Оглавление:
- Как это устроено
- Что в коробке?
- Поворачивая ключ
- Как сравнивается ключ безопасности Google Titan
- Проблема поддержки
- Промышленный Титан
Видео: Google Security Key - Titan Security Key | USB Security Key | Anti - Hacking Device (Сентябрь 2024)
Оказывается, на самом деле люди очень плохо умеют создавать и запоминать пароли, и очень хорошо изобретают новые способы проникновения в системы, защищенные паролем. Google стремится решить хотя бы одну из этих проблем с помощью своего пакета ключей безопасности Titan. Продукт состоит из двух устройств, которые при правильном использовании значительно затрудняют проникновение злоумышленников в ваши сетевые учетные записи, требуя как пароль, так и физический ключ для входа на веб-сайт или в службу.
Как это устроено
Двухфакторная аутентификация (2FA) - это не просто второй шаг после ввода пароля, хотя на практике это часто бывает так. Вместо этого 2FA объединяет два разных механизма аутентификации (то есть факторы) из списка трех возможностей:
- Что-то, что ты знаешь,
- Что-то у вас есть, или
- Что-то вы есть.
Например, пароль - это то, что вы знаете . Теоретически это должно существовать только в вашей голове (или безопасно в менеджере паролей). Биометрическая аутентификация - такая как сканирование отпечатков пальцев, сканирование сетчатки глаза, сердечные подписи и т. Д. - считается чем-то, что вы есть . Ключи безопасности Titan и подобные продукты - это то, что у вас есть .
Есть много других способов получить защиту от 2FA. Регистрация для получения одноразовых паролей по SMS является, пожалуй, наиболее распространенным способом, но использование Google Authenticator и таких сервисов, как Duo, являются популярными альтернативами, не требующими получения SMS-сообщения.
Но телефоны могут быть украдены, и, по-видимому, сейчас нам нужно беспокоиться о том, чтобы поднять SIM-карту. Вот почему физические устройства, такие как ключи Titan, так привлекательны. Они просты и надежны, и Google обнаружил, что их внутреннее развертывание полностью уничтожило фишинговые атаки и захваты аккаунтов.
Что в коробке?
В комплекте ключей безопасности Titan находится не одно устройство, а два: тонкий USB-ключ и Bluetooth-брелок. Оба отлиты из гладкого белого пластика и имеют приятный, крепкий вид. В частности, USB-ключ издает очень приятный звук, когда его бросают на стол. Я делал это несколько раз просто для радости.
Клавиша Bluetooth имеет одну кнопку и три светодиодных индикатора, чтобы показать аутентификацию, соединение Bluetooth и то, что он либо заряжается, либо нуждается в зарядке. Один порт micro-USB в нижней части предназначен для зарядки и / или подключения ключа Bluetooth к вашему компьютеру. Ключ USB плоский с золотым диском на одной стороне, который обнаруживает ваше нажатие и завершает аутентификацию. Устройство USB-ключа не имеет движущихся частей, не требует батарей. По данным Google, оба устройства водонепроницаемы , поэтому вы можете не использовать их в бассейне.
Оба предназначены для того, чтобы надеть цепочку для ключей и держать их на себе (или под рукой), что означает, что приятное белое покрытие может доказать свою ответственность. Погремушка на брелоке наверняка приведет к заметному износу нетронутых устройств Titan. Я использую Yubico YubiKey 4 в течение нескольких лет, и он начинает выглядеть довольно изношенным, несмотря на то, что он отлит из черного пластика. Во время моего непродолжительного тестирования ключей Titan разъем USB-A уже выглядел немного зачищенным.
Также в коробке есть несколько стильных, хотя и немного расплывчатых инструкций, а также кабель micro-USB-USB-A и адаптер USB-C-USB-A. Micro USB заряжает Bluetooth-ключ Titan, который, в отличие от USB-ключа, может разрядиться. Индикатор батареи мигает красным, когда пришло время перезарядки. USB-ключ Titan, как и YubiKey, не требует батареи. Вы также можете использовать адаптер micro USB для подключения вашего ключа Bluetooth к компьютеру, где он может функционировать так же, как и ключ USB Titan.
Клавиши Bluetooth и USB-A соответствуют стандарту FIDO Universal Two-Factor (U2F). Это означает, что они могут использоваться как опция 2FA без дополнительного программного обеспечения. Это единственный протокол, поддерживаемый ключами Titan, то есть их нельзя использовать для других целей аутентификации.
Когда впервые были объявлены ключи Titan, журналист обнаружил, что компоненты, по крайней мере, ключа Bluetooth были от китайского производителя. Google подтвердил мне, что компания заключает контракт с третьей стороной на изготовление ключей к спецификациям компании. Некоторые в кругах безопасности рассматривали это как потенциальный риск, считая, что Китай обвиняется в проведении цифровых атак на американские учреждения. Однако, на мой взгляд, если вы не доверяете Google в надлежащей проверке своих партнеров по оборудованию, вы, вероятно, недостаточно доверяете Google, чтобы использовать его продукты безопасности, и вам следует искать в другом месте.
Поворачивая ключ
Перед использованием ключей Titan их необходимо зарегистрировать на сайте или в службе, поддерживающей FIDO U2F. Очевидно, что это делает Google, но также и Dropbox, Facebook, GitHub, Twitter и другие. Поскольку ключи Titan являются продуктом Google, я начал с их настройки для защиты учетной записи Google.
Настроить ключи Titan с помощью учетной записи Google просто. Перейдите на страницу 2FA Google или посетите параметры безопасности своего аккаунта Google. Прокрутите вниз, чтобы добавить ключ безопасности, нажмите, и сайт предложит вам вставить и нажать ваш ключ безопасности USB. Это оно! Для регистрации ключа Bluetooth требуется только дополнительный шаг подключения его к компьютеру с помощью прилагаемого кабеля micro USB.
После регистрации я пошел, чтобы войти в мою учетную запись Google. После ввода пароля мне предложили вставить и нажать мой ключ безопасности. При подключении USB-ключа к порту зеленый светодиод мигает один раз. Светодиод горит постоянно, когда вы получаете запрос на нажатие клавиши.
Когда я тестировал с использованием новой учетной записи, которая никогда не использовала 2FA, Google сначала потребовал, чтобы я установил одноразовые пароли SMS. Вы можете удалить коды SMS, если хотите, но для регистрации в программе Google 2FA требуется, чтобы вы использовали как минимум коды SMS, приложение Google Authenticator или push-уведомление Google для аутентификации, отправленное на ваше устройство. Это в дополнение к любым другим параметрам 2FA, которые вы выбираете. Обратите внимание, что для работы ключа Google Titan не требуется SMS или любая другая служба, но многие службы (включая Twitter) рекомендуют вам подтвердить номер телефона, чтобы доказать, что вы настоящий человек.
Если вы выберете несколько вариантов 2FA, вы можете выбрать тот, который работает для вас в данном сценарии. Также неплохо иметь резервный метод аутентификации на случай, если вы потеряете ключи или сломаете телефон. СМС-уведомления - это хорошо, но я также использую бумажные ключи, которые представляют собой серию одноразовых кодов использования. Эти коды широко поддерживаются и могут быть записаны или сохранены в цифровом виде (но, надеюсь, зашифрованы!). Тем не менее, я заметил, что для внесения изменений в мои настройки 2FA после регистрации ключа Titan, только он и push-уведомления на мой телефон через приложение Google были приемлемыми аутентификаторами.
Согласно коробке, ключи Titan и Bluetooth совместимы с NFC, но я не смог заставить их работать таким образом. Когда мне предложили использовать устройство 2FA на моем телефоне Android, я следовал инструкциям и хлопнул ключом по задней панели телефона, но безрезультатно. Google подтвердил мне, что устройства поддерживают NFC, но эта поддержка будет добавлена к устройствам Android в ближайшие месяцы.
У меня не было таких проблем при входе в мою учетную запись Google на устройстве Android с помощью ключа Bluetooth. Снова мне предложили представить свой ключ после ввода пароля. Опция внизу экрана позволяет мне выбирать с использованием аутентификатора NFC, USB или Bluetooth. Когда я впервые выбрал Bluetooth, мне было предложено выполнить сопряжение ключа Bluetooth с телефоном. Большая часть этого была обработана Google автоматически, хотя мне нужно было ввести серийный номер на обратной стороне ключа Bluetooth. Зарегистрируйте устройство таким образом, это нужно сделать только один раз; каждый раз вам просто нужно нажать кнопку ключа Bluetooth для аутентификации. Интересно, что я не увидел ключ Bluetooth в списке последних устройств Bluetooth, но он все еще работал просто отлично.
Просто ради этого, я также попытался войти в систему с помощью прилагаемого адаптера USB-C и ключа безопасности USB. Оно работало завораживающе.
В дополнение к схеме входа в систему 2FA, Google также предлагает Программу расширенной защиты лицам, которые могут подвергаться риску атак. Я не пробовал использовать расширенную защиту в своем тестировании, но для этого требуются два устройства с ключом безопасности, поэтому Titan Key Key Bundle также готов к работе с этой схемой входа в систему.
Ключи Titan должны работать с любым сервисом, который поддерживает FIDO U2F. Twitter является одним из таких примеров, и у меня не было проблем с регистрацией USB-ключа Titan в Twitter или использованием его для входа в систему позже.
Как сравнивается ключ безопасности Google Titan
Существует растущий список устройств аутентификации оборудования, которые сравниваются с ключами безопасности Titan, но лидером отрасли, вероятно, является линейка продуктов YubiKey компании Yubico. Они практически идентичны ключу Titan USB-A: тонкий, прочный пластик, предназначенный для посадки на кольцо для ключей с небольшим зеленым светодиодом и золотым диском, который фиксирует прикосновение без движущихся частей.
Хотя Yubico не предлагает ничего похожего на Bluetooth-ключ Titan, у него есть несколько различных форм-факторов на выбор. Например, серия YubiKey 4 имеет два ключа, сопоставимых по размеру с USB-ключом Titan: YubiKey 4 и YubiKey NEO, последняя из которых поддерживает NFC. Yubico также предлагает ключи USB-C, которые работают с любым устройством, использующим этот конкретный порт, без адаптера.
Если ключи не в вашем стиле, вы можете выбрать YubiKey 4 Nano или его родного USB-C, YubiKey 4C Nano. Устройства в стиле Nano намного меньше - всего 12 на 13 мм - и предназначены для того, чтобы их оставляли внутри портов вашего устройства.
Все вышеперечисленные устройства YubiKey 4 стоят от 40 до 60 долларов, и это только для одного ключа. Однако это все многопротокольные устройства, то есть вы можете использовать их не только в качестве устройств FIDO U2F, но и заменить смарт-карту для входа в систему компьютера, для криптографических подписей и для множества других функций. Некоторые из них доступны через дополнительное клиентское программное обеспечение, предоставленное Yubico. Это позволяет вам изменить то, что делает YubiKey и как он себя ведет, что непременно вызовет у любого любителя безопасности. Клавиши Titan просто поддерживают U2F и стандарт W3C WebAuthn и не имеют связанного клиентского программного обеспечения для изменения их функциональности.
Наименее дорогой YubiKey - также тот, который кажется наиболее близким по функциональности к ключу Google Titan. Синий ключ безопасности от Yubico работает везде, где принят U2F, но не поддерживает другие протоколы, такие как серия YubiKey 4. Он также поддерживает протокол FIDO2. Он не имеет ключа Bluetooth, включенного в комплект Google Titan, но он также стоит менее половины всего за 20 долларов.
В то время как продукты Yubico, по крайней мере, столь же технологичны и долговечны, что и ключ Titan, слабость компании объясняет, какие из ее ключей выполняют, что и где они поддерживаются. На веб-сайте Yubico есть несколько головокружительных графиков, заполненных аббревиатурами, которые заставляют даже мои глаза мерцать. Клавиши Titan, с другой стороны, обеспечивают простоту, похожую на Apple, и простоту использования.
Есть также программные решения для 2FA. Я упомянул Duo, и Google, и Twilio Authy также предлагают одноразовые коды через приложения, как и LastPass через специальное приложение. Программы проверки подлинности полезны и, возможно, более удобны, если у вас всегда под рукой телефон. Но аппаратные устройства 2FA, такие как ключ Titan, более долговечны, чем телефон, никогда не заканчивают работать и требуют простого нажатия вместо ввода одноразовых кодов, генерируемых приложением. Аппаратный ключ также сложнее атаковать, чем приложение, которое живет на вашем телефоне, хотя в наши дни телефоны довольно безопасны. В конце концов, выбор между аппаратным или программным решением 2FA, скорее всего, сводится к личным предпочтениям.
Проблема поддержки
Несмотря на название, стандартная поддержка FIDO Universal Two-Factor далеко не универсальна. Чтобы использовать ключи Titan с учетными записями Google или Twitter, необходимо войти в систему через Chrome. Не повезло с Firefox (на данный момент). То же самое было верно, когда я использовал ключ Titan с Twitter.
Я использовал YubiKey для защиты своей учетной записи LastPass в течение многих лет, и был удивлен, увидев, что мой выбранный менеджер паролей не поддерживает ключи Titan. Даже с моим YubiKey я могу использовать его только как свой второй фактор аутентификации для своей учетной записи Google через Chrome.
Разработчики и люди, стоящие за FIDO, должны работать ближе, чтобы обеспечить более широкую поддержку Titan, YubiKey и U2F в целом. Я еще не нашел банк, который принимает аппаратное обеспечение 2FA, например. Вызывает разочарование попытка зарегистрировать свой ключ безопасности для службы, только если вы обнаружите, что находитесь не в том браузере или что этот конкретный ключ безопасности не поддерживается службой. Без более широкой поддержки эти устройства не будут привыкать слишком много и, скорее всего, будут больше путать непосвященных, чем помогать.
Промышленный Титан
Пакет ключей безопасности Google Titan содержит все необходимое для защиты вашей учетной записи Google от кражи паролей, фишинга и множества других атак. Настройка проста, а подключить ключ или нажать на устройство Bluetooth часто проще, чем поиск (и, возможно, опечатка) одноразового кода из приложения. Ключ Bluetooth представляет собой небольшую теоретическую угрозу безопасности, заключающуюся в том, что он передает по беспроводной сети, но большую обеспокоенность вызывает то, что его батарея может просто разрядиться.
С этими двумя устройствами вы готовы защитить свою учетную запись Google и любую другую поддерживаемую службу. Ценник за 50 $ хорошо заработан с двумя умными, длительными устройствами. Вы не ошибетесь с этим. Это занимает высшую оценку, но мы удерживаем награду «Выбор редакции» в этой категории, пока не сможем рассмотреть более конкурирующие продукты.
