Зміст:
- Як це працює
- Що в коробці?
- Повернення ключа
- Порівнюється ключ безпеки Google Titan
- Проблема підтримки
- Промисловий титан
Відео: Pixel vs Pixel : Titan M Security (Жовтень 2024)
Виявляється, люди насправді дуже погано створюють і запам'ятовують паролі, і дуже добре вигадують нові способи прориву в захищені паролем системи. Google має на меті вирішити принаймні одну з цих проблем за допомогою пакета ключів безпеки Titan. Продукт складається з двох пристроїв, які при правильному використанні істотно ускладнюють втручанню поганих хлопців у ваші онлайн-акаунти, вимагаючи як пароль, так і фізичний ключ для входу на веб-сайт або службу.
Як це працює
Двофакторна автентифікація (2FA) - це не лише другий крок після введення пароля, хоча це часто відбувається на практиці. Натомість 2FA поєднує два різні механізми аутентифікації (тобто фактори) зі списку трьох можливостей:
- Щось ви знаєте,
- Щось у вас є, або
- Щось ти є.
Наприклад, пароль - це те, що ви знаєте . Теоретично він повинен існувати лише у вашій голові (або безпечно всередині менеджера паролів). Біометрична аутентифікація - наприклад, сканування відбитків пальців, сканування сітківки, підписи серця тощо - вважають собою щось таке. Ключі безпеки Titan та подібні продукти - це те, що у вас є .
Існує багато інших способів отримати захист, який надає 2FA. Реєстрація для отримання одноразових паролів за допомогою SMS - це, мабуть, найпоширеніший спосіб, але використання Google Authenticator та таких служб, як Duo, є популярними альтернативами, які не потребують отримання SMS-повідомлень.
Але телефони можуть бути викрадені, а SIM-роз'єднання - це, мабуть, питання, про яке зараз ми повинні турбуватися. Ось чому такі фізичні пристрої, як клавіші Titan, такі привабливі. Вони прості та надійні, і Google виявив, що розгортання їх внутрішньо повністю знищило фішинг-атаки та поглинання облікових записів.
Що в коробці?
Всередині пакета захисних ключів Titan знаходиться не один пристрій, а два: тонкий, USB-ключ та клавіша Bluetooth. Обидва відлиті з гладкого білого пластику і мають приємне, міцне відчуття. USB-клавіша, зокрема, видає дуже задовільний звук, коли кидає на стіл. Я робив це кілька разів просто на радість цьому.
У клавіші Bluetooth є одна кнопка та три світлодіодні індикатори, які показують автентифікацію, з'єднання Bluetooth, а також те, що він заряджається або потребує заряду. Один мікро USB порт знизу призначений для зарядки та / або підключення ключа Bluetooth до комп'ютера. USB-ключ плоский із золотим диском на одній стороні, який виявляє ваш кран і завершує аутентифікацію. Пристрій USB-ключа не має рухомих частин, не потребує батарей. За даними Google, обидва пристрої водонепроникні, тому ви, можливо, захочете їх тримати поза басейном.
Обидва призначені для того, щоб надіти брелок і тримати на вашій особі (або близько від руки), а це означає, що приємна біла обробка може виявити відповідальність. Шумлячи на брелоках, обов'язково покладете помітний знос на незайманих пристроях Titan. Я вже декілька років використовую Yubico YubiKey 4, і він починає виглядати досить зношеним, незважаючи на те, що відлитий у чорний пластик. За короткий час, коли я тестував клавіші Titan, роз'єм USB-A вже починав виглядати трохи зіпсованим.
Також у коробці є стильно розроблені - якщо трохи розпливчасті - інструкції, а також мікро USB-кабель USB-A та адаптер USB-C до USB-A. Micro USB заряджає ключ Bluetooth Titan, який, на відміну від ключа USB, може працювати вниз. Індикатор акумулятора блимає червоним, коли настав час заряджатися. USB-ключ Titan, як і YubiKey, не потребує акумулятора. Ви також можете використовувати мікро USB-адаптер - це підключити ключ Bluetooth до комп'ютера, де він може функціонувати так само, як і USB-ключ Titan.
І клавіші Bluetooth, і USB-A відповідають стандарту Універсального двофактора FIDO (U2F). Це означає, що їх можна використовувати як варіант 2FA без додаткового програмного забезпечення. Це єдиний протокол, підтримуваний клавішами Titan, тобто вони не можуть бути використані для інших цілей аутентифікації.
Коли вперше були оголошені ключі «Титан», журналіст виявив, що компоненти принаймні ключа Bluetooth були від китайського виробника. Google підтвердив мені, що компанія укладає договори з третьою стороною на виготовлення ключів до специфікацій компанії. Деякі в колах безпеки розглядають це як потенційний ризик, вважаючи, що Китай звинувачується у здійсненні цифрових атак на американські установи. На мій погляд, однак, якщо ви не довіряєте Google належним чином перевірити своїх апаратних партнерів, то, ймовірно, ви не довіряєте Google достатньо, щоб користуватися продуктами безпеки в першу чергу, і вам слід шукати в іншому місці.
Повернення ключа
Перш ніж використовувати ключі Titan, їх потрібно спочатку записати на сайт або службу, яка підтримує FIDO U2F. Google, очевидно, робить, але так роблять Dropbox, Facebook, GitHub, Twitter та інші. Оскільки ключі «Титан» є продуктом Google, я почав із їх налаштування, щоб захистити обліковий запис Google.
Налаштування ключів Titan за допомогою облікового запису Google просте. Перейдіть на сторінку 2FA від Google або відвідайте параметри безпеки свого облікового запису Google. Прокрутіть униз до клавіші Додати захист, натисніть, і сайт запропонує вставити та натиснути захисний USB-ключ. Це воно! Для введення ключа Bluetooth необхідний лише додатковий крок підключення його до комп'ютера за допомогою кабелю micro USB.
Після реєстрації я пішов увійти до свого облікового запису Google. Після введення пароля мені було запропоновано вставити та натиснути свій ключ безпеки. Підключення USB-ключа до порту підкаже зелений світлодіод один раз блимати. Світлодіодний індикатор світиться стабільно, коли вам пропонується просити натиснути клавішу.
Коли я тестував новий обліковий запис, який ніколи не використовував 2FA, Google спочатку вимагав, щоб я встановив одноразові паролі SMS. Ви можете видалити SMS-коди, якщо хочете, але для реєстрації в програмі 2FA Google потрібно використовувати принаймні SMS-коди або додаток Google Authenticator або надіслати повідомлення на ваш пристрій із аутентифікацією Google. Це на додаток до будь-яких інших варіантів 2FA, які ви вибрали. Зауважте, що для ключа Google Titan не потрібен SMS або будь-яка інша послуга, але багато сервісів (включений Twitter) рекомендують підтвердити номер телефону, щоб довести, що ви справжня людина.
Якщо ви вибрали кілька варіантів 2FA, ви можете вибрати той, який працює для вас у заданому сценарії. Також хорошою ідеєю є метод резервної аутентифікації, якщо ви втратите ключі або телефон зламається. СМС-сповіщення чудово, але я також використовую паперові клавіші, які є рядом кодів разового використання. Ці коди широко підтримуються і можуть бути записані або збережені в цифровому форматі (але, сподіваємося, зашифровані!). Однак я помітив, що для внесення змін до моїх налаштувань 2FA після реєстрації мого ключа Titan, тільки його і надсилання повідомлень на мій телефон через додаток Google були прийнятними автентифікаторами.
Згідно з полем, клавіша Titan та ключ Bluetooth сумісні з NFC, але я не зміг змусити їх працювати так. Коли на моєму телефоні Android було запропоновано використовувати пристрій 2FA, я дотримувався вказівок і натиснув клавішу на задній панелі телефону, але безрезультатно. Google підтвердив, що пристрої можуть працювати з NFC, але підтримка буде додана на пристрої Android у найближчі місяці.
У мене не було таких проблем із входом у свій обліковий запис Google на пристрої Android за допомогою ключа Bluetooth. Знову ж, мені було запропоновано представити свій ключ після введення пароля. Опція в нижній частині екрана дозволить мені вибрати за допомогою автентифікатора NFC, USB або Bluetooth. Коли я вперше обрав Bluetooth, мені було запропоновано з'єднати ключ Bluetooth з телефоном. Більшу частину цього Google обробляв автоматично, хоча мені довелося вводити порядковий номер на звороті клавіші Bluetooth. Записавши пристрій таким чином, це потрібно зробити лише один раз; кожного разу, коли потрібно просто натиснути кнопку Bluetooth, щоб підтвердити себе. Цікаво, що я не бачив клавішу Bluetooth у списку останніх пристроїв Bluetooth, але він все ще працював чудово.
Якраз для цього, я також спробував увійти, використовуючи адаптер USB-C та ключ безпеки USB. Це спрацювало як шарм.
Окрім схеми входу в систему 2FA, Google пропонує також розширену програму захисту для осіб, які можуть бути особливо небезпечними для нападу. Я не перевіряв Advanced Protection у своєму тестуванні, але, зокрема, потрібні два пристрої ключа безпеки, тому пакет безпеки Titan Security також готовий працювати з цією схемою входу.
Клавіші Titan повинні працювати з будь-якою службою, яка підтримує FIDO U2F. Twitter - один із таких прикладів, і я не мав проблем із тим, щоб записати USB-ключ Titan за допомогою Twitter або використовувати його для входу пізніше.
Порівнюється ключ безпеки Google Titan
Зростає список апаратних пристроїв для аутентифікації, які порівнюють із клавішами безпеки Titan, але лідер галузі, швидше за все, лінійка продуктів YubiKey Yubico. Вони майже ідентичні ключу Titan USB-A: тонкий, міцний пластик і призначений для сидіння на брелоку з невеликим зеленим світлодіодом та золотим диском, який реєструє ваш дотик без рухомих частин.
Хоча Yubico не пропонує нічого подібного до клавіші Bluetooth Titan, у нього є кілька різних форм-факторів. Наприклад, у серії YubiKey 4 є два клавіші порівнянного розміру з USB-клавішем Titan: YubiKey 4 та YubiKey NEO, остання з яких підтримує NFC. Yubico також пропонує USB-C клавіші, які працюють з будь-яким пристроєм, на якому працює цей конкретний порт, без адаптера.
Якщо клавіші не є вашим стилем, ви можете обрати YubiKey 4 Nano або його побратимів USB-C, YubiKey 4C Nano. Пристрої в нано значно менші розміри - всього 12 мм на 13 мм - і призначені для того, щоб залишити їх у портах вашого пристрою.
Усі пристрої YubiKey 4 вище коштують від 40 до 60 доларів, і це лише за один ключ. Однак це все багатопротокольні пристрої, тобто ви можете використовувати їх не тільки як пристрої FIDO U2F, але й замінювати смарт-карту для входу в комп'ютер, для криптографічних підписів та для масиву інших функцій. Деякі з них доступні через додаткове клієнтське програмне забезпечення, яке надає Yubico. Це дозволяє вам змінити те, що робить YubiKey та як він поводиться, що обов'язково позначає будь-яку фантазію захищеності. Клавіші Titan просто підтримують U2F та стандарт W3C WebAuthn, і не мають асоційованого клієнтського програмного забезпечення для зміни їх функціональності.
Найменш дорогий YubiKey - це також той, який, схоже, за функціональністю найбільш близький до клавіші Google Titan. Синій ключ безпеки від Yubico працює в будь-якому місці, коли U2F прийнято, але не підтримує інші протоколи, як YubiKey 4 серії. Він також підтримує протокол FIDO2. Він не містить ключа Bluetooth, включеного в комплект Google Titan, але він коштує менше, ніж удвічі, лише 20 доларів.
Хоча продукція Yubico є принаймні такою ж технологічною та довговічною, як і ключ Titan, слабкість компанії пояснює, які з її ключів роблять, що і де їх підтримують. На веб-сайті Yubico є кілька запаморочливих діаграм, наповнених абревіатурами, завдяки яким навіть мої очі засліплюються. Клавіші "Титан", з іншого боку, сприяють майже Apple-подібній простоті та зручності в експлуатації.
Також є програмні рішення для 2FA. Я згадав про Duo, і Google, і Twilio Authy також пропонують одноразові коди через додатки, як і LastPass через спеціальний додаток. Аутентифікатори програмного забезпечення є корисними та, можливо, зручнішими, якщо телефон завжди буде під рукою. Але апаратні пристрої 2FA, такі як клавіша Titan, більш довговічні, ніж телефон, ніколи не закінчуються живленням і вимагають просто натискання, а не введення одноразових кодів, створених додатком. Апаратний ключ також важче атакувати, ніж додаток, який живе на вашому телефоні, хоча телефони сьогодні досить безпечні. Зрештою, вибір між апаратним чи програмним рішенням 2FA, швидше за все, припаде до особистої переваги.
Проблема підтримки
Незважаючи на назву, стандартна підтримка FIDO Universal двофакторна далеко не універсальна. Щоб використовувати ключі Titan у своїх облікових записах Google або Twitter, вам потрібно увійти через Chrome. Немає удачі з Firefox (на даний момент). Те саме було і тоді, коли я користувався ключем «Титан» у Twitter.
Я багато років використовував YubiKey для захисту свого облікового запису LastPass і здивувався, коли мій вибір менеджера паролів не підтримує ключі Titan. Навіть за допомогою свого YubiKey я можу використовувати його лише як мій аутентифікатор другого фактора для мого облікового запису Google через Chrome.
Розробникам та людям, які стоять за FIDO, потрібно працювати ближче, щоб забезпечити широку підтримку Titan, YubiKey та U2F взагалі. Мені ще потрібно знайти банк, який приймає апаратну 2FA, наприклад. Спробувати і зареєструвати свій ключ безпеки для послуги, дуже важко, лише щоб виявити, що ви не в тому веб-переглядачі, або що цей конкретний ключ безпеки не підтримується службою. Без ширшої підтримки ці пристрої не будуть багато використовуватися і, ймовірно, зроблять більше, щоб заплутати непосвячених, ніж допомогу.
Промисловий титан
Пакет безпеки Google Titan має все необхідне для захисту вашого облікового запису Google від крадіжок паролів, фішингу та багатьох інших атак. Налаштування просте, і підключення ключа або натискання пристрою Bluetooth часто простіше, ніж пошук одноразового коду програми та, можливо, його помилки. Клавіша Bluetooth представляє невелику теоретичну відповідальність за безпеку тим, що вона передається бездротовим шляхом, але більша стурбованість викликає те, що її акумулятор може просто загинути.
За допомогою цих двох пристроїв ви готові захистити свій обліковий запис Google та будь-який інший підтримуваний сервіс. Ціна в 50 доларів добре заробляється на двох розумних, довговічних пристроях. Ви не помилитесь із цим. Це найкращий результат, але ми тримаємо нагороду за вибір редакції для цієї категорії, поки не зможемо переглянути більше конкуруючих продуктів.
