Innholdsfortegnelse:
- Hvordan det fungerer
- Hva er i boksen?
- Å vri nøkkelen
- Slik sammenligner Google Titan Security Key
- Problemet med støtte
- En industri Titan
Video: Google's Titan Security Key Explained (November 2024)
Det viser seg at folk faktisk er veldig dårlige på å opprette og huske passord, og veldig flinke til å finne opp nye måter å bryte inn i passordbeskyttede systemer. Google har som mål å løse minst ett av problemene med Titan Security Key-pakken. Produktet består av to enheter som, når de brukes riktig, gjør det betydelig vanskeligere for skurkene å bryte seg inn på dine online kontoer ved å kreve både et passord og en fysisk nøkkel for å logge på et nettsted eller en tjeneste.
Hvordan det fungerer
To-faktor autentisering (2FA) er ikke bare et andre trinn etter å ha skrevet inn et passord - selv om det ofte er slik det spiller ut i praksis. I stedet kombinerer 2FA to forskjellige autentiseringsmekanismer (det vil si faktorer) fra en liste over tre muligheter:
- Noe du vet,
- Noe du har, eller
- Noe du er.
Et passord, for eksempel, er noe du vet . I teorien skal det bare eksistere i hodet ditt (eller trygt inne i en passordbehandling). Biometrisk autentisering - for eksempel fingeravtrykkskanninger, netthinneskanninger, hjertesignaturer og så videre - teller som noe du er . Titan Security Keys og lignende produkter er noe du har .
Det er mange andre måter å få beskyttelsen som 2FA gir. Å registrere deg for å motta engangskoder via SMS er kanskje den vanligste måten, men å bruke Google Authenticator og tjenester som Duo er populære alternativer som ikke krever mottak av en SMS-melding.
Men telefoner kan bli stjålet og SIM-jacking er tilsynelatende en ting vi trenger å bekymre oss for nå. Derfor er fysiske enheter som Titan-tastene så attraktive. De er enkle og pålitelige, og Google har oppdaget at distribusjon av dem internt fullstendig utslettet phishing-angrep og kontoovertagelser.
Hva er i boksen?
Inni Titan Security Key Bundle er ikke en enhet, men to: en slank, USB-nøkkel og en Bluetooth-drevet nøkkel fob. Begge er støpt i elegant hvit plast og har en behagelig, solid følelse. Spesielt USB-tasten gir en veldig tilfredsstillende lyd når den kastes på et bord. Jeg har gjort dette flere ganger bare for gleden av det.
Bluetooth-tasten har en enkelt knapp, og tre LED-indikatorer for å vise autentisering, Bluetooth-tilkobling, og at det enten er lading eller trenger lading. En enkelt mikro USB-port på bunnen er for lading og / eller tilkobling av Bluetooth-tasten til datamaskinen. USB-tasten er flat med en gullskive på den ene siden, som oppdager springen og fullfører autentiseringen. USB-nøkkelenheten har ingen bevegelige deler, krever ingen batterier. I følge Google er begge enhetene vannavstøtende , så det kan være lurt å holde dem utenfor bassenget.
Begge er ment å bli satt på en nøkkelring og holdes på din person (eller i nærheten), noe som betyr at fin hvit overflate kan være et ansvar. Rattling rundt på en nøkkelring er sikker på å legge litt merkbar slitasje på de uberørte Titan-enhetene. Jeg har brukt en Yubico YubiKey 4 i flere år, og den begynner å se ganske slitt ut til tross for at den er støpt i svart plast. På min korte tid med å teste Titan-tastene begynte USB-A-kontakten allerede å se litt skrapt ut.
I esken er noen stilfulle designede instruksjoner, hvis de er litt vage, sammen med en micro USB til USB-A-kabel og en USB-C til USB-A adapter. Micro USB lader Titan Bluetooth-tasten, som i motsetning til USB-nøkkelen kan løpe ned. En batteriindikator blinker rødt når det er på tide å lade. Titan USB-nøkkelen, som YubiKey, trenger ikke et batteri. Du kan også bruke mikro-USB-adapteren til å koble Bluetooth-nøkkelen til en datamaskin, der den kan fungere på samme måte som Titan USB-tasten.
Både Bluetooth- og USB-A-tastene er kompatible med FIDO Universal Two-Factor standard (U2F). Dette betyr at de kan brukes som et 2FA-alternativ uten tilleggsprogramvare. Dette er den eneste protokollen som støttes av Titan-tastene, noe som betyr at de ikke kan brukes til andre godkjenningsformål.
Da Titan-tastene først ble kunngjort, oppdaget en journalist at komponentene til minst Bluetooth-tasten var fra en kinesisk produsent. Google bekreftet for meg at selskapet kontrakter en tredjepart for å produsere nøklene til selskapets spesifikasjoner. Noen i sikkerhetskretser så på dette som en potensiell risiko, med tanke på at Kina er blitt beskyldt for å ha utført digitale angrep på amerikanske institusjoner. Men hvis jeg ikke stoler på at Google vil veterinere maskinvarepartnerne sine riktig nok, stoler du sannsynligvis ikke på Google nok til å bruke sikkerhetsproduktene i utgangspunktet, og du bør se andre steder.
Å vri nøkkelen
Før Titan-tastene kan brukes, må de først registreres på et nettsted eller en tjeneste som støtter FIDO U2F. Google gjør det tydeligvis, men det gjør også Dropbox, Facebook, GitHub, Twitter og andre. Siden Titan-tastene er et Google-produkt, startet jeg med å sette dem opp for å sikre en Google-konto.
Det er enkelt å sette opp Titan-tastene med Google-kontoen din. Gå over til Googles 2FA-side, eller besøk sikkerhetsalternativene for Google-kontoen. Bla ned til Legg til sikkerhetsnøkkel, klikk, og nettstedet ber deg om å sette inn og trykke på sikkerhets-USB-nøkkelen. Det er det! Innmelding av Bluetooth-nøkkel krever bare det ekstra trinnet å koble den til datamaskinen din via den medfølgende mikro-USB-kabelen.
Når jeg var påmeldt, gikk jeg inn på Google-kontoen min. Etter å ha tastet inn passordet mitt, ble jeg bedt om å sette inn og trykke på sikkerhetsnøkkelen. Når du kobler USB-nøkkelen til en port, blir du bedt om at den grønne LED-en blinker en gang. LED lyser konstant når du får en forespørsel om å trykke på tasten.
Da jeg testet å bruke en ny konto som aldri hadde brukt 2FA, krevde Google først at jeg satt opp SMS engangskoder. Du kan fjerne SMS-koder hvis du foretrekker det, men å registrere deg i Googles 2FA-program krever at du bruker minst SMS-koder, eller Google Authenticator-appen, eller en Google-godkjenning-pushvarsling som sendes til enheten din. Det er i tillegg til hva andre 2FA-alternativer du velger. Vær oppmerksom på at Google Titan-nøkkelen ikke krever SMS eller noen annen tjeneste for å fungere, men mange tjenester (Twitter inkludert) oppfordrer deg til å bekrefte et telefonnummer for å bevise at du er en ekte person.
Hvis du velger flere 2FA-alternativer, kan du velge det som fungerer for deg i et gitt scenario. Det er også en god idé å ha en sikkerhetskopieringsmetode for sikkerhetskopiering, i tilfelle du mister tastene dine eller telefonen går i stykker. SMS-varsler er fine, men jeg bruker også papirtaster, som er en serie med engangskoder. Disse kodene støttes bredt og kan skrives ned eller lagres digitalt (men forhåpentligvis kryptert!). Imidlertid la jeg merke til at for å gjøre endringer i 2FA-innstillingene mine etter at jeg registrerte Titan-nøkkelen, var det bare den og pushvarsler til telefonen min via Google-appen som akseptable autentisatorer.
I følge boksen er Titan-tasten og Bluetooth-tasten begge NFC-kompatible, men jeg klarte ikke å få dem til å fungere på den måten. Da jeg ble bedt om å bruke en 2FA-enhet på Android-telefonen min, fulgte jeg instruksjonene og slo tasten på baksiden av telefonen, men til ingen nytte. Google bekreftet for meg at enhetene er NFC-kapable, men at støtten vil bli lagt til Android-enheter i løpet av de kommende månedene.
Jeg hadde ingen problemer med å logge inn på Google-kontoen min på en Android-enhet ved hjelp av Bluetooth-tasten. Igjen ble jeg bedt om å presentere nøkkelen min etter å ha tastet passordet mitt. Et alternativ nederst på skjermen lar meg velge med en NFC-, USB- eller Bluetooth-godkjenning. Da jeg valgte Bluetooth første gang, ble jeg bedt om å koble Bluetooth-tasten med telefonen. Det meste av dette ble håndtert automatisk av Google, selv om jeg måtte oppgi serienummeret på baksiden av Bluetooth-tasten. Registrering av enheten på denne måten, dette trenger bare å gjøres en gang; annenhver gang du bare trenger å klikke på Bluetooth-tastens knapp for å autentisere deg selv. Interessant nok så jeg ikke Bluetooth-tasten i telefonlisten over nyere Bluetooth-enheter, men den fungerte fortsatt helt fint.
Bare for pokker, prøvde jeg også å logge meg på med den medfølgende USB-C-adapteren og USB-sikkerhetsnøkkelen. Det fungerte som en sjarm.
I tillegg til innloggingsplanen for 2FA tilbyr Google også Advanced Protection Program til personer som kan ha en særlig risiko for angrep. Jeg prøvde ikke på Advanced Protection i testen min, men det krever spesielt to sikkerhetsnøkkelenheter, så Titan Security Key Bundle er også klar til å jobbe med dette påloggingsskjemaet.
Titan-tastene skal fungere med alle tjenester som støtter FIDO U2F. Twitter er et slikt eksempel, og jeg hadde ingen problemer med å registrere Titan USB-nøkkel med Twitter, eller bruke den til å logge på senere.
Slik sammenligner Google Titan Security Key
Det er en voksende liste over maskinvareautentiseringsenheter som kan sammenlignes med Titan Security Keys, men bransjelederen er sannsynligvis Yubicos linje med YubiKey-produkter. Disse er nesten identiske med Titan USB-A-tasten: slank, robust plast og designet for å sitte på en nøkkelring med en liten grønn LED og en gullplate som registrerer berøringen uten bevegelige deler.
Selv om Yubico ikke tilbyr noe som Titan Bluetooth-tasten, har den flere forskjellige formfaktorer å velge mellom. YubiKey 4-serien har for eksempel to nøkler av sammenlignbar størrelse som Titan USB-tasten: YubiKey 4 og YubiKey NEO, hvorav den siste er NFC-aktivert. Yubico tilbyr også USB-C-nøkler, som fungerer med alle enheter som sports den aktuelle porten, uten adapter nødvendig.
Hvis tastene ikke er din stil, kan du velge YubiKey 4 Nano eller USB-C søsken, YubiKey 4C Nano. Enhetene i Nano-stil er mye mindre - bare 12 mm til 13 mm - og er designet for å bli liggende i enhetene på portene.
Alle YubiKey 4-enhetene over koster mellom $ 40 og $ 60, og det er bare for en nøkkel. Imidlertid er dette alle multi-protokollenheter, noe som betyr at du ikke bare kan bruke dem som FIDO U2F-enheter, men også for å erstatte et smartkort for datamaskininnlogging, for kryptografiske signaturer og for en rekke andre funksjoner. Noen av disse er tilgjengelige gjennom den valgfrie klientprogramvaren levert av Yubico. Dette lar deg endre hva YubiKey gjør og hvordan den oppfører seg, noe som garantert vil kile ethvert sikkerhetsvinders fancy. Titan-tastene støtter bare U2F og W3C WebAuthn-standarden, og har ingen tilknyttet klientprogramvare for å endre funksjonaliteten.
Den minst kostbare YubiKey er også den som ser ut til å være nærmest funksjonaliteten til Google Titan-nøkkelen. Den blå sikkerhetsnøkkelen fra Yubico fungerer hvor U2F er akseptert, men støtter ikke de andre protokollene som YubiKey 4-serien. Den støtter også FIDO2-protokollen. Den har ikke Bluetooth-nøkkelen inkludert i Google Titan-pakken, men den koster også mindre enn halvparten til bare 20 dollar.
Mens Yubicos produkter er minst like teknologiske og holdbare som Titan-nøkkelen, har selskapets svakhet forklart hvilke av nøklene som gjør hva og hvor de støttes. Yubico-nettstedet har flere svimlende diagrammer fylt med forkortelser som får til og med øynene mine til å glase over. Titan-tastene derimot favoriserer en nesten Apple-lignende enkelhet og ut-av-boksen brukervennlighet.
Det finnes programvareløsninger til 2FA også. Jeg har nevnt Duo, og både Google og Twilio Authy tilbyr også engangskoder via apper, og det samme gjør LastPass gjennom en dedikert app. Programvareautentisatorer er nyttige, og kanskje mer praktisk hvis du alltid har telefonen hendig. Men maskinvare 2FA-enheter som Titan-tasten er mer holdbare enn en telefon, går aldri tom for strøm, og krever bare et trykk i stedet for å legge inn engangskoder generert av en app. En maskinvarenøkkel er også vanskeligere å angripe enn en app som lever på telefonen din, selv om telefoner er ganske sikre i disse dager. Til slutt vil valg av maskinvare eller programvare 2FA-løsning sannsynligvis komme til personlig preferanse.
Problemet med støtte
Til tross for navnet, er FIDO Universal To-Factor standardstøtte langt fra universell. For å bruke Titan-tastene dine med Google- eller Twitter-kontoene, må du logge deg på via Chrome. Ingen hell med Firefox (for øyeblikket). Det samme var tilfelle da jeg brukte Titan-tasten med Twitter.
Jeg har brukt en YubiKey for å beskytte LastPass-kontoen min i mange år, og ble overrasket over å se at passordbehandleren min som valget ikke støtter Titan-tastene. Selv med YubiKey, kan jeg bare bruke den som min andre faktorautentisator for Google-kontoen min via Chrome.
Utviklere og menneskene bak FIDO trenger å jobbe nærmere for å bringe bredere støtte for Titan, YubiKey og U2F generelt. Jeg har ennå ikke funnet en bank som for eksempel godtar en maskinvare 2FA. Det er frustrerende å prøve og registrere sikkerhetsnøkkelen din for en tjeneste, bare for å finne at du er i feil nettleser, eller at denne spesifikke sikkerhetsnøkkelen ikke støttes av tjenesten. Uten bredere støtte vil ikke disse enhetene bli brukt til mye, og vil sannsynligvis gjøre mer for å forvirre de uinnvidde enn å hjelpe.
En industri Titan
Google Titan Security Key Bundle har alt som trengs for å sikre Google-kontoen din mot passordtyveri, phishing og en rekke andre angrep. Å installere er enkelt, og det er ofte enklere å koble til en nøkkel eller trykke på en Bluetooth-enhet enn å slå opp (og muligens skrive feil) en engangskode fra en app. Bluetooth-nøkkelen har et lite, teoretisk sikkerhetsansvar ved at den overfører trådløst, men av større bekymring er at batteriet ganske enkelt kan dø.
Med disse to enhetene er du klar til å sikre Google-kontoen din og alle andre støttede tjenester. Prislappen på $ 50 er godt tjent med to smarte, holdbare enheter. Du vil ikke gå galt med disse. Det tar en topp score, men vi holder tilbake en Editors 'Choice-pris for denne kategorien til vi kan gjennomgå flere konkurrerende produkter.
