Съдържание:
- Как работи
- Какво има в кутията?
- Завъртане на ключа
- Как се сравнява ключът за сигурност на Google Titan
- Проблемът за поддръжката
- Индустриален титан
Видео: Merry Christmas 🎄 to you all (Октомври 2024)
Оказва се, че хората всъщност са много лоши в създаването и запомнянето на пароли и много добри в измислянето на нови начини за пробив в системи, защитени с парола. Google има за цел да реши поне един от тези проблеми с пакета си за сигурност на Titan Key Security. Продуктът е съставен от две устройства, които, когато се използват правилно, затрудняват значително лошите хора да пробият вашите онлайн акаунти, като изискват както парола, така и физически ключ за влизане в уебсайт или услуга.
Как работи
Двуфакторното удостоверяване (2FA) не е само втора стъпка след въвеждане на парола - въпреки че това често се случва на практика. Вместо това 2FA комбинира два различни механизма за удостоверяване (тоест фактори) от списък с три възможности:
- Нещо, което знаеш,
- Нещо, което имате, или
- Нещо си.
Парола, например, е нещо, което знаете . На теория тя трябва да съществува само в главата ви (или безопасно в мениджъра на пароли). Биометричното удостоверяване - като сканиране с пръстови отпечатъци, сканиране на ретината, сърдечни подписи и т.н. - се счита за нещо, което сте . Ключовете за сигурност на Titan и продуктите като него са нещо, което имате .
Има много други начини да получите защитата, осигурена от 2FA. Регистрирането за получаване на еднократни пароли чрез SMS е може би най-разпространеният начин, но използването на Google Удостоверител и услуги като Duo са популярни алтернативи, които не изискват получаване на SMS съобщение.
Но телефоните могат да бъдат откраднати и SIM-криването е очевидно нещо, за което трябва да се тревожим сега. Ето защо физическите устройства като клавишите Titan са толкова привлекателни. Те са прости и надеждни и Google откри, че внедряването им вътрешно напълно заличава фишинг атаки и поглъщания на акаунти.
Какво има в кутията?
Вътре в защитния ключ на Titan не е едно устройство, а две: тънък, USB ключ и Bluetooth захранващ ключ. И двете са отливани от лъскава бяла пластмаса и имат приятно, здраво усещане към тях. USB ключът, по-специално, издава много задоволителен звук, когато се хвърля върху масата. Правих това няколко пъти само за радост от това.
Bluetooth клавишът има един бутон и три LED индикатора, които показват удостоверяване, Bluetooth връзка и че се зарежда или се нуждае от зареждане. Единият микро USB порт отдолу е за зареждане и / или свързване на Bluetooth ключа към вашия компютър. USB ключът е плосък със златен диск от едната страна, който разпознава вашето докосване и завършва удостоверяването. Устройството с USB ключ няма подвижни части, не изисква батерии. Според Google и двете устройства са водоустойчиви , така че може да искате да ги държите извън басейна.
И двете са предназначени да се поставят на ключодържател и да се държат на вашето лице (или близо до вас), което означава, че хубавото бяло покритие може да се окаже отговорно. Дрънкането на ключодържател със сигурност ще постави забележимо износване на девствените устройства на Титан. Използвам Yubico YubiKey 4 от няколко години и той започва да изглежда доста износен, въпреки че е отлит в черна пластмаса. За краткото ми тестване на клавишите Titan, USB-A конекторът вече започваше да изглежда малко изстърган.
Също така в кутията има някои стилно проектирани - ако са малко неясни - инструкции, заедно с микро USB към USB-A кабел и USB-C към USB-A адаптер. Micro USB зарежда ключа на Titan Bluetooth, който, за разлика от USB ключа, може да работи надолу. Индикаторът на батерията мига червено, когато дойде време за презареждане. USB ключът Titan, подобно на YubiKey, не изисква батерия. Можете също така да използвате микро USB адаптер е да свържете вашия Bluetooth ключ към компютър, където той може да функционира по същия начин като USB ключа Titan.
Както Bluetooth, така и USB-A клавишите са съвместими с FIDO Universal Two Factor стандарта (U2F). Това означава, че могат да се използват като опция 2FA без допълнителен софтуер. Това е единственият протокол, поддържан от клавишите Titan, което означава, че те не могат да бъдат използвани за други цели на удостоверяване.
Когато за пръв път бяха оповестени клавишите на Titan, журналист откри, че компонентите на поне Bluetooth клавиша са от китайски производител. Google ми потвърди, че компанията сключва договор с трета страна за производство на ключовете от спецификациите на компанията. Някои от кръговете за сигурност разглеждат това като потенциален риск, като смятат, че Китай е обвинен в извършване на цифрови атаки срещу американски институции. Според мен обаче, ако не вярвате на Google да провери правилно своите хардуерни партньори, тогава вероятно не се доверявате достатъчно на Google, за да използва първоначално нейните продукти за сигурност и трябва да потърсите другаде.
Завъртане на ключа
Преди да могат да се използват клавишите Titan, те първо трябва да бъдат записани със сайт или услуга, която поддържа FIDO U2F. Google очевидно го прави, но така правят Dropbox, Facebook, GitHub, Twitter и други. Тъй като ключовете Titan са продукт на Google, аз започнах, като ги настроих, за да защитя акаунт в Google.
Настройването на ключовете на Titan с вашия акаунт в Google е просто. Преминете към страницата на 2FA на Google или посетете опциите за защита на профила си в Google. Превъртете надолу до Добавяне на ключ за защита, щракнете и сайтът ще ви подкани да поставите и докоснете вашия защитен USB ключ. Това е! Записването на Bluetooth ключа изисква само допълнителната стъпка да го прикачите към вашия компютър чрез включения микро USB кабел.
След като се регистрирах, отидох да вляза в акаунта си в Google. След въвеждането на паролата ми, бях подканен да вмъкна и докосна защитния си ключ. Включването на USB ключа в порт подканва зеления светодиод да мига веднъж. Светодиодът свети стабилно, когато получите молба за натискане на клавиша.
Когато тествах с нов акаунт, който никога не е използвал 2FA, Google първо поиска да настроя SMS еднократни пароли. Можете да премахнете SMS кодове, ако предпочитате, но за да се включите в програмата 2FA на Google, трябва да използвате поне SMS кодове или приложението Google Authenticator или известие за потвърждение от Google, изпратено до вашето устройство. Това е в допълнение към другите 2FA опции, които сте избрали. Моля, обърнете внимание, че ключът на Google Titan не изисква SMS или друга услуга, за да функционира, но много услуги (включен Twitter) ви насърчават да потвърдите телефонен номер, за да докажете, че сте истински човек.
Ако изберете няколко опции за 2FA, можете да изберете тази, която работи за вас в даден сценарий. Също така е добра идея да имате резервен метод за удостоверяване, в случай че загубите ключовете си или телефонът ви се счупи. SMS известията са добре, но аз също използвам клавиши от хартия, които са поредица от кодове за еднократна употреба. Тези кодове са широко поддържани и могат да бъдат записани или съхранявани цифрово (но се надяваме да бъдат криптирани!). Въпреки това забелязах, че за да направя промени в настройките си за 2FA, след като записах ключа си Titan, само него и натискане на известия до телефона ми чрез приложението Google бяха приемливи удостоверятели.
Според кутията клавишът Titan и Bluetooth ключът са съвместими с NFC, но не успях да ги накарам да работят по този начин. Когато бъдете подканени да използвам 2FA устройство на моя телефон с Android, следвах инструкциите и плеснах ключа на гърба на телефона, но без резултат. Google ми потвърди, че устройствата са способни на NFC, но тази поддръжка ще бъде добавена към устройствата с Android през следващите месеци.
Нямах такива проблеми с влизането в акаунта си в Google на устройство с Android, използвайки ключа Bluetooth. Отново бях подканен да представя ключа си, след като въведех паролата си. Опция в долната част на екрана ми позволи да избера с помощта на NFC, USB или Bluetooth автентификатор. Когато избрах Bluetooth за първи път, бях подканен да сдвоя Bluetooth ключа с телефона. По-голямата част от това се обработва автоматично от Google, въпреки че трябваше да въведем серийния номер на гърба на Bluetooth ключа. Записването на устройството по този начин това трябва да се направи само веднъж; всеки друг път просто трябва да кликнете върху бутона на клавиша Bluetooth, за да се удостоверите. Интересното е, че не видях Bluetooth клавиша в списъка на телефона на последните Bluetooth устройства, но той все още работеше отлично.
Само за дяволите, аз също се опитах да вляза с помощта на включения USB-C адаптер и USB защитния ключ. Работи като чар.
В допълнение към схемата за вход 2FA, Google предлага и програма за усъвършенствана защита за лица, които могат да бъдат изложени на особен риск за атака. Не изпробвах Advanced Protection при моето тестване, но най-вече се нуждаят от две устройства с ключ за сигурност, така че пакетът за сигурност на Titan Security е готов да работи и с тази схема за влизане.
Клавишите Titan трябва да работят с всяка услуга, която поддържа FIDO U2F. Twitter е един такъв пример и нямах проблеми да вляза с ключа на Titan USB с Twitter или да го използвам за влизане по-късно.
Как се сравнява ключът за сигурност на Google Titan
Има все по-голям списък с устройства за хардуерно удостоверяване, които се сравняват с защитните ключове на Titan, но лидерът в индустрията вероятно е линията на Yubico от продуктите на YubiKey. Те са почти идентични с ключа на Titan USB-A: тънка, здрава пластмаса и проектирана да седи на ключодържател с малък зелен светодиод и златен диск, който регистрира докосването ви без движещи се части.
Въпреки че Yubico не предлага нищо като Bluetooth Titan Bluetooth, той има няколко различни факторни фактора, от които да избирате. Например, серията YubiKey 4 има два клавиша със съпоставими размери с USB ключа на Titan: YubiKey 4 и YubiKey NEO, последният от които е с активиран NFC. Yubico предлага и USB-C клавиши, които работят с всяко устройство, което спортува на този порт, не е необходим адаптер.
Ако клавишите не са ваш стил, можете да изберете YubiKey 4 Nano или USB-C братя, YubiKey 4C Nano. Устройствата в стил Nano са много по-малки - само 12 mm на 13 mm - и са проектирани да оставят сгушени във вътрешността на портовете на вашето устройство.
Всички по-горе устройства YubiKey 4 струват между 40 и 60 долара, и това е само за един ключ. Това обаче са всички мулти-протоколни устройства, което означава, че можете не само да ги използвате като устройства FIDO U2F, но и да замените смарт карта за вход в компютър, за криптографски подписи и за масив от други функции. Някои от тях са достъпни чрез опционалния клиентски софтуер, предоставен от Yubico. Това ви позволява да промените какво прави YubiKey и как се държи, което е сигурно, че гъделичкането на всяка сигурност е намигване. Клавишите Titan просто поддържат U2F и W3C WebAuthn стандарта и нямат асоцииран клиентски софтуер, който да променя тяхната функционалност.
Най-евтиният YubiKey е и този, който изглежда е най-близък по функционалност до клавиша Google Titan. Синият ключ за сигурност от Yubico работи навсякъде, където е приет U2F, но не поддържа другите протоколи като YubiKey 4 серия. Той също така поддържа FIDO2 протокол. Той няма Bluetooth ключ, включен в пакета Google Titan, но също така струва по-малко от половината само за 20 долара.
Въпреки че продуктите на Yubico са поне толкова технологично способни и издръжливи, колкото ключът на Titan, слабостта на компанията обяснява кой от ключовете й прави какво и къде се поддържа. Уебсайтът Yubico има няколко главозамайващи класации, пълни с акроними, които карат дори очите ми да се остъклят. Клавишите на Titan, от друга страна, благоприятстват почти подобна на Apple простота и удобство за използване извън кутията.
Съществуват и софтуерни решения за 2FA. Споменах за Duo и двете Google и Twilio Authy също предлагат еднократни кодове чрез приложения, както и LastPass чрез специално приложение. Аутентификаторите на софтуер са полезни и може би по-удобни, ако винаги имате под ръка телефона си. Но хардуерните 2FA устройства като клавиша Titan са по-издръжливи от телефона, никога не изчерпват захранването и изискват просто докосване, вместо да въвеждате еднократни кодове, генерирани от приложение. Хардуерният ключ също е по-труден за атакуване, отколкото приложение, което живее на вашия телефон, въпреки че телефоните са доста сигурни в наши дни. В крайна сметка изборът между хардуерно или софтуерно 2FA решение вероятно ще се сведе до личните предпочитания.
Проблемът за поддръжката
Въпреки името, стандартната поддръжка на два фактора FIDO Universal далеч не е универсална. За да използвате ключовете си Titan с вашите акаунти в Google или Twitter, трябва да влезете чрез Chrome. Няма късмет с Firefox (за момента). Същото беше и когато използвах ключа „Титан“ с Twitter.
Използвах YubiKey за защита на моя LastPass акаунт от години и бях изненадан, когато избраният от мен мениджър на пароли не поддържа ключовете на Titan. Дори и с моя YubiKey, мога да го използвам само като свой втори удостоверяващ фактор за акаунта си в Google чрез Chrome.
Разработчиците и хората, стоящи зад FIDO, трябва да работят по-близо, за да осигурят по-широка поддръжка за Titan, YubiKey и U2F като цяло. Тепърва ще намеря банка, която приема хардуер 2FA, например. Безпроблемно е да опитате и да регистрирате вашия защитен ключ за услуга, само за да откриете, че сте в грешен браузър или че този специфичен ключ за защита не се поддържа от услугата. Без по-широка поддръжка тези устройства няма да се използват много и вероятно ще направят повече за объркване на непосветените, отколкото на помощ.
Индустриален титан
Пакетът за сигурност на Google Titan има всичко необходимо, за да защитите вашия акаунт в Google от кражба на парола, фишинг и различни други атаки. Настройката е лесна и включването на ключ или докосването на Bluetooth устройство често е по-лесно, отколкото да търсите (и евентуално да заблудите) еднократен код от приложение. Bluetooth ключът представлява малка теоретична отговорност за сигурността, тъй като той предава безжично, но по-голямо притеснение е, че батерията му може просто да умре.
С тези две устройства сте готови да защитите своя акаунт в Google и всяка друга поддържана услуга. Цената от $ 50 е добре спечелена с две умни, издръжливи устройства. Няма да сбъркате с тях. Отнема най-добър резултат, но ние задържаме награда за избор на редактор за тази категория, докато не можем да прегледаме по-конкурентни продукти.
