Billede: Google
I juli, Google hævdet sin 85,000 medarbejdere havde gået et helt år uden at støde nogen sikkerhed uheld følgende er et obligatorisk krav for at bruge fysiske sikkerhedsnøgler til to-faktor autentificering. Nu, dens in-house sikkerhed-tasten er til rådighed for salg i Google butikken.
To-faktor autentificering (2FA) er et absolut minimum, alle bør gøre for at beskytte deres konti fra social-engineering hacks som phishing-e-mails. Den mest almindelige form for 2FA er at sende en bruger en sms-besked med en unik kode, efter at de har indtastet deres grundlæggende adgangskode. Desværre, selv, at metoden er sårbare på grund af sms-beskeder kan blive opsnappet. En fysisk nøgle er meget mere sikker, fordi en hacker skulle have enheden i hånden IRL for at bryde ind på din konto. Google sagde tidligere på året, at kun 10 procent af Gmail-brugere har gennemført 2FA, og det ønsker at tilskynde folk til at tage tingene et skridt videre og købe sin Titan sikkerhedsnøgle.
Den fysiske enhed, der dukkede op i Google butik på torsdag, og det er virkelig to enheder. For $50, får du en USB-nøgle, der kan indsættes på din computer, for at bevise at du er dig, og en backup-enhed, der kommunikerer med NFC-eller Bluetooth. Ideen er, at Google ‘ s Avancerede Beskyttelse Program, der kræver to registrerede enheder i tilfælde af at du mister en, og NFC-og Bluetooth-enhed, der er mere praktisk for at frigøre en mobil enhed.
Mens det er let at se dette, som Google forsøger at få en bid af det lukrative fysiske vigtigste industri, der leverer enterprise kunder med storindkøb for at beskytte mål-rige virksomheder, det ville spare virksomheden for en masse hovedpine, hvis dens brugere blev mere sikker. Når Titan blev første gang annonceret, viste det sig, at der kunne være lidt ondt blod mellem Google og Yubico, en af de førende fysiske centrale producenter. De to selskaber havde tidligere arbejdet sammen om udvikling af FIDO industri standard. Yubico ‘s administrerende DIREKTØR hævdede, at de var uenige med Google’ s beslutning om at gå videre med Bluetooth gennemførelse, og Yubico stadig mener, at NFC er stadig den eneste troværdige trådløse metode til at kontrollere. Den administrerende DIREKTØR har også medvirket til at sætte spørgsmålstegn ved sikkerheden i Googles produktionslinje.
På det tidspunkt, en Google-talsmand afviser at kommentere, når Gizmodo spurgt, om de ønskede at tage disse bekymringer. Men i et blog-indlæg på torsdag, Christiaan Brand, produkt manager for Google Cloud, sagde en lidt mere om fremstillingsprocessen:
Den firmware, der udfører kryptografiske operationer er blevet udviklet af Google med sikkerhed i tankerne. Denne firmware er permanent forseglet i et sikkert element hardware chip på produktion gang i den chip produktion fabrikken. Det sikre element hardware chip, som vi bruger, er designet til at modstå fysisk angreb med henblik på udvinding af firmware og hemmelige nøgle materiale.
Disse er permanent forseglet sikkert element hardware chips derefter leveres til fremstillingsproces, som gør den fysiske sikkerhed centrale enhed. Således, de har tillid til i Titan Security Key er forankret i den forseglede chip, i modsætning til nogen andre senere trin, som finder sted i løbet enhed produktion.
Android Politiet påpeger, at det faktum, at Google ‘ s keys ser bemærkelsesværdigt lig enheder af trusted fysisk nøgle producent Feitian. Vi spurgte Google direkte, hvis Feitian er håndtering af forsamlingen, og en talsmand fortalte os, “Google er producenten af record, og vi kontrakt med en tredjepart til at producere tasterne. Firmware er den vigtigste brik her.” Det kan være sandt, og der er ingen grund til at tro, Feitian at producere de taster, der er noget at bekymre sig om.
I sit indlæg, Google tillader ikke selv forsøge at knæskallen sine konkurrenter, og anerkender, at enheder af Yubico, Feitian, og “mange andre” er ganske god. Det vigtigste må være at bringe folk ind på Google ‘ s Avancerede Beskyttelse Program, der tilbyder tjenester som underrette dig, hvis din adgangskode har vist sig i online-dumps af hackere, der sælger info eller blot forårsager kaos.
For så vidt som Bluetooth er en sikkerhedsrisiko, vi har set sårbarheder pop-op som standard, men du kan altid bare holde med NFC til håndtering af kontrollen med den pågældende enhed. Vælg en tast fra nogen af de store navne, der er nævnt her, og du bør være fint.
[Google via Android Politiet]