Revisão e classificação do pacote de chaves de segurança do Google titan

Acontece que as pessoas são realmente muito ruins em criar e lembrar senhas e muito boas em inventar novas maneiras de invadir sistemas protegidos por senha. O Google tem como objetivo solucionar pelo menos um desses problemas com o pacote Titan Security Key. O produto é composto de dois dispositivos que, quando usados ​​corretamente, tornam significativamente mais difícil para os bandidos invadirem suas contas online, exigindo uma senha e uma chave física para fazer login em um site ou serviço.

Como funciona

A autenticação de dois fatores (2FA) não é apenas um segundo passo após a inserção de uma senha - embora isso ocorra frequentemente na prática. Em vez disso, o 2FA combina dois mecanismos de autenticação diferentes (ou seja, fatores) de uma lista de três possibilidades:

• Algo que você sabe,
• Algo que você tem, ou
• Algo que você é.

Uma senha, por exemplo, é algo que você conhece . Em teoria, ele só deveria existir em sua cabeça (ou com segurança dentro de um gerenciador de senhas). A autenticação biométrica - como digitalizações de impressões digitais, retinas, assinaturas cardíacas etc. - conta como algo que você é . As chaves de segurança e produtos Titan são algo que você tem .

Um invasor pode obter sua senha à distância, talvez pesquisando-a em uma lista de senhas de uma violação de dados ou enviando um email de phishing que o induz a entregar sua senha. Mas com o 2FA, o mesmo invasor precisaria, de alguma forma, acessar você pessoalmente e roubar suas chaves (ou impressões digitais) do Titan, além de sua senha. Isso pode ser feito, mas é muito mais difícil, o que protege você da grande maioria dos ataques que dependem de senhas vazadas ou facilmente adivinhadas.

Existem muitas outras maneiras de obter a proteção oferecida pelo 2FA. A inscrição para receber códigos de acesso únicos via SMS é talvez a maneira mais comum, mas o uso do Google Authenticator e serviços como o Duo são alternativas populares que não exigem o recebimento de uma mensagem SMS.

Mas os telefones podem ser roubados e, aparentemente, o uso do chip é algo que precisamos nos preocupar agora. É por isso que dispositivos físicos como as teclas Titan são tão atraentes. Eles são simples e confiáveis, e o Google descobriu que sua implantação internamente eliminou completamente os ataques de phishing e as aquisições de contas.

O que está na caixa?

Dentro do Titan Security Key Bundle, não há um dispositivo, mas dois: uma chave USB fina e um chaveiro com chave Bluetooth. Ambos são moldados em plástico branco elegante e têm uma sensação agradável e resistente. A chave USB, em particular, produz um som muito satisfatório quando jogada sobre uma mesa. Eu já fiz isso várias vezes apenas pela alegria disso.

A tecla Bluetooth possui um único botão e três indicadores LED para mostrar autenticação, conexão Bluetooth e que está carregando ou precisando de uma carga. Uma única porta micro USB na parte inferior é para carregar e / ou conectar a chave Bluetooth ao seu computador. A chave USB é plana com um disco dourado de um lado, que detecta seu toque e completa a autenticação. O dispositivo USB não possui partes móveis, não requer pilhas. Segundo o Google, os dois dispositivos são resistentes à água, portanto, você pode mantê-los fora da piscina.

Ambos devem ser colocados em um chaveiro e mantidos em sua pessoa (ou por perto), o que significa que um bom acabamento em branco pode ser um passivo. Mexer em um chaveiro certamente causará desgaste notável nos dispositivos Titan. Eu uso o Yubico YubiKey 4 há vários anos, e ele está começando a parecer muito desgastado, apesar de ser fundido em plástico preto. No meu curto período de tempo testando as chaves Titan, o conector USB-A já estava começando a parecer um pouco arranhado.

Também estão incluídas na caixa algumas instruções com design elegante - ainda que um pouco vagas -, juntamente com um cabo micro USB para USB-A e um adaptador USB-C para USB-A. O Micro USB carrega a chave Bluetooth Titan, que, ao contrário da chave USB, pode ficar sem energia. Um indicador de bateria pisca em vermelho quando é hora de recarregar. A chave USB do Titan, como o YubiKey, não requer bateria. Você também pode usar o adaptador micro USB para conectar sua chave Bluetooth a um computador, onde pode funcionar da mesma maneira que a chave USB Titan.

As teclas Bluetooth e USB-A são compatíveis com o padrão FIDO Universal de Dois Fatores (U2F). Isso significa que eles podem ser usados ​​como uma opção 2FA sem software adicional. Este é o único protocolo suportado pelas chaves Titan, o que significa que elas não podem ser usadas para outros fins de autenticação.

Quando as chaves do Titan foram anunciadas, um jornalista descobriu que os componentes de pelo menos a chave do Bluetooth eram de um fabricante chinês. O Google confirmou que a empresa contrata terceiros para produzir as chaves das especificações da empresa. Alguns dos círculos de segurança viam isso como um risco potencial, considerando que a China foi acusada de realizar ataques digitais a instituições americanas. Para mim, no entanto, se você não confia no Google para avaliar adequadamente seus parceiros de hardware, provavelmente não confia no Google o suficiente para usar seus produtos de segurança em primeiro lugar e deve procurar em outro lugar.

Girando a chave

Antes que as chaves Titan possam ser usadas, elas devem primeiro ser registradas em um site ou serviço que ofereça suporte ao FIDO U2F. O Google obviamente faz isso, mas o Dropbox, o Facebook, o GitHub, o Twitter e outros também. Como as chaves Titan são um produto do Google, comecei configurando-as para proteger uma conta do Google.

A configuração das chaves do Titan com sua conta do Google é simples. Acesse a página 2FA do Google ou visite as opções de segurança da sua conta do Google. Role para baixo até Adicionar chave de segurança, clique em e o site solicitará que você insira e toque na sua chave USB de segurança. É isso aí! A inscrição da chave Bluetooth requer apenas a etapa adicional de conectá-la ao seu computador através do cabo micro USB incluído.

Depois de me inscrever, fui fazer login na minha conta do Google. Depois de inserir minha senha, fui solicitado a inserir e tocar em minha chave de segurança. Ao conectar a chave USB a uma porta, o LED verde pisca uma vez. O LED acende quando você recebe uma solicitação para tocar na tecla.

Quando testei usando uma conta nova que nunca havia usado o 2FA, o Google primeiro exigiu que eu configurasse códigos de acesso únicos por SMS. Você pode remover códigos SMS, se preferir, mas a inscrição no programa 2FA do Google exige que você use pelo menos códigos SMS, o aplicativo Google Authenticator ou uma notificação por push de autenticação do Google enviada ao seu dispositivo. Isso além das outras opções 2FA que você selecionar. Observe que a chave do Google Titan não exige que o SMS ou qualquer outro serviço funcione, mas muitos serviços (incluindo o Twitter) incentivam a verificação de um número de telefone para provar que você é uma pessoa real.

Se você selecionar várias opções 2FA, poderá escolher aquela que funciona para você em um determinado cenário. Também é uma boa idéia ter um método de autenticação de backup, caso você perca suas chaves ou quebre o telefone. As notificações por SMS são boas, mas eu também uso teclas de papel, que são uma série de códigos de uso únicos. Esses códigos são amplamente suportados e podem ser escritos ou armazenados digitalmente (mas, com sorte, criptografados!). No entanto, notei que, para fazer alterações nas minhas configurações de 2FA depois de registrar minha chave Titan, somente ela e as notificações por push no meu telefone via aplicativo do Google eram autenticadores aceitáveis.

De acordo com a caixa, a chave Titan e a chave Bluetooth são compatíveis com NFC, mas não consegui fazê-las funcionar dessa maneira. Quando solicitado a usar um dispositivo 2FA no meu telefone Android, segui as instruções e bati na tecla na parte de trás do telefone, mas sem sucesso. O Google confirmou que os dispositivos são compatíveis com NFC, mas esse suporte será adicionado aos dispositivos Android nos próximos meses.

Não tive problemas para fazer login na minha conta do Google em um dispositivo Android usando a tecla Bluetooth. Novamente, fui solicitado a apresentar minha chave depois de inserir minha senha. Uma opção na parte inferior da tela permite selecionar usando um autenticador NFC, USB ou Bluetooth. Quando selecionei o Bluetooth pela primeira vez, fui solicitado a parear a tecla Bluetooth com o telefone. A maior parte disso foi tratada automaticamente pelo Google, embora eu tivesse que digitar o número de série na parte de trás da tecla Bluetooth. A inscrição do dispositivo dessa maneira só precisa ser feita uma vez; todas as vezes, basta clicar no botão da tecla Bluetooth para se autenticar. Curiosamente, eu não vi a chave Bluetooth na lista de dispositivos Bluetooth recentes do telefone, mas ainda funcionava bem.

Só para começar, também tentei fazer login usando o adaptador USB-C incluído e a chave de segurança USB. Funcionou como um encanto.

Além do esquema de login 2FA, o Google também oferece o Programa de proteção avançada para indivíduos que podem estar particularmente expostos a ataques. Não testei a Proteção avançada em meus testes, mas são necessários dois dispositivos de chave de segurança, de modo que o Titan Security Key Bundle também está pronto para funcionar com esse esquema de login.

As chaves Titan devem funcionar com qualquer serviço que suporte FIDO U2F. O Twitter é um exemplo e não tive problemas para registrar a chave USB do Titan no Twitter ou usá-la para fazer login mais tarde.

Como a chave de segurança do Google Titan se compara

Há uma lista crescente de dispositivos de autenticação de hardware que se comparam às Titan Security Keys, mas o líder do setor provavelmente é a linha de produtos YubiKey da Yubico. Eles são quase idênticos à chave USB-A do Titan: plástico fino e resistente e projetada para acomodar um chaveiro com um pequeno LED verde e um disco dourado que registra seu toque sem partes móveis.

Enquanto o Yubico não oferece nada parecido com a chave Bluetooth do Titan, ele tem vários fatores de forma diferentes para você escolher. A série YubiKey 4, por exemplo, possui duas chaves de tamanho comparável à da chave USB Titan: a YubiKey 4 e a YubiKey NEO, a última delas habilitada para NFC. O Yubico também oferece chaves USB-C, que funcionam com qualquer dispositivo que ostente essa porta específica, sem necessidade de adaptador.

Se as teclas não são do seu estilo, você pode optar pelo YubiKey 4 Nano ou seu irmão USB-C, o YubiKey 4C Nano. Os dispositivos no estilo Nano são muito menores - apenas 12 mm por 13 mm - e foram projetados para ficar aninhados dentro das portas do dispositivo.

Todos os dispositivos YubiKey 4 acima custam entre US $ 40 e US $ 60, e isso é apenas uma chave. No entanto, esses são todos dispositivos multiprotocolo, o que significa que você não pode apenas usá-los como dispositivos FIDO U2F, mas também para substituir um cartão inteligente para login no computador, assinaturas criptográficas e vários outros recursos. Alguns deles estão disponíveis através do software cliente opcional fornecido pelo Yubico. Isso permite que você altere o que o YubiKey faz e como ele se comporta, o que certamente agradará qualquer pessoa que gosta de segurança. As chaves Titan suportam apenas o U2F e o padrão W3C WebAuthn e não possuem software cliente associado para alterar sua funcionalidade.

O YubiKey mais barato também é o que parece ter a funcionalidade mais próxima da chave do Google Titan. A chave de segurança azul da Yubico funciona em qualquer lugar em que o U2F seja aceito, mas não suporta os outros protocolos como a série YubiKey 4. Ele também suporta o protocolo FIDO2. Ele não possui a chave Bluetooth incluída no pacote do Google Titan, mas também custa menos da metade com meros US $ 20.

Enquanto os produtos da Yubico são pelo menos tão tecnologicamente capazes e duráveis ​​quanto a chave Titan, a fraqueza da empresa tem explicado quais de suas chaves fazem o que e onde são suportadas. O site do Yubico possui vários gráficos estonteantes, cheios de siglas que fazem até meus olhos brilharem. As teclas Titan, por outro lado, favorecem uma simplicidade quase semelhante à da Apple e uma usabilidade pronta para uso.

Existem soluções de software para o 2FA também. Mencionei o Duo, e o Google e o Twilio Authy também oferecem códigos únicos por meio de aplicativos, assim como o LastPass por meio de um aplicativo dedicado. Os autenticadores de software são úteis e talvez mais convenientes se você sempre tiver o telefone à mão. Mas os dispositivos 2FA de hardware, como a chave Titan, são mais duráveis ​​que um telefone, nunca ficam sem energia e requerem apenas um toque em vez de digitar códigos únicos gerados por um aplicativo. Uma chave de hardware também é mais difícil de atacar do que um aplicativo que mora no seu telefone, embora os telefones estejam bastante seguros atualmente. No final, a escolha entre uma solução 2FA de hardware ou software provavelmente se limitará à preferência pessoal.

O Problema do Suporte

Apesar do nome, o suporte padrão da FIDO Universal para dois fatores está longe de ser universal. Para usar suas chaves Titan com suas contas do Google ou do Twitter, você precisa fazer login no Chrome. Sem sorte com o Firefox (no momento). O mesmo aconteceu quando usei a chave Titan no Twitter.

Eu usei um YubiKey para proteger minha conta do LastPass por anos e fiquei surpreso ao ver que meu gerenciador de senhas de escolha não suporta as chaves do Titan. Mesmo com o meu YubiKey, só posso usá-lo como meu segundo fator de autenticação para minha conta do Google via Chrome.

Os desenvolvedores e as pessoas por trás do FIDO precisam trabalhar mais para oferecer um suporte mais amplo ao Titan, YubiKey e U2F em geral. Ainda não encontrei um banco que aceite um hardware 2FA, por exemplo. É frustrante tentar registrar sua chave de segurança para um serviço, apenas para descobrir que você está no navegador errado ou que essa chave de segurança específica não é suportada pelo serviço. Sem um suporte mais amplo, esses dispositivos não serão usados ​​por muito tempo e provavelmente farão mais para confundir os não iniciados do que ajudar.

Um titã da indústria

O Pacote de chaves de segurança do Google Titan tem tudo o necessário para proteger sua conta do Google contra roubo de senha, phishing e uma variedade de outros ataques. A configuração é fácil, e conectar uma chave ou tocar em um dispositivo Bluetooth geralmente é mais fácil do que procurar (e possivelmente digitar incorretamente) um código único de um aplicativo. A chave Bluetooth apresenta uma pequena responsabilidade teórica de segurança, na medida em que transmite sem fio, mas o mais preocupante é que sua bateria pode simplesmente morrer.

Com esses dois dispositivos, você está pronto para proteger sua conta do Google e qualquer outro serviço suportado. O preço de US $ 50 é merecido com dois dispositivos inteligentes e duráveis. Você não vai dar errado com isso. É preciso uma pontuação máxima, mas estamos retendo um prêmio Editors 'Choice para esta categoria até que possamos analisar mais produtos concorrentes.