Mục lục:
- Làm thế nào nó hoạt động
- Có cái gì trong hộp vậy?
- Xoay chìa khóa
- Cách so sánh khóa bảo mật của Google Titan
- Vấn đề hỗ trợ
- Titan công nghiệp
Video: Google's Titan Security Key Explained (Tháng Mười 2024)
Nó chỉ ra rằng mọi người thực sự rất tệ trong việc tạo và ghi nhớ mật khẩu, và rất giỏi trong việc phát minh ra những cách mới để xâm nhập vào các hệ thống được bảo vệ bằng mật khẩu. Google đặt mục tiêu giải quyết ít nhất một trong những vấn đề đó với gói Titan Security Key. Sản phẩm được tạo thành từ hai thiết bị, khi được sử dụng đúng cách, khiến kẻ xấu xâm nhập vào tài khoản trực tuyến của bạn khó hơn đáng kể bằng cách yêu cầu cả mật khẩu và khóa vật lý để đăng nhập vào trang web hoặc dịch vụ.
Làm thế nào nó hoạt động
Xác thực hai yếu tố (2FA) không chỉ là bước thứ hai sau khi nhập mật khẩu, mặc dù đây thường là cách nó diễn ra trong thực tế. Thay vào đó, 2FA kết hợp hai cơ chế xác thực khác nhau (nghĩa là các yếu tố) từ danh sách ba khả năng:
- Một cái gì đó bạn biết,
- Thứ gì đó bạn có, hoặc
- Một cái gì đó bạn đang có.
Một mật khẩu, ví dụ, là một cái gì đó bạn biết . Về lý thuyết, nó chỉ tồn tại trong đầu bạn (hoặc an toàn bên trong trình quản lý mật khẩu). Xác thực sinh trắc học, chẳng hạn như quét vân tay, quét võng mạc, chữ ký trái tim, v.v … trên tính toán của bạn là một thứ gì đó. Titan Security Keys và các sản phẩm giống như nó là thứ bạn có .
Có nhiều cách khác để có được sự bảo vệ của 2FA. Đăng ký để nhận mật mã một lần qua SMS có lẽ là cách phổ biến nhất, nhưng sử dụng Google Authenticator và các dịch vụ như Duo là những lựa chọn thay thế phổ biến không yêu cầu nhận tin nhắn SMS.
Nhưng điện thoại có thể bị đánh cắp và việc cắm SIM rõ ràng là điều chúng ta cần lo lắng bây giờ. Đó là lý do tại sao các thiết bị vật lý như phím Titan rất hấp dẫn. Chúng đơn giản và đáng tin cậy và Google đã phát hiện ra rằng việc triển khai chúng trong nội bộ đã xóa sạch hoàn toàn các cuộc tấn công lừa đảo và chiếm đoạt tài khoản.
Có cái gì trong hộp vậy?
Bên trong Gói bảo mật Titan không phải là một thiết bị, mà là hai: khóa mỏng, USB và khóa hỗ trợ Bluetooth. Cả hai đều được đúc bằng nhựa trắng bóng mượt và mang lại cảm giác dễ chịu, chắc chắn cho chúng. Cụ thể, phím USB tạo ra âm thanh rất thỏa mãn khi được ném trên bàn. Tôi đã làm điều này nhiều lần chỉ vì niềm vui của nó.
Phím Bluetooth có một nút duy nhất và ba đèn LED để hiển thị xác thực, kết nối Bluetooth và đó là sạc hoặc cần sạc. Một cổng micro USB duy nhất ở phía dưới là để sạc và / hoặc kết nối phím Bluetooth với máy tính của bạn. Phím USB phẳng với một đĩa vàng ở một bên, giúp phát hiện vòi của bạn và hoàn tất xác thực. Thiết bị chìa khóa USB không có bộ phận chuyển động, không cần pin. Theo Google, cả hai thiết bị đều có khả năng chống nước, vì vậy bạn có thể muốn để chúng ra khỏi bể bơi.
Cả hai dự định sẽ được đặt trên một chiếc móc khóa và giữ trên người của bạn (hoặc đóng trong tầm tay), điều đó có nghĩa là lớp hoàn thiện màu trắng đẹp có thể chứng minh trách nhiệm pháp lý. Rattling xung quanh trên một keyring chắc chắn sẽ đặt một số hao mòn đáng chú ý trên các thiết bị Titan nguyên sơ. Tôi đã sử dụng Yubico YubiKey 4 được vài năm và nó bắt đầu trông khá mòn mặc dù được đúc bằng nhựa màu đen. Trong thời gian ngắn kiểm tra các phím Titan, đầu nối USB-A đã bắt đầu trông hơi khó hiểu.
Ngoài ra trong hộp còn có một số hướng dẫn được thiết kế sành điệu nếu có một chút hướng dẫn mơ hồ, cùng với cáp micro USB sang USB-A và bộ chuyển đổi USB-C sang USB-A. Micro USB sạc phím Titan Bluetooth, không giống như phím USB, có thể chạy xuống. Một chỉ báo pin nhấp nháy màu đỏ khi đến lúc phải sạc lại. Phím Titan USB, như YubiKey, không cần pin. Bạn cũng có thể sử dụng bộ chuyển đổi micro USB là để kết nối phím Bluetooth của bạn với máy tính, nơi nó có thể hoạt động giống như phím Titan USB.
Cả hai phím Bluetooth và USB-A đều tuân thủ tiêu chuẩn FIDO Universal Two-Factor (U2F). Điều này có nghĩa là chúng có thể được sử dụng như một tùy chọn 2FA mà không cần phần mềm bổ sung. Đây là giao thức duy nhất được hỗ trợ bởi các phím Titan, có nghĩa là chúng không thể được sử dụng cho các mục đích xác thực khác.
Khi các phím Titan được công bố lần đầu tiên, một nhà báo đã phát hiện ra rằng các thành phần của ít nhất là khóa Bluetooth là của một nhà sản xuất Trung Quốc. Google xác nhận với tôi rằng công ty ký hợp đồng với bên thứ ba để sản xuất các khóa theo thông số kỹ thuật của công ty. Một số người trong giới an ninh coi đây là một rủi ro tiềm tàng, vì cho rằng Trung Quốc đã bị cáo buộc thực hiện các cuộc tấn công kỹ thuật số vào các tổ chức của Mỹ. Tuy nhiên, theo tôi, nếu bạn không tin tưởng Google sẽ kiểm tra chính xác các đối tác phần cứng của mình thì có lẽ bạn không đủ tin tưởng Google để sử dụng các sản phẩm bảo mật của mình ở nơi đầu tiên và bạn nên tìm nơi khác.
Xoay chìa khóa
Trước khi các khóa Titan có thể được sử dụng, trước tiên chúng phải được đăng ký với một trang web hoặc dịch vụ hỗ trợ FIDO U2F. Google rõ ràng là có, nhưng Dropbox, Facebook, GitHub, Twitter và những người khác cũng vậy. Vì các khóa Titan là một sản phẩm của Google, tôi đã bắt đầu bằng cách thiết lập chúng để bảo mật tài khoản Google.
Thiết lập các khóa Titan bằng tài khoản Google của bạn rất đơn giản. Truy cập trang 2FA của Google hoặc truy cập các tùy chọn bảo mật tài khoản Google của bạn. Cuộn xuống Thêm khóa bảo mật, nhấp và trang web sẽ nhắc bạn chèn và nhấn phím USB bảo mật của bạn. Đó là nó! Đăng ký khóa Bluetooth chỉ yêu cầu bước bổ sung gắn nó vào máy tính của bạn thông qua cáp micro USB đi kèm.
Sau khi đăng ký, tôi đã đăng nhập vào tài khoản Google của mình. Sau khi nhập mật khẩu, tôi được nhắc chèn và nhấn vào khóa bảo mật của mình. Cắm phím USB vào cổng sẽ nhắc đèn LED xanh lục nhấp nháy một lần. Đèn LED phát sáng ổn định khi bạn được yêu cầu nhấn phím.
Khi tôi kiểm tra bằng tài khoản mới chưa từng sử dụng 2FA, trước tiên Google yêu cầu tôi thiết lập mật mã SMS một lần. Bạn có thể xóa mã SMS nếu muốn, nhưng đăng ký chương trình 2FA của Google yêu cầu bạn sử dụng ít nhất mã SMS hoặc ứng dụng Google Authenticator hoặc thông báo đẩy xác thực Google được gửi đến thiết bị của bạn. Đó là ngoài bất kỳ tùy chọn 2FA nào khác bạn chọn. Xin lưu ý rằng khóa Google Titan không yêu cầu SMS hoặc bất kỳ dịch vụ nào khác hoạt động, nhưng nhiều dịch vụ (bao gồm Twitter) khuyến khích bạn xác minh số điện thoại để chứng minh bạn là người thật.
Nếu bạn chọn nhiều tùy chọn 2FA, bạn có thể chọn tùy chọn phù hợp với mình trong một kịch bản nhất định. Đó cũng là một ý tưởng tốt để có một phương thức xác thực sao lưu, trong trường hợp bạn bị mất chìa khóa hoặc điện thoại bị hỏng. Thông báo SMS là tốt, nhưng tôi cũng sử dụng các phím giấy, đó là một loạt các mã sử dụng một lần. Các mã này được hỗ trợ rộng rãi và có thể được viết ra hoặc lưu trữ kỹ thuật số (nhưng hy vọng được mã hóa!). Tuy nhiên, tôi đã nhận thấy rằng để thực hiện các thay đổi cho cài đặt 2FA của mình sau khi tôi đăng ký khóa Titan, chỉ có nó và đẩy thông báo đến điện thoại của tôi thông qua ứng dụng Google là các trình xác thực được chấp nhận.
Theo hộp, phím Titan và phím Bluetooth đều tương thích với NFC, nhưng tôi không thể khiến chúng hoạt động theo cách đó. Khi được nhắc sử dụng thiết bị 2FA trên điện thoại Android của tôi, tôi đã làm theo hướng dẫn và gõ phím vào mặt sau của điện thoại, nhưng không có kết quả. Google xác nhận với tôi rằng các thiết bị có khả năng NFC, nhưng hỗ trợ đó sẽ được thêm vào thiết bị Android trong những tháng tới.
Tôi không gặp sự cố như vậy khi đăng nhập vào tài khoản Google của mình trên thiết bị Android bằng phím Bluetooth. Một lần nữa, tôi được nhắc xuất trình chìa khóa sau khi nhập mật khẩu. Một tùy chọn ở dưới cùng của màn hình cho phép tôi chọn sử dụng bộ xác thực NFC, USB hoặc Bluetooth. Khi tôi chọn Bluetooth lần đầu tiên, tôi được nhắc ghép phím Bluetooth với điện thoại. Hầu hết điều này được Google xử lý tự động, mặc dù tôi đã phải nhập số sê-ri ở mặt sau của phím Bluetooth. Đăng ký thiết bị theo cách này chỉ cần thực hiện một lần; mỗi lần bạn chỉ cần nhấp vào nút Bluetooth để tự xác thực. Thật thú vị, tôi đã không thấy phím Bluetooth trong danh sách các thiết bị Bluetooth gần đây, nhưng nó vẫn hoạt động tốt.
Chỉ vì điều đó, tôi cũng đã thử đăng nhập bằng bộ chuyển đổi USB-C đi kèm và khóa bảo mật USB. Nó làm việc như một say mê.
Ngoài chương trình đăng nhập 2FA, Google cũng cung cấp Chương trình bảo vệ nâng cao cho các cá nhân có thể có nguy cơ bị tấn công đặc biệt. Tôi đã không thử Advanced Protection trong thử nghiệm của mình, nhưng đáng chú ý là cần có hai thiết bị khóa bảo mật, vì vậy Gói bảo mật Titan cũng sẵn sàng hoạt động với sơ đồ đăng nhập này.
Các phím Titan sẽ hoạt động với bất kỳ dịch vụ nào hỗ trợ FIDO U2F. Twitter là một ví dụ như vậy và tôi không gặp khó khăn gì khi đăng ký khóa Titan USB với Twitter hoặc sử dụng nó để đăng nhập sau này.
Cách so sánh khóa bảo mật của Google Titan
Có một danh sách ngày càng tăng các thiết bị xác thực phần cứng so sánh với Khóa bảo mật Titan, nhưng công ty dẫn đầu ngành có thể là dòng sản phẩm YubiKey của Yubico. Chúng gần giống với phím Titan USB-A: nhựa mỏng, chắc chắn và được thiết kế để đặt trên vòng chìa khóa với đèn LED nhỏ màu xanh lá cây và đĩa vàng đăng ký cảm ứng của bạn mà không có bộ phận chuyển động.
Mặc dù Yubico không cung cấp bất cứ thứ gì như phím Titan Bluetooth, nhưng nó có một số yếu tố hình thức khác nhau để lựa chọn. Chẳng hạn, dòng YubiKey 4 có hai phím có kích thước tương đương với khóa USB Titan: YubiKey 4 và YubiKey NEO, hai phím sau có hỗ trợ NFC. Yubico cũng cung cấp các phím USB-C, hoạt động với mọi thiết bị có cổng cụ thể, không cần bộ chuyển đổi.
Nếu các phím không phải là phong cách của bạn, bạn có thể chọn YubiKey 4 Nano hoặc anh chị em USB-C của nó, YubiKey 4C Nano. Các thiết bị kiểu Nano có kích thước nhỏ hơn rất nhiều, chỉ 12 mm x 13mm và được thiết kế để nằm bên trong các cổng của thiết bị.
Tất cả các thiết bị YubiKey 4 ở trên có giá từ 40 đến 60 đô la và đó chỉ là một khóa. Tuy nhiên, đây là tất cả các thiết bị đa giao thức, có nghĩa là bạn không chỉ có thể sử dụng chúng làm thiết bị FIDO U2F mà còn thay thế thẻ thông minh để đăng nhập máy tính, cho chữ ký mã hóa và cho một loạt các tính năng khác. Một số trong số này có sẵn thông qua phần mềm máy khách tùy chọn do Yubico cung cấp. Điều này cho phép bạn thay đổi những gì YubiKey làm và cách thức hoạt động của nó, điều này chắc chắn sẽ làm cho bất kỳ sự thích thú nào của bảo mật. Các khóa Titan chỉ hỗ trợ U2F và tiêu chuẩn W3C WebAuthn và không có phần mềm máy khách liên quan để thay đổi chức năng của chúng.
YubiKey ít tốn kém nhất cũng là thứ có vẻ gần nhất về chức năng với khóa Google Titan. Khóa bảo mật màu xanh của Yubico hoạt động ở bất cứ nơi nào U2F được chấp nhận, nhưng không hỗ trợ các giao thức khác như dòng YubiKey 4. Nó cũng hỗ trợ giao thức FIDO2. Nó không có khóa Bluetooth được bao gồm trong gói Google Titan, nhưng nó cũng có giá chưa đến một nửa chỉ với 20 đô la.
Mặc dù các sản phẩm của Yubico ít nhất có khả năng về công nghệ và độ bền như khóa Titan, nhưng điểm yếu của công ty đã giải thích về các phím nào của nó làm gì và được hỗ trợ ở đâu. Trang web Yubico có một số biểu đồ chóng mặt chứa đầy những từ viết tắt khiến ngay cả mắt tôi cũng phải trừng mắt. Mặt khác, các phím Titan thiên về sự đơn giản gần như giống Apple và khả năng sử dụng vượt trội.
Có các giải pháp phần mềm cho 2FA là tốt. Tôi đã đề cập đến Duo và cả Google và Twilio Authy cũng cung cấp mã một lần thông qua các ứng dụng, cũng như LastPass thông qua một ứng dụng chuyên dụng. Trình xác thực phần mềm rất hữu ích và có lẽ thuận tiện hơn nếu bạn luôn có sẵn điện thoại. Nhưng các thiết bị 2FA phần cứng như phím Titan bền hơn điện thoại, không bao giờ hết điện và chỉ cần một cú chạm thay vì nhập mã một lần do ứng dụng tạo ra. Khóa phần cứng cũng khó tấn công hơn một ứng dụng sống trên điện thoại của bạn, mặc dù điện thoại ngày nay khá an toàn. Cuối cùng, lựa chọn giữa giải pháp 2FA phần cứng hoặc phần mềm có thể sẽ tùy thuộc vào sở thích cá nhân.
Vấn đề hỗ trợ
Mặc dù tên gọi, hỗ trợ tiêu chuẩn hai yếu tố phổ biến của FIDO là xa phổ quát. Để sử dụng các khóa Titan của bạn với tài khoản Google hoặc Twitter, bạn cần đăng nhập thông qua Chrome. Không có may mắn với Firefox (hiện tại). Điều tương tự cũng đúng khi tôi sử dụng phím Titan với Twitter.
Tôi đã sử dụng YubiKey để bảo vệ tài khoản LastPass của mình trong nhiều năm và rất ngạc nhiên khi thấy trình quản lý mật khẩu mà tôi chọn không hỗ trợ các khóa Titan. Ngay cả với YubiKey của tôi, tôi chỉ có thể sử dụng nó làm trình xác thực yếu tố thứ hai cho tài khoản Google của mình thông qua Chrome.
Các nhà phát triển và những người đứng sau FIDO cần hợp tác chặt chẽ hơn để mang lại sự hỗ trợ rộng rãi hơn cho Titan, YubiKey và U2F nói chung. Tôi vẫn chưa tìm thấy một ngân hàng chấp nhận phần cứng 2FA chẳng hạn. Thật khó chịu khi thử và đăng ký khóa bảo mật của bạn cho một dịch vụ, chỉ để thấy bạn đang ở trong trình duyệt sai hoặc khóa bảo mật cụ thể này không được dịch vụ hỗ trợ. Nếu không có sự hỗ trợ rộng rãi hơn, các thiết bị này sẽ không được sử dụng nhiều và có thể sẽ gây ra nhiều nhầm lẫn cho người không quen hơn là giúp đỡ.
Titan công nghiệp
Gói bảo mật Google Titan có mọi thứ cần thiết để bảo mật tài khoản Google của bạn khỏi bị đánh cắp mật khẩu, lừa đảo và một loạt các cuộc tấn công khác. Cài đặt rất dễ dàng và việc cắm một phím hoặc chạm vào thiết bị Bluetooth thường dễ dàng hơn so với việc tìm kiếm (và có thể nhầm lẫn) mã một lần từ một ứng dụng. Khóa Bluetooth thể hiện một trách nhiệm bảo mật nhỏ, theo lý thuyết ở chỗ nó truyền không dây, nhưng mối quan tâm lớn hơn là pin của nó có thể bị chết một cách đơn giản.
Với hai thiết bị này, bạn đã sẵn sàng bảo mật tài khoản Google của mình và mọi dịch vụ được hỗ trợ khác. Thẻ giá $ 50 kiếm được rất tốt với hai thiết bị thông minh, bền bỉ. Bạn sẽ không đi sai với những điều này. Nó đạt điểm cao nhất, nhưng chúng tôi giữ lại giải thưởng Sự lựa chọn của ban biên tập cho hạng mục này cho đến khi chúng tôi có thể xem xét các sản phẩm cạnh tranh hơn.
