随着良好口令实践和自动更新的推行,谷歌正积极着手多项工作以使大众享受更安全的互联网。
谷歌的企业使命宣言一直以来都包含在“不作恶”这句话中,这指的是谷歌作为一个公司而言,但这句话也可以很容易地延伸到更广阔的互联网上。谷歌目前正在多个领域推陈出新,意图确保其用户和互联网环境“无恶”——无论是黑客活动或是恶意软件攻击。
上周的谷歌I/O大会上,谷歌发布了一系列产品和服务。安全这个主题贯穿大会始终,不仅集成在产品发布里,也融合在大会独立研讨中。
即将到来的安卓N手机操作系统将引进一系列重要的新安全特性。其中一项,就是意图清除现有安卓媒体服务器技术风险的新媒体服务器库方法。
2015年7月,安卓Stagefright媒体服务器库缺陷首次曝光,自此以后,新的媒体服务器缺陷不断被研究人员发现,谷歌一直在对安卓进行增量更新。仅2016年5月的安卓更新,谷歌就为7个媒体服务器漏洞打了补丁。
Stagefright媒体服务器缺陷的一个结果是,2015年8月,谷歌进入了安卓月度更新周期。由于类似Chromebooks更新方式的自动补丁技术的引入,这个周期在安卓N身上还将进一步加快。
史蒂芬·索莫吉,谷歌安全和隐私产品经理,在I/O大会上发表了被他称为“第三届谷歌安全更新”的讲话,提供了有关安全的全面更新,关键词是“更新”。
谷歌安全和隐私工程团队的章程,就是要保护用户和他们的数据。
他强调,自动更新是最佳安全实践,他们自2008年起便已经将自动更新集成到了Chrome浏览器中。安卓N承诺提供同样的自动更新无缝体验。
广泛应用加密
在谷歌,加密被广泛应用,更新及其他所有事务都有应用,也是索莫吉演讲的关键主题。2月,谷歌开始通过一个红色的小挂锁图标向Gmail用户显示邮件是否通过不安全连接收到。这一图标一开始出现的时候,大约58%的入站Gmail邮件是采用传输层安全(TLS)加密的。45天后,邮件中加密的采用有了明显提升。5月13日,谷歌发现,78%的Gmail入站邮件采用了TLS。
虽然谷歌自己有大量资源可以发现安全漏洞,该公司一直以来都颇赞同漏洞奖励的做法。进2015年一年,谷歌就向超过300位安全研究员支付了200万美元的漏洞奖励。
2016年,谷歌计划在漏洞奖励上投入更多的资金。3月,谷歌将 Chrome OS 漏洞最高奖励金额从5万美元提高到了10万美元。
“研究越多,回报越高。”
谷歌同时还在扩展和提升安全浏览技术的效力。安全浏览会向桌面和手机浏览器用户报警潜在的恶意网站。索莫吉指出,今年,谷歌会继续延伸安全浏览防护,恶意软件和安卓Chrome上的社会工程尝试都会被报警。
“安全浏览如今能很好地防护超过20亿台设备。”
至于最佳实践,索莫吉建议,用户不要在各项服务间重复使用口令。这也是谷歌的Abacus计划意图有所改善的方面之一。Abacus是一种无口令访问方法,2015年谷歌I/O大会上才首次提出的。谷歌计划在今年年底试行基于Abacus的安卓登录。
不过,在Abacus可用之前,谷歌还有其他的办法,包括双因子身份验证的使用,采用线上快速身份验证联盟(FIDO)的通用第二因子(U2F)协议来强化身份验证。
尽管采用了更强的口令(或口令替代技术),安全浏览和漏洞奖励依然是很好的做法,而安装更新则是保证用户安全的最佳方式之一。
安全是一项有着很多未知数的复杂挑战,但同时也存在着很多已知不良之处。零日威胁自然是顾虑之一,但好的口令实践和保证用户更新,或许是帮助谷歌达成其“不作恶”使命的两个最佳工具,甚至防止恶事降临用户身上这一更广泛的使命也可以之达成。