Google 高风险G Suite用户现在获得了我们内部使用的相同高级安全性

使用G Suite的全球公司现在可以将高管和其他高风险用户添加到Google的高级保护计划中，从而为他们提供与其100,000名员工相同的安全级别。高级保护计划的核心部分是要求用户使用符合FIDO标准的安全密钥，例如Google自己的Titan密钥或Yubico密钥。虽然这些密钥帮助Google阻止了对员工的所有网络钓鱼攻击，但它们还创造了另一个主要好处：Google员工多年来不需要更改密码。

谷歌产品管理总监Karthik Lakshminarayanan告诉ZDNet，“我们作为谷歌员工 - 一旦我们为我们启用了安全密钥 - 就没有任何帐户接管事件。”

Lakshminarayanan说，自从他从微软加入Google以来的三年里，由于使用了安全密钥，他没有更改密码。在微软，他不得不每90天更改一次密码 - 微软最近称这项政策“古老而过时”，应予以避免。

“我在谷歌的三年里从未改变过我的密码。我只使用安全密钥而且我非常喜欢它，”他说。“我在第一天定向时设置了[我的密码]，因此我没有改变它。这是因为我们使用了安全密钥。”

许多组织可能会发现很难要求所有员工都使用安全密钥，但G Suite客户的新计划主要针对高风险和高价值的帐户。

Lakshminarayanan说：“我们要求组织识别那些高风险用户并将他们注册到企业计划中并保护自己，就像谷歌迄今为止一直在成功一样。”

“企业来找我们说，'我们也有高度敏感的账户，比如高级管理人员和人力资源经理可能会点击某些东西，暴露出来，并让更广泛的公司面临风险，”他补充道。

谷歌针对Gmail的消费者用户推出了高级保护计划，2017年针对性网络钓鱼和帐户接管攻击的风险较高。

该计划最初提供给政客，记者，活动家以及高级管理人员等人。参与者只有拥有物理安全密钥才能访问他们的帐户，例如Google的Titan密钥或YubiKey加密狗。

它还限制了哪些第三方应用可以通过OAuth标准访问Gmail数据。例如，Apple Mail和Mozilla Thunderbird是唯一一个用户加入程序后可以访问Gmail数据的电子邮件客户端。谷歌还提出了在帐户恢复情况下验证用户身份的标准。

如上所述，有点令人困惑的是，现有的高级保护计划已经可供高级业务高管使用。与G Suite版本的不同之处在于G Suite管理员现在拥有更多控制权。

而不是说个人高管报名参加该计划并让Google决定哪些应用可以访问Gmail数据，哪些应用可以访问Gmail数据，公司的G Suite管理员可以提名一组应该加入该计划的高风险用户以及应用应该获得批准

它还提供G Suite管理员报告功能，以查看哪些用户打开或关闭控件。

Lakshminarayanan说：“想想管理员缺少控制权和缺乏可见性。”“这就是现在所带来的。管理员可以采取更积极的姿态来选择哪些用户获得它并获得报告。现在管理员现在更加紧密。在它之前是FIY [自己修理]，执行官可以使用它。“

企业高级保护计划将允许G Suite管理员为用户定制体验，尤其是哪些应用可以使用OAuth从G Suite帐户访问数据。两年前，有人滥用OAuth，使用假冒的Docs应用程序，可以访问数百万Gmail用户的帐户。

注册该程序的用户需要使用符合FIDO标准的物理安全密钥。为了提高可用性，注册用户可以将Android手机与安全密钥配对，但从一开始他们仍然需要安全密钥。

与消费者版本一样，G Suite计划对可以使用OAuth访问Gmail数据的应用程序施加限制，但IT管理员可以将哪些应用程序通过OAuth访问Gmail数据列入白名单。

“G Suite管理员会选择要信任且不受信任的应用。最终用户可以使用该列表，因为它来自管理员。但如果用户想扩展它，他们可以与管理员聊天并获得他补充道，“Lakshminarayanan说。

最后，企业计划将对网络钓鱼电子邮件进行额外扫描，并在沙箱中打开附件以检查是否存在恶意软件。

谷歌今天还宣布在加拿大，法国，日本和英国推出Titan键。