Innehållsförteckning:
- Hur det fungerar
- Vad finns i boxen?
- Vrid nyckeln
- Hur Googles säkerhetsnyckel jämförs
- Problemet med support
- En industrititan
Video: Google's Titan Security Key Explained (Oktober 2024)
Det visar sig att människor faktiskt är mycket dåliga på att skapa och komma ihåg lösenord, och mycket bra på att hitta nya sätt att bryta in med lösenordsskyddade system. Google strävar efter att lösa minst ett av dessa problem med Titan Security Key-paketet. Produkten består av två enheter som, när de används korrekt, gör det betydligt svårare för onda killar att bryta sig in på dina onlinekonton genom att kräva både ett lösenord och en fysisk nyckel för att logga in på en webbplats eller tjänst.
Hur det fungerar
Tvåfaktorautentisering (2FA) är inte bara ett andra steg efter att du har angett ett lösenord - även om det ofta är hur det spelar ut i praktiken. Istället kombinerar 2FA två olika autentiseringsmekanismer (det vill säga faktorer) från en lista med tre möjligheter:
- Något du vet,
- Något du har, eller
- Något du är.
Ett lösenord är till exempel något du vet . I teorin bör det bara existera i ditt huvud (eller säkert inne i ett lösenordshanterare). Biometrisk autentisering - till exempel fingeravtrycksskanningar, näthinneskanningar, hjärtans signaturer och så vidare - räknar som något du är . Titans säkerhetsnycklar och liknande produkter är något du har .
Det finns många andra sätt att få det skydd som 2FA ger. Att registrera dig för att få engångskoder via SMS är kanske det vanligaste sättet, men att använda Google Authenticator och tjänster som Duo är populära alternativ som inte kräver att du får ett SMS.
Men telefoner kan stulas och SIM-jacking är tydligen en sak vi behöver oroa oss för nu. Det är därför fysiska enheter som Titan-tangenterna är så attraktiva. De är enkla och pålitliga, och Google har upptäckt att distribuera dem internt helt utplånade phishingattacker och kontoövertaganden.
Vad finns i boxen?
Inuti Titan Security Key Bundle finns inte en enhet utan två: en smal, USB-nyckel och en Bluetooth-driven nyckelfod. Båda är gjutna i elegant vit plast och har en trevlig och robust känsla för dem. USB-tangenten ger särskilt ett mycket tillfredsställande ljud när det kastas på ett bord. Jag har gjort detta flera gånger bara för glädjen av det.
Bluetooth-knappen har en enda knapp och tre LED-indikatorer för att visa autentisering, Bluetooth-anslutning, och att det antingen laddas eller behöver laddas. En enda mikro-USB-port på botten är för laddning och / eller anslutning av Bluetooth-tangenten till din dator. USB-nyckeln är platt med en guldskiva på ena sidan, som upptäcker din kran och slutför autentiseringen. USB-nyckelenheten har inga rörliga delar, kräver inga batterier. Enligt Google är båda enheterna vattentåliga, så du kanske vill hålla dem borta från poolen.
Båda är avsedda att läggas på en nyckelring och förvaras på din person (eller nära till hands), vilket innebär att fin vit finish kan bevisa ett ansvar. Att skratta runt på en nyckelring kommer säkert att lägga märkbart slitage på de orörda Titan-enheterna. Jag har använt en Yubico YubiKey 4 i flera år, och den börjar se ganska sliten ut trots att den är gjuten i svart plast. På min korta tid som testade Titan-tangenterna började USB-A-anslutningen redan att se lite skrapad ut.
I lådan finns också några elegant designade instruktioner, om de är lite vaga, tillsammans med en mikro-USB till USB-A-kabel och en USB-C till USB-A-adapter. Micro USB laddar Titan Bluetooth-tangenten, som till skillnad från USB-nyckeln kan rinna ner. En batteriindikator blinkar rött när det är dags att ladda. Titan USB-nyckel, som YubiKey, behöver inte ett batteri. Du kan också använda mikro-USB-adaptern för att ansluta din Bluetooth-nyckel till en dator, där den kan fungera på samma sätt som Titan USB-nyckeln.
Både Bluetooth- och USB-A-tangenterna överensstämmer med FIDO Universal Two-Factor standard (U2F). Det betyder att de kan användas som ett 2FA-alternativ utan ytterligare programvara. Detta är det enda protokollet som stöds av Titan-tangenterna, vilket innebär att de inte kan användas för andra autentiseringsändamål.
När Titan-tangenterna först tillkännagavs upptäckte en journalist att komponenterna i åtminstone Bluetooth-nyckeln var från en kinesisk tillverkare. Google bekräftade för mig att företaget kontrakterar en tredje part för att producera nycklarna till företagets specifikationer. Vissa i säkerhetskretsar betraktade detta som en potentiell risk med tanke på att Kina har anklagats för att ha genomfört digitala attacker mot amerikanska institutioner. Men enligt min mening, om du inte litar på att Google ska veta ordentligt sina hårdvarupartners, litar du förmodligen inte på Google tillräckligt för att använda dess säkerhetsprodukter i första hand, och du bör titta någon annanstans.
Vrid nyckeln
Innan Titan-nycklarna kan användas måste de först registreras på en webbplats eller tjänst som stöder FIDO U2F. Google gör uppenbarligen, men det gör Dropbox, Facebook, GitHub, Twitter och andra. Eftersom Titan-nycklarna är en Google-produkt började jag med att ställa in dem för att säkra ett Google-konto.
Att ställa in Titan-nycklarna med ditt Google-konto är enkelt. Gå till Googles 2FA-sida eller besök dina säkerhetsalternativ för Google-kontot. Rulla ner till Lägg till säkerhetsnyckel, klicka på och webbplatsen uppmanar dig att infoga och knacka på din USB-säkerhetsnyckel. Det är allt! Att registrera Bluetooth-nyckeln kräver bara det ytterligare steget för att ansluta den till din dator via den medföljande mikro-USB-kabeln.
När jag hade registrerat mig gick jag in på mitt Google-konto. Efter att ha angett mitt lösenord blev jag ombedd att infoga och knacka på min säkerhetsnyckel. Om du sätter i USB-nyckeln i en port uppmanas den gröna lysdioden att blinka en gång. Lysdioden lyser jämnt när du får en förfrågan om att trycka på knappen.
När jag testade med ett nytt konto som aldrig hade använt 2FA krävde Google först att jag ställde in en SMS-kod med en gång. Du kan ta bort SMS-koder om du föredrar det, men för att registrera dig i Googles 2FA-program krävs att du använder minst SMS-koder, eller Google Authenticator-appen, eller en Google-verifiering-push-meddelande som skickas till din enhet. Det är förutom alla andra 2FA-alternativ du väljer. Observera att Google Titan-nyckeln inte kräver SMS eller någon annan tjänst för att fungera, men många tjänster (inklusive Twitter) uppmuntrar dig att verifiera ett telefonnummer för att bevisa att du är en riktig person.
Om du väljer flera 2FA-alternativ kan du välja det som fungerar för dig i ett givet scenario. Det är också en bra idé att ha en säkerhetskopieringsmetod för säkerhetskopiering, om du tappar nycklarna eller din telefon går sönder. SMS-meddelanden är bra, men jag använder också pappersnycklar, som är en serie engångskoder. Dessa koder stöds allmänt och kan skrivas ner eller lagras digitalt (men förhoppningsvis krypterade!). Men jag märkte att för att göra ändringar i mina 2FA-inställningar efter att jag hade registrerat min Titan-nyckel var bara den och pushmeddelanden till min telefon via Google-appen acceptabla autentiserare.
Enligt rutan är Titan-tangenten och Bluetooth-nyckeln båda NFC-kompatibla, men jag kunde inte få dem att fungera på det sättet. När jag blev ombedd att använda en 2FA-enhet på min Android-telefon följde jag instruktionerna och slog på tangenten på baksidan av telefonen, men till ingen nytta. Google bekräftade för mig att enheterna är NFC-kapabla, men att stöd kommer att läggas till Android-enheter under de kommande månaderna.
Jag hade inga problem med att logga in på mitt Google-konto på en Android-enhet med Bluetooth-tangenten. Återigen blev jag ombedd att presentera min nyckel efter att ha angett mitt lösenord. Ett alternativ längst ner på skärmen låter mig välja med en NFC-, USB- eller Bluetooth-autentiserare. När jag valde Bluetooth första gången uppmanades jag att para Bluetooth-tangenten med telefonen. Det mesta av detta hanterades automatiskt av Google, även om jag måste ange serienumret på baksidan av Bluetooth-nyckeln. Att registrera enheten på detta sätt behöver detta bara göras en gång; varannan gång behöver du bara klicka på knappen Bluetooth för att verifiera dig själv. Intressant nog såg jag inte Bluetooth-nyckeln i telefonlistan över senaste Bluetooth-enheter, men den fungerade fortfarande helt bra.
Bara för att göra det, försökte jag också logga in med den medföljande USB-C-adaptern och USB-säkerhetsnyckeln. Det fungerade som en charm.
Förutom sitt 2FA-inloggningssystem erbjuder Google också Advanced Protection Program till personer som kan vara särskilt utsatta för attack. Jag testade inte avancerat skydd i mina tester, men det kräver särskilt två säkerhetsnyckelnheter, så Titan Security Key Bundle är också redo att arbeta med det här inloggningsschemat.
Titan-tangenterna ska fungera med alla tjänster som stöder FIDO U2F. Twitter är ett sådant exempel, och jag hade inga problem med att registrera Titan USB-nyckeln med Twitter eller använda den för att logga in senare.
Hur Googles säkerhetsnyckel jämförs
Det finns en växande lista över hårdvaruverifieringsenheter som jämförs med Titan Security Keys, men branschledaren är troligen Yubicos serie YubiKey-produkter. Dessa är nästan identiska med Titan USB-A-nyckeln: tunn, robust plast och designad för att sitta på en nyckelring med en liten grön LED och en guldskiva som registrerar din touch utan rörliga delar.
Även om Yubico inte erbjuder något liknande Titan Bluetooth-nyckeln har den flera olika formfaktorer att välja mellan. YubiKey 4-serien har till exempel två nycklar av jämförbar storlek som Titan USB-nyckeln: YubiKey 4 och YubiKey NEO, den senare är NFC-aktiverad. Yubico erbjuder också USB-C-nycklar, som fungerar med alla enheter som sporterar den specifika porten, utan adapter krävs.
Om tangenter inte är din stil kan du välja YubiKey 4 Nano eller USB-C-syskon, YubiKey 4C Nano. Enheterna i Nano-stil är mycket mindre - bara 12 mm till 13 mm - och är utformade för att ligga inbäddade i enhetens portar.
Alla YubiKey 4-enheter ovan kostar mellan $ 40 och $ 60, och det är bara för en nyckel. Dessa är emellertid alla enheter med flera protokoll, vilket innebär att du inte bara kan använda dem som FIDO U2F-enheter, utan också för att ersätta ett smartkort för datorinloggning, för kryptografiska signaturer och för en rad andra funktioner. Vissa av dessa är tillgängliga via den valfria klientprogramvaran som tillhandahålls av Yubico. Detta gör att du kan ändra vad YubiKey gör och hur den uppför sig, vilket säkert kommer att kittla alla säkerhetsvinks fantasier. Titan-nycklarna stöder bara U2F och W3C WebAuthn-standarden och har ingen tillhörande klientprogramvara för att ändra deras funktionalitet.
Den billigaste YubiKey är också den som verkar vara närmast när det gäller Google Titan-nyckeln. Den blå säkerhetsnyckeln från Yubico fungerar var som helst U2F accepteras, men stöder inte de andra protokollen som YubiKey 4-serien. Det stöder också FIDO2-protokollet. Den har inte Bluetooth-nyckeln som ingår i Google Titan-paketet, men den kostar också mindre än hälften till bara $ 20.
Medan Yubicos produkter är minst lika tekniskt kapabla och hållbara som Titan-nyckeln, har företagets svaghet förklarat vilka av dess nycklar som gör vad och var de stöds. Yubico-webbplatsen har flera yrande diagram fyllda med förkortningar som gör att även mina ögon glaserar över. Titan-tangenterna å andra sidan gynnar en nästan Apple-liknande enkelhet och out-the-box användbarhet.
Det finns mjukvarulösningar för 2FA också. Jag har nämnt Duo, och både Google och Twilio Authy erbjuder också engångskoder via appar, liksom LastPass via en dedicerad app. Programvaruautentiserare är användbara och kanske mer praktiska om du alltid har din telefon till hands. Men hårdvaru 2FA-enheter som Titan-tangenten är mer hållbara än en telefon, har aldrig slut på ström och kräver bara en kran istället för att ange engångskoder genererade av en app. En hårdvaruknapp är också svårare att attackera än en app som lever på din telefon, även om telefonerna är ganska säkra idag. I slutändan kommer valet mellan en hårdvara eller mjukvara 2FA-lösning troligen att komma till personliga preferenser.
Problemet med support
Trots namnet är FIDO Universal Two-Factor standardstöd långt ifrån universellt. För att använda dina Titan-nycklar med dina Google- eller Twitter-konton måste du logga in via Chrome. Ingen tur med Firefox (för tillfället). Detsamma gällde när jag använde Titan-tangenten med Twitter.
Jag har använt ett YubiKey för att skydda mitt LastPass-konto i flera år och var förvånad över att se att mitt lösenord som valde inte stöder Titan-tangenterna. Även med mitt YubiKey kan jag bara använda det som min andra faktorautentifierare för mitt Google-konto via Chrome.
Utvecklare och människorna bakom FIDO måste arbeta närmare för att få bredare stöd för Titan, YubiKey och U2F i allmänhet. Jag har ännu inte hittat en bank som till exempel accepterar en hårdvara 2FA. Det är frustrerande att försöka registrera din säkerhetsnyckel för en tjänst, bara för att hitta att du är i fel webbläsare eller att den specifika säkerhetsnyckeln inte stöds av tjänsten. Utan bredare stöd kommer dessa enheter inte att användas för mycket och kommer sannolikt att göra mer för att förvirra de oinvigde än hjälp.
En industrititan
Google Titan Security Key Bundle har allt som krävs för att säkra ditt Google-konto från lösenordstöld, phishing och en mängd andra attacker. Det är enkelt att installera, och att ansluta en nyckel eller knacka på en Bluetooth-enhet är ofta enklare än att leta upp (och eventuellt felaktigt skriva) en engångskod från en app. Bluetooth-nyckeln har ett litet, teoretiskt säkerhetsansvar genom att den sänder trådlöst, men av större oro är att batteriet helt enkelt kan dö.
Med dessa två enheter är du redo att säkra ditt Google-konto och alla andra tjänster som stöds. Prislappen på 50 $ tjänas väl med två smarta, hållbara enheter. Du kommer inte att gå fel med dessa. Det tar högsta poäng, men vi håller ut en Editors 'Choice-utmärkelsen för denna kategori tills vi kan granska fler konkurrerande produkter.
