Si scopre che le persone in realtà sono molto cattive nel creare e ricordare le password e molto brave nell'inventare nuovi modi per entrare nei sistemi protetti da password.
Google mira a risolvere almeno uno di questi problemi con il suo bundle Titan Security Key.
Il prodotto è composto da due dispositivi che, se usati correttamente, rendono notevolmente più difficile per i malintenzionati entrare nei tuoi account online richiedendo sia una password che una chiave fisica per accedere a un sito Web o servizio.
Recensioni oneste e obiettive
Daxdi.com è un'autorità leader nel campo della tecnologia e fornisce recensioni indipendenti basate su Labs dei prodotti e servizi più recenti.
La nostra analisi del settore esperta e le soluzioni pratiche ti aiutano a prendere decisioni di acquisto migliori e ottenere di più dalla tecnologia.
Come funziona
L'autenticazione a due fattori (2FA) non è solo un secondo passaggio dopo l'inserimento di una password, sebbene questo sia spesso il modo in cui si svolge nella pratica.
Invece, 2FA combina due diversi meccanismi di autenticazione (cioè fattori) da un elenco di tre possibilità:
- Qualcosa che sai
- Qualcosa che hai, o
- Qualcosa che sei.
Una password, ad esempio, è qualcosa che tu conoscere.
In teoria dovrebbe esistere solo nella tua testa (o al sicuro all'interno di un gestore di password).
L'autenticazione biometrica, come le scansioni di impronte digitali, le scansioni della retina, le firme del cuore e così via, contano come qualcosa che tu siamo.
I token di sicurezza Titan e prodotti come questo sono qualcosa che tu avere.
Un utente malintenzionato potrebbe ottenere la tua password a distanza, magari cercandola in un elenco di password da una violazione dei dati o inviando un'e-mail di phishing che ti induce a consegnare la tua password.
Ma con 2FA, lo stesso aggressore dovrebbe in qualche modo raggiungerti, personalmente, e rubare le tue chiavi Titan (o impronta digitale) oltre alla tua password.
Potrebbe essere fatto, ma è molto più difficile, il che ti protegge dalla stragrande maggioranza degli attacchi che si basano su password trapelate o facilmente indovinate.
Ci sono molti altri modi per ottenere la protezione offerta da 2FA.
La registrazione per ricevere passcode monouso tramite SMS è forse il modo più comune, ma l'utilizzo di Google Authenticator e servizi come Duo (gratuito su Duo) sono alternative popolari che non richiedono la ricezione di un messaggio SMS.
Ma i telefoni possono essere rubati e il jack della SIM è apparentemente una cosa di cui dobbiamo preoccuparci ora.
Ecco perché i dispositivi fisici come le chiavi Titan sono così attraenti.
Sono semplici e affidabili e Google ha scoperto che la loro distribuzione interna ha eliminato completamente gli attacchi di phishing e le acquisizioni di account.
Cosa c'è nella scatola?
All'interno del pacchetto Titan Security Key non c'è un dispositivo, ma due: una sottile chiave USB e un portachiavi con tecnologia Bluetooth.
Entrambi sono realizzati in elegante plastica bianca e danno una sensazione piacevole e robusta.
La chiave USB, in particolare, emette un suono molto soddisfacente quando viene lanciata su un tavolo.
L'ho fatto diverse volte solo per la gioia di farlo.
La chiave Bluetooth ha un singolo pulsante e tre indicatori LED per mostrare l'autenticazione, la connessione Bluetooth e che è in carica o necessita di una ricarica.
Una singola porta micro USB nella parte inferiore serve per caricare e / o collegare la chiave Bluetooth al computer.
La chiave USB è piatta con un disco dorato su un lato, che rileva il tuo tocco e completa l'autenticazione.
Il dispositivo chiave USB non ha parti mobili, non richiede batterie.
Secondo Google, entrambi i dispositivi sono acqua resistente, quindi potresti tenerli fuori dalla piscina.
Entrambi sono pensati per essere messi su un portachiavi e tenuti sulla tua persona (o a portata di mano), il che significa che una bella finitura bianca potrebbe rivelarsi una responsabilità.
Il tintinnio di un portachiavi metterà sicuramente un po 'di usura evidente sui dispositivi Titan incontaminati.
Uso una Yubico YubiKey 4 da diversi anni e inizia a sembrare piuttosto usurata nonostante sia realizzata in plastica nera.
Nel mio breve tempo per testare le chiavi Titan, il connettore USB-A stava già iniziando a sembrare un po 'graffiato.
Nella confezione ci sono anche alcune istruzioni dal design elegante, anche se un po 'vaghe, insieme a un cavo da micro USB a USB-A e un adattatore da USB-C a USB-A.
La Micro USB carica la chiave Bluetooth Titan, che, a differenza della chiave USB, può scaricarsi.
Un indicatore della batteria lampeggia in rosso quando è il momento di ricaricare.
La chiave USB Titan, come la YubiKey, non richiede una batteria.
È inoltre possibile utilizzare l'adattatore micro USB per collegare la chiave Bluetooth a un computer, dove può funzionare allo stesso modo della chiave USB Titan.
Sia la chiave Bluetooth che quella USB-A sono conformi allo standard FIDO Universal Two-Factor (U2F).
Ciò significa che possono essere utilizzati come opzione 2FA senza software aggiuntivo.
Questo è l'unico protocollo supportato dalle chiavi Titan, il che significa che non possono essere utilizzate per altri scopi di autenticazione.
Quando le chiavi Titan sono state annunciate per la prima volta, un giornalista ha scoperto che almeno i componenti della chiave Bluetooth .
Google mi ha confermato che l'azienda contatta una terza parte per produrre le chiavi secondo le specifiche dell'azienda.
Alcuni nei circoli di sicurezza hanno visto questo come un rischio potenziale, considerando che la Cina è stata accusata di effettuare attacchi digitali alle istituzioni statunitensi.
A mio avviso, tuttavia, se non ti fidi di Google per controllare adeguatamente i suoi partner hardware, probabilmente non ti fidi abbastanza di Google da utilizzare i suoi prodotti di sicurezza in primo luogo e dovresti cercare altrove.
Girando la chiave
Prima di poter utilizzare le chiavi Titan, è necessario registrarle in un sito o servizio che supporti FIDO U2F.
Google ovviamente lo fa, ma anche Dropbox, Facebook, GitHub, Twitter e altri.
Poiché le chiavi Titan sono un prodotto Google, ho iniziato impostandole per proteggere un account Google.
La configurazione delle chiavi Titan con il tuo account Google è semplice.
Vai alla pagina 2FA di Google o visita le opzioni di sicurezza del tuo account Google.
Scorri verso il basso fino a Aggiungi chiave di sicurezza, fai clic su e il sito ti chiederà di inserire e toccare la chiave USB di sicurezza.
Questo è tutto! La registrazione della chiave Bluetooth richiede solo il passaggio aggiuntivo di collegarla al computer tramite il cavo micro USB incluso.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Una volta iscritto, sono andato ad accedere al mio account Google.
Dopo aver inserito la mia password, mi è stato chiesto di inserire e toccare la mia chiave di sicurezza.
Se si collega la chiave USB a una porta, il LED verde lampeggia una volta.
Il LED rimane acceso quando ti viene presentata una richiesta di toccare il tasto.
Quando ho eseguito il test utilizzando un nuovo account che non aveva mai utilizzato 2FA, Google ha richiesto innanzitutto di impostare i passcode SMS monouso.
Puoi rimuovere i codici SMS se preferisci, ma la registrazione al programma 2FA di Google richiede l'utilizzo di almeno codici SMS, l'app Google Authenticator o una notifica push di autenticazione Google inviata al tuo dispositivo.
Questo è in aggiunta a qualsiasi altra opzione 2FA selezionata.
Tieni presente che la chiave di Google Titan non richiede SMS o altri servizi per funzionare, ma molti servizi (incluso Twitter) ti incoraggiano a verificare un numero di telefono per dimostrare che sei una persona reale.
Se selezioni più opzioni 2FA, puoi scegliere quella che funziona per te in un determinato scenario.
È anche una buona idea avere un metodo di autenticazione di backup, nel caso in cui perdi le chiavi o il telefono si rompe.
Le notifiche SMS vanno bene, ma uso anche chiavi cartacee, che sono una serie di codici monouso.
Questi codici sono ampiamente supportati e possono essere scritti o archiviati digitalmente (ma si spera crittografati!).
Tuttavia, ho notato che per apportare modifiche alle mie impostazioni 2FA dopo aver registrato la mia chiave Titan, solo questa e le notifiche push sul mio telefono tramite l'app Google erano autenticatori accettabili.
Secondo la confezione, la chiave Titan e la chiave Bluetooth sono entrambe compatibili con NFC, ma non sono riuscito a farle funzionare in quel modo.
Quando mi è stato chiesto di utilizzare un dispositivo 2FA sul mio telefono Android, ho seguito le istruzioni e ho schiaffeggiato il tasto sul retro del telefono, ma senza alcun risultato.
Google mi ha confermato che i dispositivi supportano NFC, ma tale supporto verrà aggiunto ai dispositivi Android nei prossimi mesi.
Non ho avuto problemi di questo tipo ad accedere al mio account Google su un dispositivo Android utilizzando la chiave Bluetooth.
Di nuovo, mi è stato chiesto di presentare la mia chiave dopo aver inserito la mia password.
Un'opzione nella parte inferiore dello schermo mi consente di selezionare utilizzando un autenticatore NFC, USB o Bluetooth.
Quando ho selezionato Bluetooth per la prima volta, mi è stato chiesto di accoppiare la chiave Bluetooth con il telefono.
La maggior parte di questo è stata gestita automaticamente da Google, anche se ho dovuto inserire il numero di serie sul retro della chiave Bluetooth.
La registrazione del dispositivo in questo modo deve essere eseguita una sola volta; ogni altra volta è sufficiente fare clic sul pulsante della chiave Bluetooth per autenticarsi.
È interessante notare che non ho visto la chiave Bluetooth nell'elenco dei dispositivi Bluetooth recenti del telefono, ma funzionava comunque bene.
Solo per il gusto di farlo, ho anche provato ad accedere utilizzando l'adattatore USB-C incluso e la chiave di sicurezza USB.
Ha funzionato come un fascino.
Oltre al suo schema di accesso 2FA, Google offre anche il Programma di protezione avanzata alle persone che potrebbero essere particolarmente a rischio di attacco.
Non ho provato la protezione avanzata durante i miei test, ma in particolare richiede due dispositivi chiave di sicurezza, quindi il pacchetto Titan Security Key è pronto per funzionare anche con questo schema di accesso.
Le chiavi Titan dovrebbero funzionare con qualsiasi servizio che supporti FIDO U2F.
Twitter è uno di questi esempi e non ho avuto problemi a registrare la chiave USB Titan con Twitter o utilizzarla per accedere in un secondo momento.
Confronto tra token di sicurezza Google Titan
C'è un elenco crescente di dispositivi di autenticazione hardware che si confrontano con le chiavi di sicurezza Titan, ma il leader del settore è probabilmente la linea di prodotti YubiKey di Yubico.
Questi sono quasi identici alla chiave USB-A Titan: plastica sottile e robusta e progettati per essere posizionati su un portachiavi con un piccolo LED verde e un disco dorato che registra il tuo tocco senza parti in movimento.
Sebbene Yubico non offra nulla di simile alla chiave Bluetooth Titan, ha diversi fattori di forma tra cui scegliere.
La serie YubiKey 4, ad esempio, ha due chiavi di dimensioni paragonabili alla chiave USB Titan: la YubiKey 4 e la YubiKey NEO, quest'ultima abilitata per NFC.
Yubico offre anche chiavi USB-C, che funzionano con qualsiasi dispositivo dotato di quella particolare porta, senza bisogno di adattatore.
Se le chiavi non sono il tuo stile, puoi optare per la YubiKey 4 Nano o la sua sorella USB-C, la YubiKey 4C Nano.
I dispositivi in ??stile Nano sono molto più piccoli, solo 12 mm per 13 mm, e sono progettati per essere lasciati incastonati nelle porte del dispositivo.
Tutti i dispositivi YubiKey 4 sopra costano tra $ 40 e $ 60, e questo è solo ...
