiedliche Sticks.

Yubico Security Key - U2F and FIDO2, USB-A, Two-Factor Authentication* YubiKey 4* YubiKey NEO* Yubico YubiKey 4C USB-C Authentifizierung* 25,22 EUR 46,87 EUR 56,20 EUR 73,90 EUR Bei Amazon kaufenBei Amazon kaufenBei Amazon kaufenBei Amazon kaufen Für Facebook ausreichend Umfangreicher Yubikey ohne NFC Funktion Umfangreicher Yubikey mit NFC Funktion Neues USB-C Format Yubico Security Key - U2F and FIDO2, USB-A, Two-Factor Authentication* 25,22 EUR Bei Amazon kaufen Für Facebook ausreichend YubiKey 4* 46,87 EUR Bei Amazon kaufen Umfangreicher Yubikey ohne NFC Funktion YubiKey NEO* 56,20 EUR Bei Amazon kaufen Umfangreicher Yubikey mit NFC Funktion Yubico YubiKey 4C USB-C Authentifizierung* 73,90 EUR Bei Amazon kaufen Neues USB-C Format

Wer sein persönliches Sicherheitsniveau auf das von der Unternehmenssicherheit von Google hieven will, der braucht so einen Stick und geht dann in das Einstellungsmenü von Google hinein.

„Kontoeinstellungen“ -> „Anmeldung & Sicherheit“ –> „Bestätigung in zwei Schritten“ aktivieren

Dort lässt sich der Stick dann ohne große Umstände für euren Account aktivieren.

Ein Security Key als zweiter Faktor für den eigenen Account bringt eine höhere Sicherheit als die SMS oder ein OTP. (Quelle: Screenshot)

Die Fehlertoleranz bei den Sticks ist übrigens außergewöhnlich klein. So hat eine studie von Google gezeigt, dass die 2-Faktor-Authentifizierung, basierend auf Textnachrichten oder der App, eine durchschnittliche Fehlerrate von 3% aufweist. Für einen zweiten Faktor ist das aus meiner Sicht schon viel Spielraum. Der Stick hingegen besitzt eine Fehlerrate von 0%. Wenn schon sicher, dann richtig.