Sommario:
- Come funziona
- Cosa c'è nella scatola?
- Girando la chiave
- Come confronta la chiave di sicurezza di Google Titan
- Il problema del supporto
- Un Titano del settore
Video: 7 giorni con la SUPER chiave di SICUREZZA di Google: Titan Security Key (Ottobre 2024)
Si scopre che le persone sono davvero pessime nel creare e ricordare le password e molto brave nell'inventare nuovi modi per entrare in sistemi protetti da password. Google mira a risolvere almeno uno di questi problemi con il pacchetto Titan Security Key. Il prodotto è costituito da due dispositivi che, se utilizzati correttamente, rendono significativamente più difficile per i malintenzionati accedere ai tuoi account online richiedendo sia una password che una chiave fisica per accedere a un sito Web o servizio.
Come funziona
L'autenticazione a due fattori (2FA) non è solo un secondo passo dopo aver inserito una password, anche se questo è spesso il modo in cui si svolge in pratica. Invece, 2FA combina due diversi meccanismi di autenticazione (ovvero fattori) da un elenco di tre possibilità:
- Qualcosa che sai
- Qualcosa che hai, o
- Qualcosa che sei.
Una password, ad esempio, è qualcosa che conosci . In teoria dovrebbe esistere solo nella tua testa (o in sicurezza all'interno di un gestore di password). L'autenticazione biometrica, come scansioni di impronte digitali, scansioni della retina, firme cardiache e così via, conta come qualcosa che sei . Le chiavi di sicurezza Titan e prodotti simili sono qualcosa che possiedi .
Esistono molti altri modi per ottenere la protezione offerta da 2FA. Iscriversi per ricevere passcode monouso via SMS è forse il modo più comune, ma l'utilizzo di Google Authenticator e servizi come Duo sono alternative popolari che non richiedono la ricezione di un messaggio SMS.
Ma i telefoni possono essere rubati e il jack SIM è apparentemente una cosa di cui dobbiamo preoccuparci ora. Ecco perché i dispositivi fisici come i tasti Titan sono così attraenti. Sono semplici e affidabili e Google ha scoperto che la loro implementazione internamente ha spazzato via completamente gli attacchi di phishing e l'acquisizione di account.
Cosa c'è nella scatola?
All'interno del pacchetto Titan Security Key non è presente un solo dispositivo, ma due: una sottile chiave USB e un portachiavi Bluetooth. Entrambi sono realizzati in elegante plastica bianca e hanno un aspetto piacevole e robusto. La chiave USB, in particolare, emette un suono molto soddisfacente quando viene lanciata su un tavolo. L'ho fatto diverse volte solo per la gioia di farlo.
La chiave Bluetooth ha un solo pulsante e tre indicatori LED per mostrare l'autenticazione, la connessione Bluetooth e che è in carica o ha bisogno di una carica. Una singola porta micro USB nella parte inferiore serve per caricare e / o collegare la chiave Bluetooth al computer. La chiave USB è piatta con un disco dorato su un lato, che rileva il tuo tocco e completa l'autenticazione. Il dispositivo chiave USB non ha parti mobili, non richiede batterie. Secondo Google, entrambi i dispositivi sono resistenti all'acqua, quindi potresti volerli tenere fuori dalla piscina.
Entrambi sono destinati a essere portati su un portachiavi e tenuti sulla tua persona (o a portata di mano), il che significa che una bella finitura bianca può rivelarsi una responsabilità. Sferragliare su un portachiavi è sicuro di mettere un po 'di usura evidente sui dispositivi Titan incontaminati. Sto usando un Yubico YubiKey 4 da diversi anni, e sta iniziando a sembrare piuttosto consumato nonostante sia fuso in plastica nera. Nel mio breve periodo di test delle chiavi Titan, il connettore USB-A stava già iniziando a sembrare un po 'raschiato.
Nella confezione sono presenti anche alcune istruzioni, se un po 'vaghe, progettate con stile, insieme a un cavo da micro USB a USB-A e un adattatore da USB-C a USB-A. La Micro USB carica la chiave Bluetooth Titan, che, a differenza della chiave USB, può scaricarsi. Un indicatore di batteria lampeggia in rosso quando è il momento di ricaricare. La chiave USB Titan, come YubiKey, non richiede una batteria. È inoltre possibile utilizzare l'adattatore micro USB per collegare la chiave Bluetooth a un computer, dove può funzionare allo stesso modo della chiave USB Titan.
Le chiavi Bluetooth e USB-A sono conformi allo standard FIDO Universal Two-Factor (U2F). Ciò significa che possono essere utilizzati come opzione 2FA senza software aggiuntivo. Questo è l'unico protocollo supportato dalle chiavi Titan, il che significa che non possono essere utilizzate per altri scopi di autenticazione.
Quando le chiavi Titan furono annunciate per la prima volta, un giornalista scoprì che i componenti di almeno la chiave Bluetooth provenivano da un produttore cinese. Google mi ha confermato che la società contrae una terza parte per produrre le chiavi secondo le specifiche dell'azienda. Alcuni nei circoli di sicurezza hanno visto questo come un potenziale rischio, considerando che la Cina è stata accusata di aver effettuato attacchi digitali alle istituzioni statunitensi. A mio avviso, tuttavia, se non ti fidi di Google per controllare correttamente i suoi partner hardware, probabilmente non ti fidi di Google abbastanza da utilizzare i suoi prodotti di sicurezza in primo luogo e dovresti cercare altrove.
Girando la chiave
Prima di poter utilizzare le chiavi Titan, devono prima essere registrate con un sito o un servizio che supporta FIDO U2F. Google ovviamente lo fa, ma anche Dropbox, Facebook, GitHub, Twitter e altri. Poiché le chiavi Titan sono un prodotto Google, ho iniziato configurandole per proteggere un account Google.
L'impostazione delle chiavi Titan con il tuo account Google è semplice. Vai alla pagina 2FA di Google o visita le opzioni di sicurezza del tuo account Google. Scorri verso il basso fino a Aggiungi chiave di sicurezza, fai clic su e il sito ti chiede di inserire e toccare la chiave USB di sicurezza. Questo è tutto! La registrazione della chiave Bluetooth richiede solo il passaggio aggiuntivo per collegarla al computer tramite il cavo micro USB incluso.
Una volta iscritto, sono andato ad accedere al mio account Google. Dopo aver inserito la mia password, mi è stato chiesto di inserire e toccare la mia chiave di sicurezza. Inserendo la chiave USB in una porta, il LED verde lampeggerà una volta. Il LED si accende fisso quando viene presentata una richiesta per toccare il tasto.
Quando ho testato utilizzando un nuovo account che non aveva mai usato 2FA, Google per prima cosa ha richiesto di impostare i codici di accesso singoli SMS. Se lo preferisci, puoi rimuovere i codici SMS, ma per iscriverti al programma 2FA di Google è necessario utilizzare almeno codici SMS o l'app Google Authenticator o una notifica push di autenticazione Google inviata al tuo dispositivo. Questo è in aggiunta a qualsiasi altra opzione 2FA selezionata. Tieni presente che la chiave di Google Titan non richiede SMS o altri servizi per funzionare, ma molti servizi (Twitter incluso) ti incoraggiano a verificare un numero di telefono per dimostrare che sei una persona reale.
Se selezioni più opzioni 2FA, puoi scegliere quella che funziona per te in un determinato scenario. È anche una buona idea disporre di un metodo di autenticazione di backup, nel caso in cui perdiate le chiavi o le interruzioni del telefono. Le notifiche SMS vanno bene, ma utilizzo anche i tasti cartacei, che sono una serie di codici monouso. Questi codici sono ampiamente supportati e possono essere scritti o archiviati in modo digitale (ma si spera siano crittografati!). Tuttavia, ho notato che per apportare modifiche alle mie impostazioni 2FA dopo aver registrato la mia chiave Titan, solo essa e le notifiche push sul mio telefono tramite l'app di Google erano autenticatori accettabili.
Secondo la scatola, la chiave Titan e la chiave Bluetooth sono entrambe compatibili NFC, ma non sono riuscito a farle funzionare in quel modo. Quando mi è stato chiesto di utilizzare un dispositivo 2FA sul mio telefono Android, ho seguito le istruzioni e ho schiaffeggiato il tasto sul retro del telefono, ma senza risultato. Google mi ha confermato che i dispositivi sono compatibili con NFC, ma che il supporto verrà aggiunto ai dispositivi Android nei prossimi mesi.
Non ho avuto problemi ad accedere al mio account Google su un dispositivo Android utilizzando la chiave Bluetooth. Ancora una volta, mi è stato chiesto di presentare la mia chiave dopo aver inserito la mia password. Un'opzione nella parte inferiore dello schermo mi consente di selezionare utilizzando un autenticatore NFC, USB o Bluetooth. Quando ho selezionato Bluetooth per la prima volta, mi è stato chiesto di associare la chiave Bluetooth al telefono. La maggior parte di questo è stata gestita automaticamente da Google, anche se ho dovuto inserire il numero di serie sul retro della chiave Bluetooth. La registrazione del dispositivo in questo modo deve essere eseguita una sola volta; ogni altra volta è sufficiente fare clic sul pulsante della chiave Bluetooth per autenticarsi. È interessante notare che non ho visto la chiave Bluetooth nell'elenco del telefono dei recenti dispositivi Bluetooth, ma ha comunque funzionato bene.
Solo per diamine, ho anche provato ad accedere utilizzando l'adattatore USB-C incluso e la chiave di sicurezza USB. Ha funzionato come un fascino.
Oltre al suo schema di accesso 2FA, Google offre anche un programma di protezione avanzata alle persone che potrebbero essere particolarmente a rischio di attacco. Non ho provato Advanced Protection nei miei test, ma in particolare richiede due dispositivi con chiave di sicurezza, quindi il pacchetto di chiavi di sicurezza Titan è pronto a funzionare anche con questo schema di accesso.
Le chiavi Titan dovrebbero funzionare con qualsiasi servizio che supporti FIDO U2F. Twitter ne è un esempio, e non ho avuto problemi a registrare la chiave Titan USB con Twitter o ad usarla per accedere in un secondo momento.
Come confronta la chiave di sicurezza di Google Titan
Esiste un elenco crescente di dispositivi di autenticazione hardware che si confronta con le chiavi di sicurezza Titan, ma il leader del settore è probabilmente la linea di prodotti YubiKey di Yubico. Questi sono quasi identici alla chiave Titan USB-A: plastica sottile e robusta e progettata per sedersi su un portachiavi con un piccolo LED verde e un disco dorato che registra il tuo tocco senza parti in movimento.
Mentre Yubico non offre nulla di simile alla chiave Bluetooth Titan, ha diversi fattori di forma tra cui scegliere. La serie YubiKey 4, ad esempio, ha due chiavi di dimensioni comparabili alla chiave Titan USB: YubiKey 4 e YubiKey NEO, quest'ultima abilitata per NFC. Yubico offre anche chiavi USB-C, che funzionano con qualsiasi dispositivo dotato di quella particolare porta, non è necessario alcun adattatore.
Se le chiavi non sono il tuo stile, puoi scegliere YubiKey 4 Nano o il suo fratello USB-C, YubiKey 4C Nano. I dispositivi in stile Nano sono molto più piccoli - solo 12 mm per 13 mm - e sono progettati per essere inseriti nelle porte del dispositivo.
Tutti i dispositivi YubiKey 4 sopra costano tra $ 40 e $ 60, e questo è solo per una chiave. Tuttavia, si tratta di tutti i dispositivi multiprotocollo, il che significa che è possibile utilizzarli non solo come dispositivi FIDO U2F, ma anche per sostituire una smart card per l'accesso al computer, per le firme crittografiche e per una serie di altre funzionalità. Alcuni di questi sono disponibili tramite il software client opzionale fornito da Yubico. Questo ti consente di cambiare ciò che fa YubiKey e come si comporta, il che sicuramente solleticherà la fantasia di qualsiasi fantoccio. Le chiavi Titan supportano solo U2F e lo standard WebAuthn W3C e non hanno alcun software client associato per modificarne la funzionalità.
Il YubiKey meno costoso è anche quello che sembra essere il più vicino in termini di funzionalità alla chiave di Google Titan. La chiave di sicurezza blu di Yubico funziona ovunque sia accettato U2F, ma non supporta gli altri protocolli come la serie YubiKey 4. Supporta anche il protocollo FIDO2. Non ha la chiave Bluetooth inclusa nel pacchetto Google Titan, ma costa anche meno della metà a soli $ 20.
Mentre i prodotti Yubico sono almeno tecnologicamente capaci e durevoli come la chiave Titan, la debolezza dell'azienda ha spiegato quali delle sue chiavi fanno cosa e dove sono supportate. Il sito web di Yubico ha diverse classifiche vertiginose piene di acronimi che mi fanno brillare persino gli occhi. Le chiavi Titan, d'altra parte, favoriscono una semplicità quasi simile ad Apple e un'usabilità immediata.
Esistono anche soluzioni software per 2FA. Ho citato il Duo e sia Google che Twilio Authy offrono anche codici una tantum tramite app, così come LastPass tramite un'app dedicata. Gli autenticatori software sono utili e forse più convenienti se hai sempre il telefono a portata di mano. Ma i dispositivi hardware 2FA come il tasto Titan sono più durevoli di un telefono, non si esauriscono mai e richiedono solo un tocco invece di inserire codici una tantum generati da un'app. Una chiave hardware è anche più difficile da attaccare rispetto a un'app che vive sul tuo telefono, anche se al giorno d'oggi i telefoni sono abbastanza sicuri. Alla fine, la scelta tra una soluzione 2FA hardware o software dipenderà probabilmente dalle preferenze personali.
Il problema del supporto
Nonostante il nome, il supporto standard universale a due fattori FIDO è tutt'altro che universale. Per utilizzare le tue chiavi Titan con i tuoi account Google o Twitter, devi accedere tramite Chrome. Nessuna fortuna con Firefox (per il momento). Lo stesso era vero quando ho usato la chiave Titan con Twitter.
Ho usato un YubiKey per proteggere il mio account LastPass per anni e sono rimasto sorpreso nel vedere che il mio gestore di password preferito non supporta le chiavi Titan. Anche con il mio YubiKey, posso utilizzarlo solo come autenticatore di secondo fattore per il mio account Google tramite Chrome.
Gli sviluppatori e le persone dietro FIDO devono lavorare più vicino per portare un supporto più ampio a Titan, YubiKey e U2F in generale. Devo ancora trovare una banca che accetta un hardware 2FA, per esempio. È frustrante provare a registrare la chiave di sicurezza per un servizio, solo per scoprire che sei nel browser sbagliato o che questa specifica chiave di sicurezza non è supportata dal servizio. Senza un supporto più ampio, questi dispositivi non verranno utilizzati per molto e probabilmente faranno di più per confondere i non iniziati che con l'aiuto.
Un Titano del settore
Il pacchetto di chiavi di sicurezza di Google Titan ha tutto il necessario per proteggere il tuo account Google da furti di password, phishing e una varietà di altri attacchi. L'installazione è semplice e collegare un tasto o toccare un dispositivo Bluetooth è spesso più semplice che cercare (e possibilmente sbagliare) un codice di una volta da un'app. La chiave Bluetooth presenta una piccola e teorica responsabilità di sicurezza in quanto trasmette in modalità wireless, ma la preoccupazione maggiore è che la sua batteria potrebbe semplicemente scaricarsi.
Con questi due dispositivi, sei pronto a proteggere il tuo account Google e qualsiasi altro servizio supportato. Il prezzo di $ 50 è ben guadagnato con due dispositivi intelligenti e resistenti. Non sbaglierai con questi. Prende il massimo dei voti, ma stiamo trattenendo un premio Editors 'Choice per questa categoria fino a quando non potremo rivedere altri prodotti concorrenti.
