Obsah:
- Ako to funguje
- Čo je v krabici?
- Otočenie kľúča
- Ako sa porovnáva bezpečnostný kľúč Google Titan
- Problém podpory
- Industry Titan
Video: Google's Titan Security Key Explained (Október 2024)
Ukazuje sa, že ľudia sú skutočne veľmi zlí pri vytváraní a zapamätávaní hesiel a veľmi dobrí pri vymýšľaní nových spôsobov, ako sa dostať do systémov chránených heslom. Cieľom spoločnosti Google je vyriešiť aspoň jeden z týchto problémov pomocou balíka služieb Titan Security Key. Tento produkt sa skladá z dvoch zariadení, ktoré pri správnom používaní sťažujú zlodejom prístup k vašim online účtom tým, že vyžadujú prihlásenie na webovú stránku alebo do služby tak heslo, ako aj fyzický kľúč.
Ako to funguje
Dvojfaktorová autentifikácia (2FA) nie je len druhým krokom po zadaní hesla - hoci v praxi sa to často stáva. Namiesto toho 2FA kombinuje dva rôzne mechanizmy overovania (tj faktory) zo zoznamu troch možností:
- Niečo, čo viete,
- Niečo, čo máte, alebo
- Niečo ste.
Napríklad heslo je niečo, čo viete . Teoreticky by mal existovať iba vo vašej hlave (alebo bezpečne vo vnútri správcu hesiel). Biometrické overovanie - napríklad skenovanie odtlačkov prstov, skenovanie sietnice, podpisy srdca atď. - sa považuje za niečo, čím ste. Titan Security Keys a podobné produkty sú niečo, čo máte .
Existuje mnoho ďalších spôsobov, ako získať ochranu poskytovanú 2FA. Registrácia na prijímanie jednorazových prístupových kódov prostredníctvom SMS je pravdepodobne najbežnejším spôsobom, ale používanie Google Authenticator a služieb ako Duo sú populárne alternatívy, ktoré nevyžadujú prijímanie SMS správ.
Telefóny však môžu byť odcudzené a zdvíhanie SIM karty je evidentne vecou, ktorej sa teraz musíme obávať. Preto sú fyzické zariadenia, ako sú klávesy Titan, také atraktívne. Sú jednoduché a spoľahlivé a spoločnosť Google zistila, že ich nasadenie interne úplne odstráni phishingové útoky a prevzatie účtu.
Čo je v krabici?
Vo vnútri zväzku bezpečnostných kľúčov Titan nie je jedno zariadenie, ale dve: tenký, USB kľúč a prívesok na kľúče s technológiou Bluetooth. Obe sú zaliate do elegantného bieleho plastu a majú k nim príjemný, pevný pocit. Najmä USB kľúč vydáva veľmi uspokojivý zvuk, keď sa hodí na stôl. Urobil som to niekoľkokrát len pre radosť.
Kľúč Bluetooth má jedno tlačidlo a tri indikátory LED, ktoré zobrazujú overenie totožnosti, pripojenie Bluetooth a či už ide o nabíjanie alebo nabíjanie. Jeden port micro USB na spodnej strane slúži na nabíjanie a / alebo pripojenie kľúča Bluetooth k počítaču. Kľúč USB je plochý so zlatým diskom na jednej strane, ktorý detekuje váš klepnutie a dokončí autentifikáciu. Kľúčové zariadenie USB nemá žiadne pohyblivé časti, nevyžaduje batérie. Podľa spoločnosti Google sú obe zariadenia odolné proti vode, takže ich možno budete chcieť udržať mimo bazénu.
Obidve sú určené na to, aby boli umiestnené na prívesku na kľúče a držali sa na vašej osobe (alebo na dosah), čo znamená, že pekný biely povrch môže byť zárukou zodpovednosti. Rachotenie okolo prívesku na kľúč určite zaistí nejaké viditeľné opotrebenie nedotknutých zariadení Titan. Yubico YubiKey 4 používam už niekoľko rokov a napriek tomu, že je odlievaný do čierneho plastu, začína vyzerať dosť opotrebovane. Počas môjho krátkeho testovania tlačidiel Titan už konektor USB-A začal vyzerať trochu poškriabaný.
Súčasťou balenia je aj niekoľko štýlovo navrhnutých pokynov - ak sú trochu nejasné - spolu s káblom micro USB na USB-A a adaptérom USB-C na USB-A. Mikro USB nabíja kľúč Titan Bluetooth, ktorý sa na rozdiel od kľúča USB môže vybiť. Keď je čas nabiť, indikátor batérie bliká na červeno. Kľúč USB Titan, rovnako ako YubiKey, nevyžaduje batériu. Adaptér micro USB môžete tiež použiť na pripojenie kľúča Bluetooth k počítaču, kde môže fungovať rovnakým spôsobom ako kľúč USB Titan.
Klávesy Bluetooth aj USB-A vyhovujú štandardu FIDO Universal Two-Factor (U2F). To znamená, že ich možno použiť ako doplnok 2FA bez ďalšieho softvéru. Toto je jediný protokol podporovaný titanovými kľúčmi, čo znamená, že ich nemožno použiť na iné účely autentifikácie.
Keď boli titánové kľúče prvýkrát oznámené, novinár zistil, že komponenty aspoň kľúča Bluetooth boli od čínskeho výrobcu. Google mi potvrdil, že spoločnosť uzavrie zmluvu s treťou stranou na výrobu kľúčov k špecifikáciám spoločnosti. Niektorí v bezpečnostných kruhoch to považovali za potenciálne riziko, keďže Čína bola obviňovaná z vykonávania digitálnych útokov na americké inštitúcie. Pokiaľ si však myslím, že spoločnosti Google nedôverujete, aby správne preverila svojich hardvérových partnerov, pravdepodobne pravdepodobne nedôverujete spoločnosti Google dosť na to, aby mohla používať jej bezpečnostné produkty, a mali by ste hľadať inde.
Otočenie kľúča
Pred použitím kľúčov Titan sa musia najskôr zaregistrovať v lokalite alebo službe, ktorá podporuje FIDO U2F. Google samozrejme áno, ale aj Dropbox, Facebook, GitHub, Twitter a ďalšie. Keďže sú kľúče Titan produktom spoločnosti Google, začal som ich nastavovať na zabezpečenie účtu Google.
Nastavenie kľúčov Titan pomocou účtu Google je jednoduché. Prejdite na stránku 2FA spoločnosti Google alebo navštívte možnosti zabezpečenia účtu Google. Posuňte zobrazenie nadol na položku Pridať bezpečnostný kľúč, kliknite na položku a web vás vyzve na vloženie bezpečnostného kľúča USB a klepnite naň. To je všetko! Zadanie kľúča Bluetooth vyžaduje iba ďalší krok jeho pripojenia k počítaču pomocou priloženého kábla micro USB.
Po registrácii som sa prihlásil do svojho účtu Google. Po zadaní hesla som bol vyzvaný na vloženie a ťuknutie na môj bezpečnostný kľúč. Po pripojení kľúča USB k portu sa zelená dióda LED rozsvieti raz. Keď sa zobrazí výzva na ťuknutie na kláves, dióda LED svieti stabilne.
Keď som testoval pomocou nového účtu, ktorý nikdy nepoužíval službu 2FA, spoločnosť Google najprv vyžadovala, aby som nastavil jednorazové prístupové kódy SMS. Ak chcete, môžete odstrániť kódy SMS. Ak sa však chcete zaregistrovať v programe 2FA od spoločnosti Google, musíte použiť aspoň kódy SMS alebo aplikáciu Google Authenticator alebo oznámenie push push na autentifikáciu Google odoslané do vášho zariadenia. To je okrem všetkých ostatných možností 2FA, ktoré vyberiete. Upozorňujeme, že kľúč Google Titan nevyžaduje na fungovanie funkciu SMS ani inú službu, ale mnoho služieb (vrátane služby Twitter) vám odporúča overiť telefónne číslo, aby ste dokázali, že ste skutočná osoba.
Ak vyberiete viac možností 2FA, môžete si vybrať tú, ktorá vám vyhovuje v danom scenári. Je tiež dobré mať k dispozícii záložnú metódu overovania v prípade, že stratíte kľúče alebo si zlomíte telefón. SMS notifikácie sú v poriadku, ale používam aj papierové kľúče, ktoré sú sériou jednorazových kódov. Tieto kódy sú široko podporované a môžu sa zapisovať alebo ukladať digitálne (ale dúfajme, že sú šifrované!). Všimol som si však, že na vykonanie zmien v nastaveniach 2FA po registrácii svojho kľúča Titan boli akceptovateľnými autentifikátormi iba on a push notifikácia do môjho telefónu prostredníctvom aplikácie Google.
Podľa tohto poľa sú kľúč Titan aj kláves Bluetooth kompatibilné s technológiou NFC, ale nedokázal som ich prinútiť, aby takto pracovali. Keď som bol vyzvaný na použitie zariadenia 2FA v telefóne s Androidom, nasledoval som pokyny a plácol kľúč na zadnú časť telefónu, ale bezvýhradne. Google mi potvrdil, že zariadenia sú schopné NFC, ale táto podpora sa k zariadeniam Android pridá v nasledujúcich mesiacoch.
Nemal som také problémy s prihlásením do svojho účtu Google na zariadení Android pomocou kľúča Bluetooth. Po zadaní hesla som bol opäť vyzvaný na predloženie svojho kľúča. Možnosť v dolnej časti obrazovky mi umožňuje výber pomocou autentifikátora NFC, USB alebo Bluetooth. Keď som prvýkrát vybral Bluetooth, objavili sa výzvy, aby som spároval Bluetooth kľúč s telefónom. Väčšinu z toho vybavila spoločnosť Google automaticky, hoci som musel zadať sériové číslo na zadnej strane kľúča Bluetooth. Týmto spôsobom sa zariadenie zaregistruje iba raz; zakaždým stačí kliknúť na tlačidlo Bluetooth na autentifikáciu. Je zaujímavé, že som v zozname posledných Bluetooth zariadení v telefóne nevidel kľúč Bluetooth, ale stále to fungovalo dobre.
Len z toho dôvodu som sa tiež pokúsil prihlásiť pomocou priloženého adaptéra USB-C a bezpečnostného kľúča USB. Fungovalo to ako kúzlo.
Okrem svojej prihlasovacej schémy 2FA ponúka spoločnosť Google aj program rozšírenej ochrany pre jednotlivcov, ktorí môžu byť zvlášť ohrození útokom. Pri testovaní som nevyskúšal rozšírenú ochranu, ale vyžaduje to predovšetkým dve zariadenia s bezpečnostným kľúčom, takže balík bezpečnostných kľúčov Titan je pripravený pracovať aj s touto prihlasovacou schémou.
Klávesy Titan by mali fungovať s každou službou, ktorá podporuje FIDO U2F. Twitter je jedným z takýchto príkladov a nemal som žiadne problémy so zápisom disku Titan USB do služby Twitter alebo s jeho pomocou na prihlásenie neskôr.
Ako sa porovnáva bezpečnostný kľúč Google Titan
Rastie zoznam zariadení na autentifikáciu hardvéru, ktoré sa porovnávajú s bezpečnostnými kľúčmi Titan, ale lídrom v tomto odvetví je pravdepodobne produktová skupina YubicoKey spoločnosti Yubico. Sú takmer totožné s kľúčom Titan USB-A: tenký, robustný plast a navrhnutý tak, aby sedel na krúžku na kľúče s malou zelenou LED diódou a zlatým diskom, ktorý zaregistruje váš dotyk bez pohyblivých častí.
Aj keď Yubico neponúka nič, ako je napríklad Bluetooth kľúč Titan, má na výber niekoľko rôznych tvarových faktorov. Napríklad séria YubiKey 4 má dva kľúče porovnateľnej veľkosti ako USB kľúč Titan: YubiKey 4 a YubiKey NEO, z ktorých druhý je povolený pomocou NFC. Yubico tiež ponúka kľúče USB-C, ktoré fungujú s akýmkoľvek zariadením, ktoré je v tomto portáli, bez potreby adaptéra.
Ak kľúče nie sú vaším štýlom, môžete sa rozhodnúť pre model YubiKey 4 Nano alebo súrodenec USB-C, model YubiKey 4C Nano. Zariadenia v štýle nano sú oveľa menšie - iba 12 mm x 13 mm - a sú navrhnuté tak, aby zostali zasunuté do portov vášho zariadenia.
Všetky vyššie uvedené zariadenia YubiKey 4 sa pohybujú od 40 do 60 dolárov, a to je len za jeden kľúč. Sú to však všetky zariadenia s viacerými protokolmi, čo znamená, že ich môžete použiť nielen ako zariadenia FIDO U2F, ale tiež nahradiť čipovú kartu pre prihlásenie do počítača, pre kryptografické podpisy a pre celý rad ďalších funkcií. Niektoré z nich sú dostupné prostredníctvom voliteľného klientskeho softvéru od spoločnosti Yubico. To vám umožní zmeniť to, čo YubiKey robí a ako sa správa, čo určite poteší fantáziu všetkých bezpečnostných winksov. Kľúče Titan podporujú iba štandard U2F a štandard W3C WebAuthn a nemajú k dispozícii žiadny pridružený klientsky softvér na zmenu ich funkcií.
Najlacnejšia YubiKey je tiež tá, ktorá sa javí ako najbližšia vo funkcii kľúča Google Titan. Modrý bezpečnostný kľúč od spoločnosti Yubico funguje všade, kde je akceptovaný U2F, ale nepodporuje ostatné protokoly ako séria YubiKey 4. Podporuje tiež protokol FIDO2. Kľúč Bluetooth nemá súčasťou balíka Google Titan, ale stojí len menej ako polovicu za pouhých 20 dolárov.
Zatiaľ čo výrobky spoločnosti Yubico sú prinajmenšom tak technologicky schopné a odolné ako kľúč Titan, slabinou spoločnosti bolo vysvetlenie, ktoré z jej kľúčov robia to, čo a kde sú podporované. Webová stránka Yubico obsahuje niekoľko závratných máp vyplnených skratkami, ktoré spôsobujú, že aj moje oči zaľadňujú. Klávesy Titan na druhej strane uprednostňujú takmer jednoduchosť podobnú Apple a použiteľnosť hneď po vybalení.
Existujú aj softvérové riešenia pre 2FA. Spomenul som Duo a Google aj Twilio Authy tiež ponúkajú jednorazové kódy prostredníctvom aplikácií, rovnako ako LastPass prostredníctvom vyhradenej aplikácie. Softvérové overovače sú užitočné a možno pohodlnejšie, ak máte vždy po ruke svoj telefón. Hardvérové zariadenia 2FA, ako je napríklad Titan kľúč, sú však odolnejšie ako telefón, nikdy sa nevyčerpajú napájacie zdroje a namiesto zadávania jednorazových kódov generovaných aplikáciou vyžadujú iba ťuknutie. Hardvérový kľúč je tiež ťažšie útočiť ako aplikácia, ktorá žije v telefóne, hoci telefóny sú v súčasnosti dosť bezpečné. Nakoniec, výber medzi hardvérovým alebo softvérovým riešením 2FA pravdepodobne príde na osobné preferencie.
Problém podpory
Napriek tomuto názvu nie je štandardná podpora FIDO Universal Two-Factor univerzálna. Ak chcete používať kľúče Titan v účtoch Google alebo Twitter, musíte sa prihlásiť pomocou prehliadača Chrome. S prehliadačom Firefox (zatiaľ) žiadne šťastie. To isté platilo, keď som použil kľúč Titan s Twitterom.
Už roky som používal YubiKey na ochranu svojho účtu LastPass a bol som prekvapený, keď môj správca hesiel nepodporuje kľúče Titan. Aj s mojím serverom YubiKey ho môžem používať ako svoj druhý faktorový overovač pre svoj účet Google prostredníctvom prehliadača Chrome.
Vývojári a ľudia, ktorí stoja za FIDO, musia pracovať bližšie, aby vo všeobecnosti poskytli širšiu podporu pre Titan, YubiKey a U2F. Ešte som si nenašiel banku, ktorá akceptuje napríklad hardvér 2FA. Je frustrujúce skúsiť zaregistrovať svoj bezpečnostný kľúč pre službu, len aby ste zistili, že ste v nesprávnom prehliadači alebo že tento konkrétny bezpečnostný kľúč služba nepodporuje. Bez širšej podpory sa tieto zariadenia nebudú na veľa zvyknúť a pravdepodobne neurobia nezasvätených viac ako pomoc.
Industry Titan
Balík bezpečnostných kľúčov Google Titan obsahuje všetko, čo je potrebné na zabezpečenie vášho účtu Google pred krádežou hesla, phishingom a množstvom ďalších útokov. Nastavenie je jednoduché a pripojenie kľúča alebo ťuknutie na zariadenie Bluetooth je často jednoduchšie, ako vyhľadať jednorazový kód z aplikácie (a prípadne omyl). Kľúč Bluetooth predstavuje malú, teoretickú bezpečnostnú zodpovednosť v tom, že prenáša bezdrôtovo, ale vzbudzuje väčšie obavy, že jeho batéria môže jednoducho zomrieť.
Pomocou týchto dvoch zariadení ste pripravení zabezpečiť svoj účet Google a ďalšie podporované služby. Cenovka 50 dolárov je dobre zarobená dvoma inteligentnými a odolnými zariadeniami. S týmito nepôjdete. Trvá to najvyššie skóre, ale v tejto kategórii zadržiavame cenu Editors 'Choice Award, kým nebudeme môcť skontrolovať konkurenčné produkty.
