Taula de continguts:
- Com funciona
- Què hi ha a la caixa?
- Girar la clau
- Com es compara la clau de seguretat de Google Titan
- El problema del suport
- Un Tità de la Indústria
Vídeo: Google Titan Security Key Set Review (Octubre 2024)
Resulta que la gent és molt dolenta en crear i recordar contrasenyes i és molt bona a inventar noves maneres d’entrar en sistemes protegits amb contrasenya. Google vol solucionar almenys un d'aquests problemes amb el paquet de claus de seguretat de Titan. El producte està format per dos dispositius que, quan s’utilitzen correctament, fan que els homes dolents siguin molt més difícils d’entrar als vostres comptes en línia, necessitant una contrasenya i una clau física per iniciar la sessió en un lloc web o servei.
Com funciona
L’autenticació de dos factors (2FA) no és només un segon pas després d’haver introduït una contrasenya, tot i que sovint es presenta com a la pràctica. En canvi, 2FA combina dos mecanismes d'autenticació diferents (és a dir, factors) d'una llista de tres possibilitats:
- Alguna cosa que saps,
- Alguna cosa tens, o
- Alguna cosa ets.
Una contrasenya, per exemple, és alguna cosa que saps . En teoria, només hauria d’existir al vostre cap (o amb seguretat dins d’un gestor de contrasenyes). L’autenticació biomètrica (com ara les exploracions d’empremtes dactilars, les exploracions de retina, les signatures del cor, etc.) compten com a cosa que sou . Les claus de seguretat de Titan i productes com és quelcom que tens .
Hi ha moltes altres maneres d’obtenir la protecció que ofereix la 2FA. Potser és la forma més habitual de registrar-se per rebre codis de passatge únics mitjançant SMS, però l'ús de Google Authenticator i serveis com Duo són alternatives més populars que no requereixen rebre un missatge SMS.
Però els telèfons poden ser robats i, aparentment, és necessària la preocupació de la presa de dades SIM. Per això els dispositius físics com les tecles Titan són tan atractius. Són senzills i fiables, i Google ha descobert que la seva implementació va eliminar els atacs de phishing i les adquisicions de comptes completament.
Què hi ha a la caixa?
A l’interior del paquet de claus de seguretat de Titan no hi ha un dispositiu, sinó dos: una fina, clau USB i una tecla de teclat amb tecnologia Bluetooth. Totes dues tenen un plàstic elegant i blanc i tenen una sensació agradable i resistent. La tecla USB, en particular, fa un so molt satisfactori quan es tira sobre una taula. Ho he fet diverses vegades només per l'alegria d'aquest.
La tecla Bluetooth té un sol botó i tres indicadors LED per mostrar l'autenticació, la connexió Bluetooth i que es carrega o que necessita un càrrec. Un únic port micro USB a la part inferior és per carregar i / o connectar la clau Bluetooth al vostre ordinador. La clau USB és plana amb un disc daurat per un costat, que detecta el toc i completa l'autenticació. El dispositiu clau USB no té peces mòbils, no necessita bateries. Segons Google, tots dos dispositius són resistents a l' aigua, de manera que és possible que vulgueu mantenir-los fora de la piscina.
Tots dos estan destinats a posar-se en un clauer i mantenir a la seva persona (o tancar-se a la mà), cosa que significa que un bon acabat blanc pot demostrar una responsabilitat. El fet de canviar-se sobre un clau és segur que pot comportar un cert desgast als dispositius Titan incontestats. He estat utilitzant un Yubico YubiKey 4 des de fa diversos anys i comença a semblar força desgastat tot i estar fos en plàstic negre. En el temps que vaig provar les tecles Titan, el connector USB-A ja començava a aparèixer una mica rasat.
A la caixa també hi ha algunes instruccions dissenyades amb estil (si són una mica vagues), juntament amb un cable micro USB a USB-A i un adaptador USB-C a USB-A. El Micro USB carrega la tecla Bluetooth Titan, que, a diferència de la clau USB, es pot disminuir. Un indicador de bateria parpelleja en vermell a l’hora de recarregar. La clau Titan USB, com la YubiKey, no necessita bateria. També podeu utilitzar l'adaptador micro USB per connectar la vostra clau Bluetooth a un ordinador, on pot funcionar de la mateixa manera que la tecla Titan USB.
Tant les tecles Bluetooth com USB-A compleixen l'estàndard universal de dos factors (F2O) FIDO. Això significa que es poden utilitzar com a opció 2FA sense programari addicional. Aquest és l'únic protocol compatible amb les claus Titan, és a dir, que no es poden utilitzar amb altres finalitats d'autenticació.
Quan es van anunciar les claus Titan per primera vegada, un periodista va descobrir que els components d'almenys la clau Bluetooth eren d'un fabricant xinès. Google em va confirmar que l'empresa contracta un tercer per produir les claus de les especificacions de l'empresa. Alguns dels cercles de seguretat van veure això com un risc potencial, considerant que la Xina ha estat acusada de dur a terme atacs digitals a institucions nord-americanes. Al meu parer, però, si no confieu en Google per vetllar adequadament als seus socis de maquinari, probablement no confieu prou amb Google per utilitzar els seus productes de seguretat en primer lloc, i hauríeu de mirar cap a un altre lloc.
Girar la clau
Abans d’utilitzar les tecles Titan, primer s’han d’inscriure amb un lloc o servei que admeti FIDO U2F. Google, evidentment, sí, però també ho fan Dropbox, Facebook, GitHub, Twitter i altres. Com que les claus Titan són un producte de Google, vaig començar per configurar-les per protegir un compte de Google.
La configuració de les tecles Titan amb el vostre compte de Google és senzilla. Dirigiu-vos a la pàgina 2FA de Google o visiteu les opcions de seguretat del vostre compte de Google. Desplaceu-vos cap avall fins a afegir la tecla de seguretat, feu clic i el lloc us demanarà que inseriu i toqueu la clau USB de seguretat. Això és! Per registrar la clau Bluetooth només cal que es faci un pas addicional per connectar-lo al vostre ordinador mitjançant el cable micro USB inclòs.
Un cop inscrit, vaig anar a iniciar la sessió al meu compte de Google. Després d’introduir la meva contrasenya, se’m va sol·licitar que introduís i toqueu la meva clau de seguretat. Si connecteu la clau USB a un port, el LED verd parpadea una vegada. El LED s’encén constantment quan se’ls presenta una sol·licitud per tocar la tecla.
Quan vaig provar utilitzant un compte nou que no havia utilitzat mai 2FA, Google primer va requerir que configurés codis de seguretat d’una sola vegada per SMS. Podeu suprimir els codis SMS si ho preferiu, però la inscripció al programa 2FA de Google requereix que utilitzeu almenys codis SMS, o l’aplicació Google Authenticator o una notificació push d’autenticació d’autenticació enviada al vostre dispositiu. Això és, a més de les altres opcions de 2FA que seleccioneu. Tingueu en compte que la clau de Google Titan no requereix SMS ni cap altre servei per funcionar, però molts serveis (Twitter inclosos) us animen a verificar un número de telèfon per demostrar que sou una persona real.
Si seleccioneu diverses opcions 2FA, podeu triar la que us serveixi en un escenari determinat. També és una bona idea tenir un mètode d’autenticació de còpia de seguretat, en cas que perdeu les teves claus o s’aturen el telèfon. Les notificacions per SMS estan bé, però també faig servir claus de paper, que són una sèrie de codis d’ús únics. Aquests codis són àmpliament compatibles i es poden anotar o emmagatzemar digitalment (però esperem xifrats!). Tot i això, vaig notar que per fer canvis a la meva configuració 2FA després d’haver inscrit la meva clau Titan, només ella i les notificacions push al meu telèfon mitjançant l’aplicació Google eren autenticadors acceptables.
Segons el quadre, la tecla Titan i la clau Bluetooth són compatibles amb NFC, però no vaig poder fer que funcionin així. Quan se’m va demanar que utilitzés un dispositiu 2FA al meu telèfon Android, vaig seguir les instruccions i vaig clavar la clau a la part posterior del telèfon, però en cap cas. Google em va confirmar que els dispositius són compatibles amb NFC, però que els assistents seran afegits als dispositius Android durant els propers mesos.
No he tingut cap problema per iniciar la sessió al meu compte de Google en un dispositiu Android mitjançant la tecla Bluetooth. Un cop més, se'm va sol·licitar que presentés la meva clau després d'introduir la meva contrasenya. Una opció a la part inferior de la pantalla em permet seleccionar mitjançant un autenticador NFC, USB o Bluetooth. Quan vaig seleccionar Bluetooth per primera vegada, se'm va sol·licitar que emparentés la tecla Bluetooth amb el telèfon. Molt això ho gestionava automàticament Google, tot i que he hagut d’introduir el número de sèrie a la part posterior de la clau Bluetooth. Enregistrar el dispositiu d'aquesta manera només s'ha de fer una vegada; cada vegada només cal fer clic al botó de la tecla Bluetooth per autenticar-se. Curiosament, no he vist la clau Bluetooth a la llista del telèfon dels dispositius Bluetooth recents del telèfon, però tot i així funcionava bé.
Només per fer-ho, he intentat iniciar la sessió amb l'adaptador USB-C inclòs i la clau de seguretat USB inclosa. Funcionava com un encant.
A més del seu esquema d'inici de sessió 2FA, Google també ofereix un programa de protecció avançada per a persones que poden tenir un risc particular d'atac. No vaig provar Protecció avançada a la prova, però requereix sobretot dos dispositius clau de seguretat, de manera que el paquet de claus de seguretat de Titan també està preparat per treballar amb aquest esquema d’inici de sessió.
Les tecles Titan han de funcionar amb qualsevol servei que suporti FIDO U2F. Twitter n’és un exemple, i no he tingut problemes per inscriure la clau Titan USB a Twitter ni utilitzar-la per iniciar la sessió més tard.
Com es compara la clau de seguretat de Google Titan
Hi ha una llista creixent de dispositius d'autenticació de maquinari que es comparen amb les claus de seguretat de Titan, però és probable que el líder del sector sigui la línia de productes YubiKey de Yubico. Són gairebé idèntics a la clau Titan USB-A: un plàstic prim i robust i dissenyat per situar-se en un clauer amb un petit LED verd i un disc d'or que registri el seu toc sense parts mòbils.
Si bé Yubico no ofereix res com la tecla Bluetooth Titan, té diversos factors de forma diferents per triar. La sèrie YubiKey 4, per exemple, té dues claus de mida comparable a la clau Titan USB: la YubiKey 4 i la YubiKey NEO, la darrera de les quals està habilitada per NFC. Yubico també ofereix claus USB-C, que funcionen amb qualsevol dispositiu que faci esport en aquell port en particular, no cal cap adaptador.
Si les tecles no són del vostre estil, podeu optar pel YubiKey 4 Nano o el seu germà USB-C, el YubiKey 4C Nano. Els dispositius en estil Nano són molt més petits (només 12mm per 13mm) i estan dissenyats per deixar-los enclavats dins dels ports del dispositiu.
Tots els dispositius YubiKey 4 per sobre costen entre 40 i 60 dòlars, i això és només per a una de les claus. Tanmateix, es tracta de tots els dispositius multi-protocol, el que significa que no només els podeu utilitzar com a dispositius FIDO U2F, sinó també per substituir una targeta intel·ligent per a l’inici de sessió d’ordinador, per a signatures criptogràfiques i per a una sèrie d’altres funcions. Algunes d’aquestes estan disponibles a través del programari de client opcional que proporciona Yubico. Això us permet canviar el que fa YubiKey i el seu comportament, la qual cosa serà segur que faci pessigolles a qualsevol fantasma de seguretat. Les tecles Titan només admeten U2F i l'estàndard W3C WebAuthn i no tenen cap programari de client associat per canviar la seva funcionalitat.
El YubiKey menys costós també és el que sembla ser el més proper en funcionalitat de la clau de Google Titan. La clau de seguretat blava de Yubico funciona a qualsevol lloc on s’accepta U2F, però no és compatible amb els altres protocols com la sèrie 4 de YubiKey. També és compatible amb el protocol FIDO2. No té la clau Bluetooth inclosa al paquet de Google Titan, però també costa menys de la meitat amb només 20 dòlars.
Si bé els productes de Yubico són almenys tan tecnològicament capaços i duradors com la clau Titan, la debilitat de la companyia ha explicat quines de les seves claus fan què i on són compatibles. El lloc web de Yubico té diversos gràfics vertiginosos carregats de sigles que fan que fins i tot els meus ulls es llueixin. Les tecles Titan, d’altra banda, afavoreixen una senzillesa gairebé Apple com una usabilitat fora de caixa.
També hi ha solucions de programari per a 2FA. He esmentat el Duo, tant Google com Twilio Authy també ofereixen codis únics mitjançant aplicacions, com també fa LastPass mitjançant una aplicació dedicada. Els autèntics de programari són útils i potser són més útils si sempre teniu el telèfon a mà. Però els dispositius de maquinari 2FA com la clau Titan són més durables que un telèfon, mai es queden sense poder i necessiten només un toc en lloc d’introduir codis únics generats per una aplicació. Una clau de maquinari també és més difícil d'atacar que una aplicació que viu al vostre telèfon, tot i que els telèfons estan força segurs en aquests dies. Al final, l'elecció entre una solució 2FA de maquinari o programari probablement es convertirà en preferència personal.
El problema del suport
Malgrat el nom, el suport estàndard universal de dos factors FIDO no és gaire universal. Per utilitzar les tecles Titan amb els vostres comptes de Google o Twitter, heu d’iniciar sessió a través de Chrome. No hi ha sort amb Firefox (de moment). El mateix va ser cert quan vaig utilitzar la clau Titan amb Twitter.
He utilitzat un YubiKey per protegir el meu compte LastPass durant anys i em va sorprendre veure que el meu gestor de contrasenyes escollit no és compatible amb les claus Titan. Fins i tot amb el meu YubiKey, només el puc fer servir com a segon autenticador de factors per al meu compte de Google mitjançant Chrome.
Els desenvolupadors i la gent que hi ha darrere de l’OFID han de treballar més a prop per aportar un suport més ampli per a Titan, YubiKey i U2F en general. Encara he de trobar un banc que accepti un maquinari 2FA, per exemple. És frustrant intentar registrar la vostra clau de seguretat per a un servei, només trobar que esteu dins del navegador equivocat o que aquesta clau de seguretat específica no és compatible amb el servei. Sense un suport més ampli, aquests dispositius no s’utilitzaran gaire i probablement faran més per confondre els no iniciats que l’ajuda.
Un Tità de la Indústria
El paquet de claus de seguretat de Google Titan té tot el que es requereix per protegir el vostre compte de Google contra el robatori de contrasenyes, la pesca de pesca i altres atacs. La configuració és fàcil, i connectar una tecla o tocar un dispositiu Bluetooth sovint és més fàcil que buscar (i possiblement equivocar-se) un codi únic d’una aplicació. La clau de Bluetooth presenta una responsabilitat teòrica petita i de seguretat pel fet que transmet sense fils, però és més important que la seva bateria es pugui morir.
Amb aquests dos dispositius, esteu preparat per protegir el vostre compte de Google i qualsevol altre servei compatible. La tarifa de preus de 50 dòlars es guanya amb dos dispositius intel·ligents i duradors. Això no us equivocareu amb això. Es necessita una puntuació màxima, però retenim un premi “Choice Editor” d’aquesta categoria fins que puguem revisar més productes competidors.
