Afbeelding: Google
In juli, Google beweerd zijn van 85.000 medewerkers was gegaan met een vol jaar te verstrekken zonder enige beveiliging ongelukken na een verplichte voorwaarde voor het gebruiken van fysieke beveiliging sleutels voor twee-factor authenticatie. Nu, de in het huis van de veiligheid sleutel is beschikbaar voor verkoop in de Google store.
Twee-factor authenticatie (2FA) is het absolute minimum iedereen moeten doen om hun rekeningen van social-engineering hacks zoals phishing e-mails. De meest voorkomende vorm van 2FA is het verzenden van een gebruiker een sms met een unieke code, nadat u ze hebt ingevoerd hun basic wachtwoord. Helaas, ook die methode is kwetsbaar omdat sms-berichten kunnen worden onderschept. Een fysieke sleutel is veel veiliger, omdat een hacker nodig zou hebben om het apparaat in de hand IRL om in te breken in uw account. Google zei eerder dit jaar dat slechts 10 procent van de gebruikers van Gmail hebben geïmplementeerd 2FA, en wil om mensen te stimuleren om een stap verder en kopen van de Titan beveiligingssleutel.
Het fysieke apparaat verscheen in de Google store op donderdag en het is echt twee apparaten. Voor $50, krijg je een USB-sleutel die kan worden ingevoegd op uw computer om te bewijzen dat je echt bent, en een back-up apparaat dat communiceert met NFC of Bluetooth. Het idee is dat Google ‘ s Advanced Protection Programma, moet u de twee apparaten geregistreerd zijn in het geval je er één verliest, en de NFC/Bluetooth apparaat is geschikt voor het ontsluiten van een mobiel apparaat.
Hoewel het gemakkelijk om te zien dit als Google proberen om een stuk van de lucratieve fysieke sleutel industrie levert enterprise-klanten met bulk aankopen te beschermen target-rijke bedrijven, zou het bespaart het bedrijf veel last van hoofdpijn als de gebruikers was meer veilig. Wanneer Titan voor het eerst werd aangekondigd, verscheen er misschien wat kwaad bloed tussen Google en Yubico, een van de toonaangevende fysieke sleutel fabrikanten. De twee bedrijven hadden al eerder samengewerkt aan de ontwikkeling van de FIDO-norm. Yubico CEO van beweerd dat ze het oneens waren met de Google ‘ s besluit om voort te gaan met Bluetooth-uitvoering, en Yubico voelt nog steeds dat NFC is nog steeds de enige betrouwbare draadloze methode van verificatie. De CEO ook bleek het in vraag stellen van de veiligheid van Google ‘ s productie lijn.
Op het moment, een Google-woordvoerder weigerde commentaar te geven bij Gizmodo is gevraagd of ze het wilde pakken die problemen. Maar in een blog post op donderdag, Christiaan Merk, product manager voor Google Cloud, zei een beetje meer over het productieproces:
De firmware uitvoeren van de cryptografische operaties is ontworpen door Google met veiligheid in het achterhoofd. Deze firmware is verzegeld permanent in een beveiligde element hardware chip in de tijd van de productie in de chip-productie in de fabriek. Het beveiligde element hardware chip die we gebruiken is ontworpen om te weerstaan aan fysieke aanvallen gericht op het extraheren van de firmware en de geheime sleutel materiaal.
Deze permanent afgedicht secure element hardware chips worden vervolgens geleverd aan de productie-lijn waardoor de fysieke veiligheid het belangrijkste toestel. Dus, het vertrouwen in Titan beveiligingssleutel is verankerd in de gesloten chip, in tegenstelling tot alle andere latere stap die plaatsvindt tijdens het productie-apparaat.
Android Police punten uit het feit dat Google de toetsen look opmerkelijk soortgelijke apparaten door de vertrouwde fysieke sleutel fabrikant Feitian. We vroegen Google direct als Feitian is de behandeling van de vergadering en een woordvoerder vertelde ons, “Google is de fabrikant van het record en wij de overeenkomst met een derde partij voor het produceren van de toetsen. De firmware is het belangrijkste stuk hier.” Dat kan waar zijn, en er is geen reden om te geloven Feitian de productie van de toetsen is iets om zorgen over te maken.
In de post Google niet eens proberen te knieschijf haar concurrenten en erkent dat de apparaten door Yubico, Feitian, en “vele anderen” heel goed. De meest belangrijke ding kan worden om mensen in Google ‘ s Advanced Protection Programma dat diensten aanbiedt zoals u op de hoogte stelt als u uw wachtwoord heeft weergegeven in het online dumpt door hackers de verkoop van info of gewoon chaos.
Zo ver als Bluetooth wordt een gevaar voor de veiligheid, hebben we gezien kwetsbaarheden pop-up in de standaard, maar je kon altijd gewoon stok met NFC voor de behandeling verificatie met dat apparaat. Kies een sleutel van een van de grote namen die hier genoemd zijn en je moet het gewoon prima.
[Google via Android Police]