ביקורת ודירוג של חבילות מפתח האבטחה של טיטאן של גוגל

מסתבר שלאנשים דווקא רע מאוד ביצירת וזיכרון סיסמאות, ומאוד טוב להמציא דרכים חדשות לפרוץ למערכות מוגנות בסיסמה. גוגל שואפת לפתור לפחות אחת מאותן בעיות עם צרור טיטאן מפתח האבטחה שלה. המוצר מורכב משני מכשירים, שכאשר משתמשים בהם נכון, מקשים על הרעים לפרוץ לחשבונות המקוונים שלך באופן משמעותי על ידי דרישת סיסמא ומפתח פיזי בכניסה לאתר או לשירות.

איך זה עובד

אימות דו-גורמי (2FA) אינו רק צעד שני לאחר הזנת סיסמה - אם כי בדרך כלל זה מתבטא בפועל. במקום זאת, 2FA משלבת שני מנגנוני אימות שונים (כלומר גורמים) מרשימה של שלוש אפשרויות:

• משהו שאתה יודע,
• משהו שיש לך, או
• משהו שאתה.

סיסמא, למשל, היא משהו שאתה יודע . בתיאוריה זה צריך להתקיים רק בראש שלך (או בבטחה בתוך מנהל סיסמאות). אימות ביומטרי - כמו סריקות טביעות אצבע, סריקות רשתית, חתימות לב וכדומה - נחשב למשהו שאתה. מפתחות האבטחה של טיטאן והמוצרים שכדומה הם משהו שיש לך.

תוקף יכול להשיג את הסיסמה שלך מרחוק, אולי על ידי חיפוש אותה ברשימת הסיסמאות מהפרת נתונים או על ידי שליחת דוא"ל התחזות שמאפשר לך למסור את הסיסמה שלך. אבל עם 2FA, אותו תוקף יצטרך איכשהו להגיע אליך, באופן אישי, ולגנוב את מפתחות הטיטאן שלך (או טביעת האצבע) בנוסף לסיסמא שלך. אפשר לעשות זאת, אבל זה הרבה יותר קשה, שמגן עליך מפני הרוב המכריע של ההתקפות הנשענות על סיסמאות שהודלפו או ניחשו בקלות.

ישנן דרכים רבות אחרות להשיג את ההגנה שמעניקה 2FA. הרשמה לקבלת סיסמאות חד פעמיות באמצעות SMS היא אולי הדרך הנפוצה ביותר, אך שימוש במאמת של גוגל ושירותים כמו Duo הם חלופות פופולריות שאינן דורשות קבלת הודעת SMS.

אבל ניתן לגנוב טלפונים ושקע SIM הוא כנראה דבר שאנחנו צריכים לדאוג לו עכשיו. זו הסיבה שמכשירים פיזיים כמו מקשי טיטאן כל כך מושכים. הם פשוטים ואמינים, וגוגל גילה כי פריסתם באופן פנימי מחקה את התקפות הדיוג והשתלטות על החשבון.

מה יש בקופסא?

בתוך צרור מפתחות האבטחה של טיטאן אינו מכשיר אחד, אלא שני: מפתח USB רזה ומפתח מקשים המופעל על ידי Bluetooth. שניהם יצוקים בפלסטיק לבן מלוטש ובעלי תחושה נעימה וחסונה. מפתח ה- USB, במיוחד, משמיע צליל מספק מאוד כשהוא מושלך על השולחן. עשיתי זאת כמה פעמים רק לשמחתה.

למפתח ה- Bluetooth יש כפתור יחיד, ושלושה מחווני LED המראים אימות, חיבור Bluetooth וכי הוא טעינה או זקוקה לטעינה. יציאת מיקרו USB יחידה בחלק התחתון מיועדת לטעינה ו / או לחיבור מפתח Bluetooth למחשב. מקש ה- USB שטוח עם דיסק זהב בצד אחד, המזהה את הברז שלך ומשלים את האימות. למכשיר מפתח ה- USB אין חלקים נעים, אינו זקוק לסוללות. לדברי גוגל, שני המכשירים עמידים במים, לכן כדאי להשאיר אותם מחוץ לבריכה.

שניהם מיועדים לשים על מחזיק מפתחות ולהישמר על האדם שלך (או קרוב בהישג יד), מה שאומר שגימור לבן יפה עשוי להוכיח אחריות. רעש סביב מחזיק מפתחות הוא בטוח לשים קצת בלאי בולט על מכשירי טיטאן הבתולים. אני משתמשת ב- Yubico YubiKey 4 כבר כמה שנים, והוא מתחיל להיראות די בלוי למרות היציקה בפלסטיק שחור. בזמן הקצר שלי בבדיקת מקשי הטיטאן, מחבר ה- USB-A כבר התחיל להיראות מעט גרוט.

כמו כן בקופסה הוראות מעוצבות בצורה אופנתית - אם מעט מעורפלות - יחד עם כבל מיקרו USB ל- USB-A ומתאם USB-C ל- USB-A. המיקרו USB מטען את מקש ה- Bluetooth של טיטאן, שבניגוד למפתח ה- USB יכול לזלוג. מחוון סוללה מהבהב באדום כשמגיע הזמן להטעין. מפתח ה- USB של טיטאן, כמו ה- YubiKey, אינו דורש סוללה. אתה יכול גם להשתמש במתאם המיקרו USB כדי לחבר את מפתח ה- Bluetooth למחשב, שם הוא יכול לתפקד באותו אופן כמו מפתח ה- USB של טיטאן.

שני מפתחות ה- Bluetooth וגם ה- USB-A תואמים את התקן FIDO האוניברסלי הדו-פקטורי (U2F). משמעות הדבר היא שניתן להשתמש בהם כאפשרות 2FA ללא תוכנה נוספת. זהו הפרוטוקול היחיד הנתמך על ידי מקשי הטיטאן, כלומר לא ניתן להשתמש בהם למטרות אימות אחרות.

כאשר הוכרזו לראשונה על מקשי הטיטאן, עיתונאי גילה כי הרכיבים של מפתח ה- Bluetooth לפחות היו מיצרן סיני. גוגל אישרה לי שהחברה מתקשרת עם צד שלישי לייצור המפתחות למפרט החברה. חלק ממעגלי הביטחון ראו בכך סיכון פוטנציאלי, בהתחשב בכך שסין הואשמה בביצוע פיגועים דיגיטליים על מוסדות ארה"ב. עם זאת, לדעתי, אם אינך סומך על גוגל שתטפל כראוי בווטנר שותפי החומרה שלה, סביר להניח שאתה לא סומך על גוגל בכדי שתשתמש במוצרי האבטחה שלה מלכתחילה, וכדאי לך לחפש במקום אחר.

סיבוב המפתח

לפני שניתן יהיה להשתמש במקשי הטיטאן, תחילה עליהם להירשם לאתר או שירות התומך ב- FIDO U2F. ברור שגוגל עושה זאת, אך כך גם Dropbox, Facebook, GitHub, Twitter ואחרים. מכיוון שמפתחות הטיטן הם מוצר של גוגל, התחלתי להגדיר אותם לאבטחת חשבון גוגל.

הגדרת מפתחות הטיטאן באמצעות חשבון Google שלך ​​היא פשוטה. עבור לדף 2FA של גוגל, או בקר באפשרויות האבטחה של חשבון Google שלך. גלול מטה אל הוסף מפתח אבטחה, לחץ והאתר מבקש ממך להכניס ולהקש על מפתח ה- USB שלך. זהו זה! רישום מקש ה- Bluetooth דורש רק את הצעד הנוסף של חיבורו למחשב באמצעות כבל המיקרו USB הכלול.

לאחר שנרשמתי הלכתי להיכנס לחשבון Google שלי. לאחר הזנת הסיסמה שלי התבקשתי להכניס ולהקש על מפתח האבטחה שלי. חיבור מקש ה- USB ליציאה מורה לנורה הירוקה להבהב פעם אחת. נורית הזוהר בוהקת כאשר מוצגת בפניך בקשה להקיש על המקש.

כשבדקתי שימוש בחשבון טרי שמעולם לא השתמש ב- 2FA, גוגל דרשה תחילה להגדיר SMS פקסים קודיים. אתה יכול להסיר קודי SMS אם אתה מעדיף, אך הרשמה לתכנית 2FA של גוגל מחייבת להשתמש לפחות בקודי SMS, או באפליקציית המאמת של גוגל, או בהודעת דחיפת אימות של Google שנשלחה למכשיר שלך. זה בנוסף לכל אפשרויות אחרות של 2FA שתבחר. לתשומת לבך, מפתח Google Titan אינו דורש SMS או שירות אחר כדי לתפקד, אך שירותים רבים (כולל טוויטר) מעודדים אותך לאמת מספר טלפון כדי להוכיח שאתה אדם אמיתי.

אם בחרת באפשרויות מרובות של 2FA, אתה יכול לבחור את האפשרות שמתאימה לך בתרחיש נתון. כדאי גם להשתמש בשיטת אימות גיבוי, למקרה שתאבד את המפתחות או תישבר הטלפון. התראות SMS הן בסדר, אבל אני משתמש במקשי נייר, שהם סדרה של קודי שימוש חד פעמיים. קודים אלה נתמכים באופן נרחב וניתן לרשום אותם או לאחסן אותם באופן דיגיטלי (אך אני מקווה להצפין!). עם זאת, שמתי לב שכדי לבצע שינויים בהגדרות ה- 2FA לאחר שנרשמתי למפתח הטיטאן, רק זה והודעות דחיפה לטלפון שלי דרך אפליקציית גוגל היו אימות מקובל.

לפי התיבה, מקש הטיטאן ומפתח בלוטות 'שניהם תואמים NFC, אך לא הצלחתי לגרום להם לעבוד כך. כשהתבקשתי להשתמש במכשיר 2FA בטלפון אנדרואיד שלי, עקבתי אחר ההוראות וסטרתי על המקש בגב הטלפון, אך ללא הועיל. גוגל אישרה לי שהמכשירים מסוגלים ל- NFC, אך תמיכה זו תתווסף למכשירי אנדרואיד בחודשים הקרובים.

לא היו לי בעיות כאלה להתחבר לחשבון Google שלי במכשיר אנדרואיד באמצעות מקש Bluetooth. שוב התבקשתי להציג את המפתח שלי לאחר הזנת הסיסמה. אפשרות בתחתית המסך מאפשרת לי לבחור באמצעות מאמת NFC, USB או Bluetooth. כשבחרתי בלוטות 'בפעם הראשונה, התבקשתי להתאים את מקש ה- Bluetooth לטלפון. רוב זה טופל באופן אוטומטי על ידי גוגל, אם כי הייתי צריך להזין את המספר הסידורי בגב מפתח ה- Bluetooth. רישום המכשיר באופן זה צריך לעשות זאת רק פעם אחת; בכל פעם אחרת אתה פשוט צריך ללחוץ על כפתור Bluetooth כדי לאמת את עצמך. מעניין שלא ראיתי את מקש ה- Bluetooth ברשימת מכשירי ה- Bluetooth האחרונים בטלפון, אך הוא עדיין עבד מצוין.

רק למען האמת ניסיתי להתחבר באמצעות מתאם ה- USB-C הכלול ומפתח האבטחה של ה- USB. זה עבד כמו קסם.

בנוסף לתכנית ההתחברות שלה ל- 2FA, גוגל מציעה גם תוכנית הגנה מתקדמת לאנשים שעשויים להיות בסיכון מיוחד להתקפה. לא ניסיתי את ההגנה המתקדמת בבדיקה שלי, אבל זה בעיקר דורש שני התקני מפתח לאבטחה, כך שחבילת מפתחות האבטחה של טיטאן מוכנה לעבוד גם עם ערכת הכניסה הזו.

על מפתחות הטיטאן לעבוד עם כל שירות התומך ב- FIDO U2F. טוויטר הוא דוגמה כזו, ולא התקשיתי לרשום את מפתח ה- USB של טיטאן לטוויטר, או להשתמש בו בכדי להיכנס מאוחר יותר.

כיצד משווה מפתח האבטחה של גוגל טיטאן

יש רשימה הולכת וגדלה של התקני אימות חומרה שמשווים את מפתחות האבטחה של טיטאן, אך ככל הנראה מוביל התעשייה הוא קו מוצרי YubiKey של יוביקו. אלה כמעט זהים למפתח ה- Titan USB-A: פלסטיק דק ומחוספס ומעוצב לשבת על טבעת מקשים עם נורית LED קטנה ודיסק זהב שרושם את המגע שלכם ללא חלקים נעים.

אמנם יוביקו אינו מציע שום דבר כמו מקש Bluetooth מסוג טיטאן, אך יש לו כמה גורמי צורה שונים לבחירה. לסדרת YubiKey 4, למשל, יש שני מפתחות בגודל דומה למפתח ה- USB של טיטאן: ה- YubiKey 4 ו- YubiKey NEO, האחרון שבהם מופעל NFC. Yubico מציעה גם מקשי USB-C, העובדים עם כל מכשיר שמספק יציאה מסוימת, ללא צורך במתאם.

אם מקשים אינם הסגנון שלך, אתה יכול לבחור את YubiKey 4 Nano או את אחיו USB-C, YubiKey 4C Nano. המכשירים בסגנון ננו הם קטנים בהרבה - רק 12 מ"מ על 13 מ"מ - והם נועדו להשאיר את הקינון בתוך יציאות המכשיר.

כל מכשירי YubiKey 4 מעל עולים בין $ 40 ל- $ 60 וזה רק למפתח אחד. עם זאת, כל אלה הם התקני ריבוי פרוטוקולים, כלומר אתה לא יכול להשתמש בהם רק כמכשירי FIDO U2F, אלא גם להחליף כרטיס חכם לצורך כניסה למחשב, לחתימות קריפטוגרפיות, ולמגוון של תכונות אחרות. חלקם זמינים באמצעות תוכנת הלקוח האופציונלית המסופקת על ידי Yubico. זה מאפשר לך לשנות את מה שה- YubiKey עושה ואיך הוא מתנהג, מה שבטוח מדגדג את תחושת הדור של אבני הבטחון. מקשי הטיטאן רק תומכים ב- U2F ובתקן W3C WebAuthn, ואין להם תוכנת לקוח המשויכת לשינוי הפונקציונליות שלהם.

YubiKey הזול ביותר הוא גם זה שנראה הכי קרוב לפונקציונליות למפתח Google Titan. מפתח האבטחה הכחול של Yubico עובד בכל מקום בו U2F מתקבל, אך אינו תומך בפרוטוקולים האחרים כסדרת YubiKey 4. זה תומך גם בפרוטוקול FIDO2. אין לו את מפתח ה- Bluetooth כלול בחבילה של גוגל טיטאן, אך הוא גם עולה פחות ממחצית במחיר של 20 $ בלבד.

בעוד שמוצריו של יוביקו הם בעלי יכולת ועמידה לפחות טכנולוגית כמו מפתח הטיטאן, חולשת החברה הסבירה מי מהמפתחות שלה עושים מה והיכן הם נתמכים. באתר Yubico יש כמה תרשימים מסחררים מלאים בראשי תיבות הגורמים אפילו לעיניי לזלוג. מקשי הטיטאן, לעומת זאת, מעדיפים פשטות כמעט כמו אפל ושימושיות מחוץ לקופסה.

ישנם פתרונות תוכנה ל- 2FA. הזכרתי את הצמד, וגם Google וגם Twilio Authy מציעים גם קודים חד פעמיים באמצעות אפליקציות, וכך גם LastPass דרך אפליקציה ייעודית. מאמת תוכנה שימושי, ואולי נוח יותר אם הטלפון שלך תמיד יהיה שימושי. אבל מכשירי 2FA חומרה כמו מקש הטיטאן הם עמידים יותר מטלפון, אף פעם לא נגמרים להם כוח ודורשים רק ברז במקום להזין קודים חד פעמיים שנוצרים על ידי אפליקציה. קשה יותר לתקוף מפתח חומרה מאשר אפליקציה שחיה בטלפון שלך, אם כי הטלפונים די בטוחים בימינו. בסופו של דבר, בחירה בין פתרון חומרה או תוכנה 2FA תגיע ככל הנראה להעדפה האישית.

בעיית התמיכה

למרות השם, התמיכה הסטנדרטית FIDO האוניברסלית בשני גורמים רחוקה מלהיות אוניברסלית. כדי להשתמש במפתחות הטיטאן שלך בחשבונות Google או הטוויטר שלך, עליך להיכנס דרך Chrome. אין מזל עם Firefox (כרגע). כך היה גם כשהשתמשתי במפתח הטיטאן באמצעות טוויטר.

השתמשתי ב- YubiKey כדי להגן על חשבון LastPass שלי במשך שנים, והופתעתי לראות שמנהל הסיסמאות שבחרתי אינו תומך במקשי הטיטאן. אפילו עם YubiKey שלי, אני יכול להשתמש בו רק כמאמת הגורמים השני שלי לחשבון Google שלי דרך Chrome.

מפתחים והאנשים שמאחורי FIDO צריכים לעבוד קרוב יותר בכדי להביא תמיכה רחבה יותר לטיטאן, YubiKey ו- U2F באופן כללי. טרם מצאתי בנק שמקבל למשל חומרה 2FA. זה מתסכל לנסות לרשום את מפתח האבטחה שלך לשירות, רק כדי למצוא שאתה בדפדפן הלא נכון, או שמפתח האבטחה הספציפי הזה אינו נתמך על ידי השירות. ללא תמיכה רחבה יותר, מכשירים אלה לא יתרגלו הרבה וככל הנראה יעשו יותר כדי לבלבל את הבלתי מיושם מאשר לעזור.

טיטאן לתעשייה

לחבילת מפתחות האבטחה של גוגל טיטאן יש את כל הדרוש כדי לאבטח את חשבון Google שלך ​​מגניבת סיסמאות, דיוג ומגוון התקפות אחרות. ההתקנה קלה, וחיבור מקש או הקשה על מכשיר בלוטות 'לרוב קל יותר מאשר לחפש (ואולי להקליד טעות) קוד חד פעמי מאפליקציה. מקש ה- Bluetooth מציג אחריות אבטחה קטנה ותיאורטית בכך שהוא משדר באופן אלחוטי, אך חשש גדול יותר מכך שהסוללה שלו עלולה פשוט למות.

בשני מכשירים אלה, אתה מוכן לאבטח את חשבון Google שלך ​​וכל שירות נתמך אחר. תג המחיר של $ 50 מושכר היטב בשני מכשירים חכמים ועמידים. אתה לא תשתבש עם אלה. זה מקבל ציון עליון, אך אנו שוללים את פרס בחירת העורכים עבור קטגוריה זו עד שנוכל לבחון מוצרים מתחרים נוספים.