Tuleb välja, et inimesed oskavad paroolide loomisel ja mäletamisel tegelikult väga halvasti ning leiutavad väga parooliga kaitstud süsteemidesse sissemurdmiseks uusi viise.
Google soovib oma Titani turvavõtme paketiga lahendada vähemalt ühe nendest probleemidest.
Toode koosneb kahest seadmest, mis õigel kasutamisel muudavad pahade poiste sissemurdmise oluliselt raskemaks, nõudes veebisaidile või teenusesse sisselogimiseks nii parooli kui ka füüsilist võtit.
Kuidas see töötab
Kahefaktoriline autentimine (2FA) pole ainult teine ??samm pärast parooli sisestamist - kuigi see mängib praktikas sageli nii.
Selle asemel ühendab 2FA kolme erineva loendist kaks erinevat autentimismehhanismi (st tegureid):
- Midagi, mida sa tead,
- Midagi, mis teil on, või
- Midagi sa oled.
Näiteks parool on teie jaoks midagi tea.
Teoreetiliselt peaks see eksisteerima ainult teie peas (või turvaliselt paroolihalduris).
Biomeetriline autentimine - näiteks sõrmejälgede skaneerimine, võrkkesta skaneerimine, südame allkirjad ja nii edasi - loetakse millekski, mida te on.
Titani turvavõtmed ja sarnased tooted on midagi sina omama.
Ründaja võiks teie parooli saada eemalt, võib-olla otsides seda andmerikkumisest saadud paroolide loendist või saates andmepüügimeili, mis meelitab teid parooli üle andma.
Kuid 2FA-ga peaks see sama ründaja kuidagi isiklikult teie juurde jõudma ja lisaks teie paroolile ka teie Titani võtmed (või sõrmejälje) varastama.
Seda võiks teha, kuid see on palju raskem, mis kaitseb teid enamiku rünnakute eest, mis tuginevad lekitatud või hõlpsasti aimatavatele paroolidele.
2FA pakutava kaitse saamiseks on palju muid võimalusi.
Registreerumine ühekordsete pääsukoodide saamiseks SMS-i teel on võib-olla kõige levinum viis, kuid Google Authenticatori ja selliste teenuste kasutamine nagu Duo (Duo tasuta) on populaarsed alternatiivid, mis ei nõua SMS-sõnumi saamist.
Kuid telefone saab varastada ja SIM-pistikupesa on ilmselt asi, mille pärast peame nüüd muretsema.
Seetõttu on füüsilised seadmed nagu Titani klahvid nii atraktiivsed.
Need on lihtsad ja usaldusväärsed ning Google on avastanud, et nende sisemine juurutamine hävitas andmepüügirünnakud ja konto ülevõtmised täielikult.
Mis on karbis?
Titani turvavõtmekomplektis ei ole üks seade, vaid kaks: õhuke, USB-võti ja Bluetoothi ??toega võtmehoidja.
Mõlemad on valatud klanitud valgest plastikust ja neil on meeldiv ja vastupidav tunne.
Eriti USB-võti annab lauale visates väga rahuldava heli.
Olen seda mitu korda teinud lihtsalt oma rõõmuks.
Bluetooth-võtmel on üks nupp ja kolm LED-indikaatorit, mis näitavad autentimist, Bluetooth-ühendust ja seda, et see kas laadib või vajab laadimist.
Põhjas on üks mikro-USB-port Bluetooth-võtme laadimiseks ja / või arvutiga ühendamiseks.
USB-võti on lame ja ühel küljel on kuldketas, mis tuvastab teie koputuse ja viib autentimise lõpule.
USB-võtmeseadmel pole liikuvaid osi ega vaja patareisid.
Google'i sõnul on mõlemad seadmed vesi vastupidav, nii et võiksite neid basseinist eemal hoida.
Mõlemad on mõeldud võtmehoidja külge panemiseks ja teie isiku hoidmiseks (või käe-jala juures), mis tähendab, et kena valge viimistlus võib osutuda vastutuseks.
Võtmehoidjal ringi ragistamine paneb põlised Titani seadmed kindlasti märgatavalt kuluma.
Olen mitu aastat kasutanud Yubico YubiKey 4 ja see hakkab vaatamata mustale plastmassile üsna kulunud välja nägema.
Minu Titani võtmete testimise lühikese aja jooksul hakkas USB-A pistik juba veidi üles kraabitud välja nägema.
Karbis on ka mõned stiilse kujundusega juhised, kui need on veidi ebamäärased, koos mikro-USB-USB-A-kaabli ja USB-C-USB-A-adapteriga.
Micro USB laeb Titan Bluetooth-klahvi, mis erinevalt USB-võtmest võib tühjaks jääda.
Aku indikaator vilgub punaselt, kui on aeg laadida.
Titani USB-võti, nagu ka YubiKey, ei vaja akut.
Samuti saate kasutada mikro-USB-adapterit oma Bluetooth-võtme ühendamiseks arvutiga, kus see võib toimida samal viisil kui Titani USB-võti.
Nii Bluetooth- kui ka USB-A-klahvid vastavad FIDO universaalsele kahefaktorilisele standardile (U2F).
See tähendab, et neid saab kasutada 2FA valikuna ilma täiendava tarkvarata.
See on ainus protokolli, mida Titan-võtmed toetavad, mis tähendab, et neid ei saa kasutada muudel autentimise eesmärkidel.
Kui Titani võtmed esmakordselt välja kuulutati, avastas ajakirjanik, et vähemalt Bluetooth-klahvi komponendid .
Google kinnitas mulle, et ettevõte sõlmib ettevõtte spetsifikatsioonide võtmete tootmiseks kolmanda osapoole.
Mõned julgeolekuringkondades pidasid seda potentsiaalseks riskiks, arvestades, et Hiinat on süüdistatud digitaalsete rünnakute korraldamises USA institutsioonide vastu.
Minu arvates aga, kui te ei usalda Google'it riistvarapartnerite õiges loomaarstis, siis tõenäoliselt ei usalda Google piisavalt oma turbetoodete kasutamist ja peaksite otsima mujalt.
Võtme keeramine
Enne Titani võtmete kasutamist tuleb need kõigepealt registreerida saidil või teenuses, mis toetab FIDO U2F-i.
Google seda ilmselt teeb, aga seda teevad ka Dropbox, Facebook, GitHub, Twitter ja teised.
Kuna Titani võtmed on Google'i toode, alustasin nende seadistamisest Google'i konto turvamiseks.
Titani võtmete seadistamine oma Google'i kontoga on lihtne.
Minge Google'i 2FA lehele või külastage oma Google'i konto turvasuvandeid.
Kerige alla jaotiseni Turvavõtme lisamine, klõpsake ja sait palub teil sisestada oma USB-turvavõtme ja koputada seda.
See selleks! Bluetooth-võtme registreerimine nõuab ainult täiendavat sammu selle kinnitamiseks kaasasoleva mikro-USB-kaabli abil arvutiga.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Pärast registreerumist läksin oma Google'i kontole sisse logima.
Pärast parooli sisestamist paluti mul sisestada oma turvavõti ja puudutada seda.
USB-võtme ühendamine pordiga kutsub rohelist LED-i üks kord vilkuma.
Valgusdiood põleb pidevalt, kui teile esitatakse taotlus klahvi puudutamiseks.
Kui katsetasin värsket kontot, mis ei olnud kunagi 2FA-d kasutanud, nõudis Google kõigepealt SMS-i ühekordsete pääsukoodide seadistamist.
Soovi korral saate SMS-koodid eemaldada, kuid registreerumine Google'i 2FA programmi eeldab, et kasutate vähemalt SMS-koode või rakendust Google Authenticator või teie seadmesse saadetud Google'i autentimise tõuketeatist.
See lisaks kõigile muudele valitud 2FA valikutele.
Pange tähele, et Google Titani klahv ei vaja toimimiseks SMS-e ega muid teenuseid, kuid paljud teenused (sealhulgas Twitter) soovitavad teil telefoninumbrit kinnitada, et tõestada, et olete tõeline inimene.
Kui valite mitu 2FA valikut, saate valida selle, mis teile antud stsenaariumi korral sobib.
Samuti on hea kasutada varundamise meetodit, juhul kui võtmed kaotsi lähevad või telefon katki läheb.
SMS-märguanded on korras, kuid kasutan ka paberklahve, mis on ühekordsete kasutuskoodide jada.
Neid koode toetatakse laialdaselt ja neid saab digitaalselt üles kirjutada või salvestada (kuid loodetavasti krüpteerida!).
Siiski märkasin, et pärast Titan-võtme registreerimist oma 2FA seadetes muudatuste tegemiseks olid aktsepteeritavad autentimisfunktsioonid ainult see ja Google'i rakenduse kaudu minu telefoni saadetud teatised.
Karbi järgi on Titani võti ja Bluetooth-võti mõlemad NFC-ga ühilduvad, kuid mul ei õnnestunud neid niimoodi tööle panna.
Kui mul paluti oma Android-telefonil kasutada 2FA-seadet, järgisin juhiseid ja lõin telefoni tagaküljel oleva võtme, kuid tulutult.
Google kinnitas mulle, et seadmed on NFC-võimelised, kuid see tugi lisatakse Androidi seadmetele lähikuudel.
Mul ei olnud selliseid probleeme Android-seadmes oma Google'i kontole Bluetooth-klahvi abil sisse logides.
Jällegi paluti mul pärast parooli sisestamist oma võti esitada.
Ekraani allservas olev valik lubas mul valida NFC, USB või Bluetooth autentija abil.
Kui valisin Bluetoothi ??esimest korda, paluti mul Bluetooth-võti telefoniga siduda.
Suurema osa sellest tegi Google automaatselt, kuigi pidin sisestama seerianumbri Bluetooth-võtme tagaküljele.
Sellisel viisil seadme registreerimisel tuleb seda teha ainult üks kord; igal teisel korral peate enda autentimiseks lihtsalt klõpsama Bluetooth-klahvi nupul.
Huvitaval kombel ei näinud ma Bluetooth-võtit telefoni viimaste Bluetooth-seadmete loendis, kuid see toimis siiski suurepäraselt.
Lihtsalt selle pärast proovisin sisse logida ka kaasasoleva USB-C adapteri ja USB turvavõtme abil.
See töötas nagu võlu.
Lisaks oma 2FA sisselogimisskeemile pakub Google ka täiendava kaitse programmi inimestele, kes võivad rünnaku tõttu eriti ohtu sattuda.
Ma ei proovinud testimisel täiustatud kaitset, kuid see nõuab eelkõige kahte turvavõtmeseadet, nii et Titani turvavõtmete komplekt on valmis töötama ka selle sisselogimisskeemiga.
Titani võtmed peaksid töötama kõigi teenustega, mis toetavad FIDO U2F-i.
Twitter on üks selline näide ja mul polnud probleeme Titani USB-võtme registreerimisega Twitteris ega selle hiljem sisselogimiseks.
Kuidas võrrelda Google Titani turvavõtit
Riistvara autentimisseadmete loendit, mida Titan turvavõtmetega võrreldakse, on üha rohkem, kuid tõenäoliselt on tööstuse juht Yubico YubiKey toodete rida.
Need on peaaegu identsed Titan USB-A võtmega: õhuke, vastupidav plastik ja mõeldud istuma väikese rohelise LED-i ja kuldse kettaga võtmehoidjal, mis registreerib teie puudutuse liikuvate osadeta.
Kuigi Yubico ei paku midagi sellist nagu Titan Bluetooth-võti, on sellel valida mitu erinevat vormitegurit.
Näiteks seerias YubiKey 4 on kaks Titani USB-võtmega võrreldavat võtit: YubiKey 4 ja YubiKey NEO, millest viimane on NFC-toega.
Yubico pakub ka USB-C võtmeid, mis töötavad kõigi seadmetega, mis seda porti mängivad, adapterit pole vaja.
Kui klahvid pole teie stiil, võite valida YubiKey 4 Nano või selle USB-C-venna YubiKey 4C Nano.
Nano-stiilis seadmed on palju väiksemad - vaid 12–13 mm - ja on loodud nii, et need jäävad teie seadme pordidesse pesitsema.
Kõik ülaltoodud YubiKey 4 seadmed maksavad vahemikus 40–60 dollarit ja see on ainult ühe võtme jaoks.
Need kõik on aga mitme protokolliga seadmed, mis tähendab, et saate neid kasutada mitte ainult FIDO U2F-seadmetena, vaid ka kiipkaardi asendamiseks arvuti sisselogimise, krüptograafiliste allkirjade ja hulga muude funktsioonide jaoks.
Mõned neist on saadaval ...
