Bild: Google
Im Juli, Google behauptete, seine 85.000 Angestellte gegangen war, ein volles Jahr, ohne auf irgendwelche Sicherheits-Pannen folgenden eine zwingende Voraussetzung der Verwendung von physikalischen security-Tasten für die zwei-Faktor-Authentifizierung. Nun, seine in-house security key ist verfügbar für den Verkauf in den Google store.
Zwei-Faktor-Authentifizierung (2FA) ist das minimum, jeder sollte tun, um zu schützen, Ihre Konten von social-engineering-hacks wie phishing-E-Mails. Die häufigste form der 2FA sendet ein Benutzer eine SMS mit einem einmaligen code, nachdem Sie eingegeben haben, Ihre basic-Passwort. Leider kann auch diese Methode ist anfällig, weil SMS-Nachrichten können abgefangen werden. Ein Schlüssel ist viel sicherer, da ein hacker müsste das Gerät in der hand IRL, um zu brechen in Ihrem Konto. Google sagte früher in diesem Jahr, dass nur 10 Prozent der Gmail-Nutzer umgesetzt haben, 2FA, und es will, um Menschen zu ermutigen, nehmen die Dinge einen Schritt weiter und kaufen die Titan-Sicherheits-Schlüssel.
Das physische Gerät erschien im Google store am Donnerstag und es sind wirklich zwei Geräte. Für $50, erhalten Sie einen USB-Schlüssel in den computer eingelegt sein, um zu beweisen, dass Sie wirklich können, und ein backup-Gerät, das kommuniziert mit NFC oder Bluetooth. Die Idee ist, dass Google Erweiterte Schutz-Programm erfordert zwei registrierte Geräte in den Fall, Sie verlieren, und der NFC – /Bluetooth-Gerät ist bequemer für das entsperren des mobilen Geräts.
Während es einfach ist, um zu sehen, wie Google versucht, Holen Sie sich ein Stück des lukrativen physischen Schlüssel-Industrie, liefert enterprise-Kunden mit bulk-Käufe, um Sie zu schützen-Ziel-reiche Unternehmen, es würde sparen die Unternehmen eine Menge Kopfschmerzen, wenn seine Benutzer waren mehr sicher. Wenn Titan zum ersten mal angekündigt wurde, schien es, es könnte einige böses Blut zwischen Google und Yubico, einer der führenden physischen Schlüssel Hersteller. Die beiden Unternehmen hatten zuvor arbeiteten gemeinsam an der Entwicklung des FIDO-Industrie-standard. Yubico CEO behauptet, dass Sie nicht einverstanden waren mit Google ‘ s Entscheidung, vorwärts zu gehen mit Bluetooth-Implementierung, und Yubico immer noch der Meinung, dass NFC immer noch die nur Vertrauenswürdige wireless-Prüfmethode. Der Geschäftsführer erschien auch in Frage zu stellen die Sicherheit der Google-Fertigung.
An der Zeit, ein Google-Sprecher lehnte eine Stellungnahme ab, wenn Gizmodo fragte, ob Sie wollte diesen Anliegen. Aber in einem blog-post am Donnerstag, Christiaan Marke, Produkt manager für Google Cloud, sagte, ein wenig mehr über den Herstellungsprozess:
Die firmware der Ausführung der kryptografischen Operationen entwickelt wurde, die Google mit Sicherheit im Verstand. Diese firmware ist dauerhaft versiegelt in einem secure element-hardware-chip in der Produktion mal in die chip-Produktion der Fabrik. Das secure element-hardware-chip, den wir verwenden, ist entworfen, um zu widerstehen, die von körperlichen Angriffen hat das extrahieren der firmware und den geheimen Schlüssel material.
Diese dauerhaft versiegelt secure element-hardware-chips werden geliefert an die Fertigungs Linie, die der physische Sicherheitsschlüssel Gerät. Also, das Vertrauen in Titan Security Key ist verankert in der versiegelten chip, im Gegensatz zu anderen, späteren Schritt die stattfindet, während der Geräte-Herstellung.
Android Police weist darauf hin, dass Google die keys Aussehen bemerkenswert ähnlich zu den Geräten, die von der vertrauenswürdigen Schlüssel-Herstellers Feitian. Wir fragten Google direkt wenn Feitian ist die Handhabung der Montage und ein Sprecher sagte uns, “Google ist der Hersteller von Datensatz und wir Vertrag einen Dritten produzieren, der Schlüssel. Die firmware ist das wichtigste hier.” Das mag wahr sein, und es gibt keinen Grund zu glauben, Feitian Herstellung der Tasten ist nichts zu befürchten.
In seiner post, Google versucht nicht einmal, um die Kniescheibe von seinen Wettbewerbern ab und erkennt an, dass die Geräte von Yubico, Feitian, und “viele andere” sind ganz gut. Das wichtigste, um Leute dazu zu bringen in Google Erweiterte Schutz-Programm, bietet Dienstleistungen wie die Benachrichtigung, wenn Sie Ihr Passwort hat sich gezeigt in online-dumps von Hackern zu verkaufen Infos oder einfach nur chaos.
So weit wie Bluetooth ein Sicherheitsrisiko, wir haben gesehen, Schwachstellen pop-up in der standard, aber man konnte immer nur stick mit NFC für den Umgang überprüfung mit diesem Gerät. Wählen Sie eine Taste aus irgendeiner der großen Namen, die hier erwähnt, und Sie sollten in Ordnung sein.
[Google via Android Police]