Bilde: Google
Google virkelig, virkelig ønsker at du skal bruke fysisk sikkerhet-tastene for å beskytte deg mot hackere. Etter å kunngjøre at sin 85,000 ansatte har klart å gå mer enn et år uten å bli utsatt for svindel på grunn av mandat sikkerhet enheter, Google har nå sin egen fysisk sikkerhet-tasten for å selge deg.
På onsdag, selskapet annonserte sin nye Titan sikkerhetsnøkkel, en enhet som beskytter dine kontoer ved å begrense to-faktor autentisering til den fysiske verden. Den er tilgjengelig som en USB-pinne og en Bluetooth-variant, og som lignende produkter av Yubico og Feitian, det benytter protokollen godkjent av FIDO alliansen. Det betyr at det vil være kompatibel med ganske mye en tjeneste som gjør det mulig for brukere å slå på Universell 2. Faktor Autentisering (U2F).
På dette punktet, alle bør være kjent med de grunnleggende to-faktor autentisering som legger til et ekstra lag med sikkerhet på toppen av standard passord. Du kan be om en tekstmelding, eller bruk en autentisering-appen for å generere en kode som må legges inn for å få tilgang til din konto. Dette bidrar til å redusere risikoen som er involvert med å bli lurt til å levere over dine passord. Men teknikken kan fortsatt bli omgått av en hacker.
U2F går videre ved å kreve en USB-enhet er satt inn i datamaskinen eller en NFC-enhet til å være i umiddelbar nærhet til enheten. Google er også helt i front i det gå til ved hjelp av Bluetooth (BLE) for sin U2F. Bluetooth til side, men det er uklart hva som nøyaktig angir Googles produktet bortsett fra sine konkurrenter.
I en e-post til Gizmodo, selskapet sa, “Titan Sikkerhet-Tasten gir deg enda mer fred i sinnet at kontoene er beskyttet med sikkerhet fra Google integriteten til den fysiske tasten.” Så det ser ut som fremfor alt, Google er bare satser på merkevare anerkjennelse—og det er sant som du ikke ønsker å kjøpe denne type utstyr fra en ukjent kilde.
Yubico utviklet denne teknologien og er den dominerende kraft i industri U2F enheter, samt ytterligere raffinering dens protokoller. Det teller store selskaper som Facebook blant sine forretningsreisende. Google har også vært en Yubico klient og de to selskapene har samarbeidet om utviklingen av FIDO standarder gjennom årene.
Følgende dagens kunngjøring av Titan-tasten, Yubico KONSERNSJEF Stine Ehrensvard skrev et blogginnlegg som var litt kritiske til Google s nye produkt. Ehrensvard insisterte på at alle på Yubico “er sanne tilhengere av åpne standarder” og alle nye konkurrenter i feltet er velkommen. Men hun blinket ut et par poeng for brukerne å huske på hvis de prøver å bestemme om de ønsker å gå med Titan. Fra sitt innlegg:
Yubico sterkt mener det er sikkerhet og personvern fordeler for våre kunder ved produksjon og programmering våre produkter i USA og Sverige.
Google tilbyr inkluderer en Bluetooth – (BLE) stand-tasten. Mens Yubico tidligere igangsatt utvikling av en BLE sikkerhetsnøkkelen, og bidro til at det BLE U2F standarder arbeid, bestemte vi oss for ikke å lansere produktet som det ikke oppfyller våre standarder for sikkerhet, stabilitet og holdbarhet. BLE ikke gir den sikkerhet assurance nivåer av NFC og USB, og krever batterier og sammenkobling som gir en dårlig brukeropplevelse.
Når vi spurte Google hvis det ønsker å svare til de bekymringer Ehrensvard hevet, en talsperson avvist. Henne, punktet om i hvilket land Titan blir produsert er litt forvirrende. Det synes hun prøver å si at Google har enheten blir produsert i et land som kan la den stå åpen for å bli kompromittert. Når vi spurte Yubico hva dette betydde og hvor Titan blir produsert, en talsperson henviste oss tilbake til Google.
Yubico talsperson gjorde peker oss til en siste advarsel fra USA Computer Emergency Response Team som Bluetooth-enheter inneholde et sikkerhetsproblem som kan tillate en angriper å få tilgang til dine data. Yubico sier det er fokusert på near field communication (NFC) i stedet for Bluetooth og det er planer om å “annonsere en annen sikker og brukervennlig løsning for iOS” snart.
Snakker av brukervennlige løsninger, U2F, generelt, er litt av en smerte i rumpa. CNET fikk en hands-on forhåndsvisning av Titan-tasten, og fant seg låst ut av kontoene sine når de har glemt enheten på kontoret. De anbefaler å sette opp en backup bekreftelse med Google som sender en melding for å få deg tilbake i regnskapet til en klarert enhet. Men jeg er sikker på at de fleste mennesker er ganske god om å huske nøkler til huset eller bilen, og bærer dette kan bli andre natur etter en stund.
Så langt så hvorfor Google gjør dette i øyeblikket, det virker rimelig at det er genuint prøver å ingrain at slag av andre-naturen til det offentlige. Yubico gjør masse penger, men ikke den typen av fuck-du penger som brensel Google. Titan ser ut til å være for det meste om å spre offentlig bevissthet og å gjøre noen helt bygning rundt sikkerhet. Tidligere dette året, Google beklaget at bare 10 prosent av Gmail-brukere har aktivert, to-faktor autentisering. Å oppfordre brukere til å komme i sikkerhet tastene blir Overton vinduet på hva folk er villige til å tolerere som en nødvendig plage.
Google Cloud kunder kan allerede for Titan-tastene gjennom Google rep og selskapet sier de vil være tilgjengelig for alle, snart for $20 til $25, som er en ganske standard pris. Hvis du ikke ønsker å vente, Yubico og Feitian har respektert nøkler som er klar til å sende ut nå.
[Google, CNET]