Inhaltsverzeichnis:
- Wie es funktioniert
- Was ist in der Box?
- Den Schlüssel drehen
- Vergleich des Google Titan-Sicherheitsschlüssels
- Das Problem der Unterstützung
- Ein Industrietitan
Video: Google's Titan Security Key Explained (November 2024)
Es stellt sich heraus, dass die Leute tatsächlich sehr schlecht darin sind, Passwörter zu erstellen und sich diese zu merken, und sehr gut darin, neue Wege zu finden, um in passwortgeschützte Systeme einzudringen. Google hat sich zum Ziel gesetzt, mindestens eines dieser Probleme mit seinem Titan Security Key-Bundle zu lösen. Das Produkt besteht aus zwei Geräten, die es Bösewichten bei korrekter Verwendung erheblich erschweren, in Ihre Online-Konten einzudringen, indem sowohl ein Kennwort als auch ein physischer Schlüssel für die Anmeldung bei einer Website oder einem Dienst erforderlich sind.
Wie es funktioniert
Die Zwei-Faktor-Authentifizierung (2FA) ist nicht nur ein zweiter Schritt nach der Eingabe eines Kennworts - auch wenn dies in der Praxis häufig der Fall ist. Stattdessen kombiniert 2FA zwei verschiedene Authentifizierungsmechanismen (dh Faktoren) aus einer Liste von drei Möglichkeiten:
- Etwas, das du weißt,
- Etwas, das du hast, oder
- Etwas, das du bist.
Ein Passwort kennen Sie zum Beispiel. Theoretisch sollte es nur in Ihrem Kopf (oder sicher in einem Passwort-Manager) existieren. Biometrische Authentifizierung wie Fingerabdruckscans, Retina-Scans, Herzsignaturen usw. gelten als etwas, das Sie sind . Die Titan-Sicherheitsschlüssel und ähnliche Produkte sind etwas, das Sie haben .
Es gibt viele andere Möglichkeiten, um den Schutz von 2FA zu erhalten. Registrieren Sie sich, um einmalige Passcodes per SMS zu erhalten, ist vielleicht die häufigste Methode, aber die Verwendung von Google Authenticator und Diensten wie Duo sind beliebte Alternativen, bei denen keine SMS-Nachricht empfangen werden muss.
Aber Telefone können gestohlen werden und SIM-Jacking ist anscheinend eine Sache, über die wir uns jetzt Sorgen machen müssen. Das ist der Grund, warum physische Geräte wie die Titan-Tasten so attraktiv sind. Sie sind einfach und zuverlässig, und Google hat herausgefunden, dass durch ihre interne Bereitstellung Phishing-Angriffe und Kontoübernahmen vollständig beseitigt wurden.
Was ist in der Box?
Im Titan Security Key Bundle steckt nicht nur ein Gerät, sondern zwei: ein schlanker USB-Stick und ein Bluetooth-fähiger Schlüsselanhänger. Beide sind aus glattem weißem Kunststoff gegossen und fühlen sich angenehm und robust an. Insbesondere der USB-Stick gibt einen sehr befriedigenden Klang ab, wenn er auf einen Tisch geworfen wird. Ich habe dies einige Male nur aus Freude daran getan.
Der Bluetooth-Schlüssel verfügt über eine einzige Taste und drei LED-Anzeigen, um die Authentifizierung und die Bluetooth-Verbindung anzuzeigen und um anzuzeigen, dass er entweder aufgeladen wird oder aufgeladen werden muss. Ein einzelner Micro-USB-Anschluss an der Unterseite dient zum Laden und / oder Anschließen des Bluetooth-Schlüssels an Ihren Computer. Der USB-Stick ist flach mit einer goldenen Scheibe auf einer Seite, die Ihren Tipp erkennt und die Authentifizierung vervollständigt. Der USB-Stick enthält keine beweglichen Teile und benötigt keine Batterien. Laut Google sind beide Geräte wasserbeständig, sodass Sie sie möglicherweise außerhalb des Pools aufbewahren möchten.
Beide sollten an einem Schlüsselbund befestigt und an Ihrer Person (oder in unmittelbarer Nähe) aufbewahrt werden, was bedeutet, dass ein schönes weißes Finish eine Gefahr darstellen kann. Das Klappern an einem Schlüsselbund macht sich in den makellosen Titan-Geräten bemerkbar. Ich benutze einen Yubico YubiKey 4 seit mehreren Jahren und er sieht ziemlich abgenutzt aus, obwohl er aus schwarzem Kunststoff gegossen ist. In meiner kurzen Zeit als ich die Titan-Schlüssel getestet habe, sah der USB-A-Stecker schon etwas abgekratzt aus.
In der Verpackung befinden sich außerdem einige stilvolle - wenn auch etwas vage - Anleitungen sowie ein Micro-USB-USB-A-Kabel und ein USB-C-USB-A-Adapter. Der Micro-USB lädt den Titan Bluetooth-Schlüssel auf, der im Gegensatz zum USB-Schlüssel ausfallen kann. Eine Akkuanzeige flackert rot, wenn der Akku aufgeladen werden muss. Der Titan USB-Stick benötigt wie der YubiKey keinen Akku. Sie können den Micro-USB-Adapter auch verwenden, um Ihren Bluetooth-Schlüssel mit einem Computer zu verbinden, auf dem er auf die gleiche Weise wie der Titan-USB-Schlüssel funktioniert.
Sowohl der Bluetooth- als auch der USB-A-Schlüssel entsprechen dem FIDO Universal Two-Factor-Standard (U2F). Dies bedeutet, dass sie ohne zusätzliche Software als 2FA-Option verwendet werden können. Dies ist das einzige Protokoll, das von den Titan-Schlüsseln unterstützt wird. Dies bedeutet, dass sie nicht für andere Authentifizierungszwecke verwendet werden können.
Als die Titan-Schlüssel erstmals angekündigt wurden, stellte ein Journalist fest, dass die Komponenten mindestens des Bluetooth-Schlüssels von einem chinesischen Hersteller stammten. Google hat mir bestätigt, dass das Unternehmen einen Dritten damit beauftragt, die Schlüssel gemäß den Unternehmensspezifikationen herzustellen. Einige Sicherheitskreise sahen dies als potenzielles Risiko an, da China beschuldigt wurde, digitale Angriffe auf US-amerikanische Institutionen ausgeführt zu haben. Wenn Sie jedoch nicht darauf vertrauen, dass Google seine Hardware-Partner ordnungsgemäß überprüft, dann vertrauen Sie Google wahrscheinlich nicht genug, um seine Sicherheitsprodukte überhaupt zu verwenden, und Sie sollten sich anderswo umsehen.
Den Schlüssel drehen
Bevor die Titan-Schlüssel verwendet werden können, müssen sie zunächst bei einer Site oder einem Service registriert werden, der FIDO U2F unterstützt. Google natürlich, aber Dropbox, Facebook, GitHub, Twitter und andere auch. Da die Titan-Schlüssel ein Google-Produkt sind, habe ich sie eingerichtet, um ein Google-Konto zu sichern.
Das Einrichten der Titan-Schlüssel mit Ihrem Google-Konto ist unkompliziert. Besuchen Sie die 2FA-Seite von Google oder besuchen Sie die Sicherheitsoptionen Ihres Google-Kontos. Scrollen Sie nach unten zu Add Security Key (Sicherheitsschlüssel hinzufügen), und klicken Sie auf. Die Site fordert Sie auf, Ihren Sicherheits-USB-Schlüssel einzufügen und darauf zu tippen. Das ist es! Für die Registrierung des Bluetooth-Schlüssels ist nur der zusätzliche Schritt erforderlich, den Bluetooth-Schlüssel über das mitgelieferte Micro-USB-Kabel an Ihren Computer anzuschließen.
Nach der Registrierung habe ich mich in meinem Google-Konto angemeldet. Nachdem ich mein Passwort eingegeben hatte, wurde ich aufgefordert, meinen Sicherheitsschlüssel einzugeben und darauf zu tippen. Wenn Sie den USB-Stick an einen Port anschließen, blinkt die grüne LED einmal. Die LED leuchtet konstant, wenn Sie aufgefordert werden, auf die Taste zu tippen.
Bei einem Test mit einem neuen Konto, das noch nie 2FA verwendet hat, musste Google zunächst einmalige SMS-Passcodes einrichten. Sie können SMS-Codes entfernen, wenn Sie dies vorziehen. Wenn Sie sich jedoch für das 2FA-Programm von Google anmelden, müssen Sie mindestens SMS-Codes, die Google Authenticator-App oder eine Push-Benachrichtigung zur Google-Authentifizierung verwenden, die an Ihr Gerät gesendet wird. Dies gilt zusätzlich zu den anderen von Ihnen ausgewählten 2FA-Optionen. Bitte beachten Sie, dass für den Google Titan-Schlüssel keine SMS oder ein anderer Dienst erforderlich ist. Viele Dienste (einschließlich Twitter) fordern Sie jedoch auf, eine Telefonnummer zu bestätigen, um zu beweisen, dass Sie eine echte Person sind.
Wenn Sie mehrere 2FA-Optionen auswählen, können Sie die auswählen, die in einem bestimmten Szenario für Sie geeignet ist. Es ist auch eine gute Idee, eine Backup-Authentifizierungsmethode zu verwenden, falls Sie Ihre Schlüssel verlieren oder Ihr Telefon kaputt geht. SMS-Benachrichtigungen sind in Ordnung, aber ich verwende auch Papierschlüssel, bei denen es sich um eine Reihe von Codes für die einmalige Verwendung handelt. Diese Codes werden weitgehend unterstützt und können digital (aber hoffentlich verschlüsselt!) Aufgeschrieben oder gespeichert werden. Ich habe jedoch festgestellt, dass Änderungen an meinen 2FA-Einstellungen nach der Registrierung meines Titan-Schlüssels nur durch diesen und Push-Benachrichtigungen auf mein Telefon über die Google-App zulässig sind.
Laut der Box sind der Titan-Schlüssel und der Bluetooth-Schlüssel beide NFC-kompatibel, aber ich konnte sie nicht dazu bringen, auf diese Weise zu funktionieren. Als ich aufgefordert wurde, ein 2FA-Gerät auf meinem Android-Telefon zu verwenden, befolgte ich die Anweisungen und schlug die Taste auf der Rückseite des Telefons, aber ohne Erfolg. Google hat mir bestätigt, dass die Geräte NFC-fähig sind, die Unterstützung für Android-Geräte wird jedoch in den kommenden Monaten hinzugefügt.
Ich hatte keine derartigen Probleme, mich mit dem Bluetooth-Schlüssel auf einem Android-Gerät in mein Google-Konto einzuloggen. Ich wurde erneut aufgefordert, meinen Schlüssel vorzulegen, nachdem ich mein Passwort eingegeben hatte. Über eine Option am unteren Bildschirmrand kann ich mithilfe eines NFC-, USB- oder Bluetooth-Authentifikators auswählen. Bei der ersten Auswahl von Bluetooth wurde ich aufgefordert, den Bluetooth-Schlüssel mit dem Telefon zu koppeln. Das meiste wurde automatisch von Google erledigt, obwohl ich die Seriennummer auf der Rückseite des Bluetooth-Schlüssels eingeben musste. Die Registrierung des Geräts auf diese Weise muss nur einmal durchgeführt werden. jedes zweite Mal müssen Sie nur auf die Schaltfläche des Bluetooth-Schlüssels klicken, um sich zu authentifizieren. Interessanterweise wurde der Bluetooth-Schlüssel in der Liste der letzten Bluetooth-Geräte des Telefons nicht angezeigt, aber er funktionierte trotzdem einwandfrei.
Zum Teufel habe ich auch versucht, mich mit dem mitgelieferten USB-C-Adapter und dem USB-Sicherheitsschlüssel anzumelden. Es wirkte wie ein Zauber.
Zusätzlich zu seinem 2FA-Anmeldeschema bietet Google auch ein erweitertes Schutzprogramm für Personen an, bei denen ein besonderes Risiko für Angriffe besteht. Ich habe Advanced Protection in meinen Tests nicht getestet, es sind jedoch zwei Sicherheitsschlüsselgeräte erforderlich, sodass das Titan Security Key Bundle auch mit diesem Anmeldeschema verwendet werden kann.
Die Titan-Schlüssel sollten mit allen Diensten funktionieren, die FIDO U2F unterstützen. Twitter ist ein solches Beispiel, und ich hatte keine Probleme, den Titan USB-Stick bei Twitter zu registrieren oder ihn später zum Anmelden zu verwenden.
Vergleich des Google Titan-Sicherheitsschlüssels
Es gibt eine wachsende Liste von Hardware-Authentifizierungsgeräten, die mit den Titan-Sicherheitsschlüsseln verglichen werden können, aber der Branchenführer ist wahrscheinlich die YubiKey-Produktreihe von Yubico. Diese sind fast identisch mit dem Titan USB-A-Schlüssel: Schlankes, robustes Plastik und so konstruiert, dass sie auf einem Schlüsselring mit einer kleinen grünen LED und einer goldenen Scheibe sitzen, die Ihre Berührung ohne bewegliche Teile registriert.
Während Yubico so etwas wie den Titan Bluetooth-Schlüssel nicht anbietet, stehen verschiedene Formfaktoren zur Auswahl. So verfügt beispielsweise die YubiKey 4-Serie über zwei dem Titan-USB-Stick vergleichbare Schlüssel: den YubiKey 4 und den YubiKey NEO, der NFC-fähig ist. Yubico bietet auch USB-C-Sticks an, die mit jedem Gerät mit diesem bestimmten Anschluss kompatibel sind, ohne dass ein Adapter erforderlich ist.
Wenn Sie es nicht mögen, können Sie sich für den YubiKey 4 Nano oder dessen USB-C-Geschwister, den YubiKey 4C Nano, entscheiden. Die Geräte im Nano-Stil sind viel kleiner (nur 12 x 13 mm) und so konzipiert, dass sie sich in den Anschlüssen Ihres Geräts befinden.
Alle oben genannten YubiKey 4-Geräte kosten zwischen 40 und 60 US-Dollar, und das ist nur für einen Schlüssel. Dies sind jedoch alles Multiprotokoll-Geräte, dh Sie können sie nicht nur als FIDO U2F-Geräte verwenden, sondern auch als Ersatz für eine Smartcard für die Computeranmeldung, für kryptografische Signaturen und für eine Reihe anderer Funktionen. Einige davon sind über die optionale Client-Software von Yubico verfügbar. Auf diese Weise können Sie ändern, was der YubiKey tut und wie er sich verhält. Die Titan-Schlüssel unterstützen nur U2F und den W3C-WebAuthn-Standard und haben keine zugeordnete Client-Software, um ihre Funktionalität zu ändern.
Der billigste YubiKey ist auch derjenige, der in seiner Funktionalität dem Google Titan-Key am nächsten zu kommen scheint. Der blaue Sicherheitsschlüssel von Yubico funktioniert überall dort, wo U2F akzeptiert wird, unterstützt jedoch nicht die anderen Protokolle der YubiKey 4-Serie. Es unterstützt auch das FIDO2-Protokoll. Der Bluetooth-Schlüssel ist nicht im Google Titan-Bundle enthalten, kostet jedoch mit nur 20 US-Dollar weniger als die Hälfte.
Während die Produkte von Yubico mindestens so technologisch leistungsfähig und langlebig sind wie der Titan-Schlüssel, hat die Schwäche des Unternehmens erklärt, welche seiner Schlüssel was bewirken und wo sie unterstützt werden. Die Yubico-Website enthält mehrere schwindelerregende Diagramme mit Akronymen, die sogar meine Augen zum Leuchten bringen. Die Titan-Tasten hingegen zeichnen sich durch eine nahezu Apple-ähnliche Einfachheit und eine sofort einsatzbereite Bedienung aus.
Es gibt auch Softwarelösungen für 2FA. Ich habe das Duo erwähnt, und sowohl Google als auch Twilio Authy bieten einmalige Codes über Apps an, ebenso wie LastPass über eine spezielle App. Software-Authentifikatoren sind nützlich und möglicherweise praktischer, wenn Sie Ihr Telefon immer zur Hand haben. Hardware-2FA-Geräte wie der Titan-Schlüssel sind jedoch langlebiger als ein Telefon, haben keinen Stromausfall und benötigen nur einen Fingertipp, anstatt die von einer App generierten Einmalcodes einzugeben. Ein Hardwareschlüssel ist auch schwerer anzugreifen als eine App, die auf Ihrem Telefon läuft, obwohl Telefone heutzutage ziemlich sicher sind. Letztendlich wird die Wahl zwischen einer Hardware- oder Software-Lösung von 2FA wahrscheinlich von den persönlichen Vorlieben abhängen.
Das Problem der Unterstützung
Trotz des Namens ist die Standardunterstützung von FIDO Universal Two-Factor alles andere als universell. Um Ihre Titan-Schlüssel mit Ihrem Google- oder Twitter-Konto zu verwenden, müssen Sie sich über Chrome anmelden. Kein Glück mit Firefox (im Moment). Das gleiche galt, als ich den Titan-Key bei Twitter verwendete.
Ich habe jahrelang einen YubiKey verwendet, um mein LastPass-Konto zu schützen, und war überrascht, dass mein Passwortmanager der Wahl die Titan-Schlüssel nicht unterstützt. Selbst mit meinem YubiKey kann ich ihn nur als Zweitfaktorauthentifikator für mein Google-Konto über Chrome verwenden.
Entwickler und die Menschen, die hinter FIDO stehen, müssen enger zusammenarbeiten, um Titan, YubiKey und U2F allgemein besser zu unterstützen. Ich habe noch keine Bank gefunden, die beispielsweise eine Hardware 2FA akzeptiert. Es ist frustrierend zu versuchen, Ihren Sicherheitsschlüssel für einen Dienst zu registrieren, nur um festzustellen, dass Sie sich im falschen Browser befinden oder dass dieser bestimmte Sicherheitsschlüssel vom Dienst nicht unterstützt wird. Ohne eine breitere Unterstützung werden diese Geräte nicht viel genutzt und werden wahrscheinlich eher die Uneingeweihten verwirren als helfen.
Ein Industrietitan
Das Google Titan Security Key Bundle bietet alles, was Sie zum Schutz Ihres Google-Kontos vor Kennwortdiebstahl, Phishing und einer Reihe anderer Angriffe benötigen. Das Einrichten ist einfach, und das Einstecken eines Schlüssels oder das Tippen auf ein Bluetooth-Gerät ist oft einfacher, als einen einmaligen Code aus einer App nachzuschlagen (und möglicherweise zu tippen). Der Bluetooth-Schlüssel stellt eine kleine theoretische Sicherheitslücke dar, da er drahtlos überträgt. Größere Sorge ist jedoch, dass der Akku einfach leer sein könnte.
Mit diesen beiden Geräten können Sie Ihr Google-Konto und jeden anderen unterstützten Dienst sichern. Der Preis von 50 US-Dollar wird mit zwei intelligenten, langlebigen Geräten gut verdient. Sie werden damit nichts falsch machen. Es wird eine Bestnote vergeben, aber wir behalten uns die Auszeichnung "Editors 'Choice" für diese Kategorie vor, bis wir weitere konkurrierende Produkte bewerten können.
