Resulta que la gente es muy mala para crear y recordar contraseñas, y muy buena para inventar nuevas formas de entrar en sistemas protegidos por contraseña.
Google tiene como objetivo resolver al menos uno de esos problemas con su paquete Titan Security Key.
El producto está compuesto por dos dispositivos que, cuando se usan correctamente, dificultan significativamente que los delincuentes entren en sus cuentas en línea al requerir una contraseña y una clave física para iniciar sesión en un sitio web o servicio.
Cómo funciona
La autenticación de dos factores (2FA) no es solo un segundo paso después de ingresar una contraseña, aunque a menudo así es como se desarrolla en la práctica.
En cambio, 2FA combina dos mecanismos de autenticación diferentes (es decir, factores) de una lista de tres posibilidades:
- Algo que tu sabes
- Algo que tienes, o
- Algo que eres.
Una contraseña, por ejemplo, es algo que saber.
En teoría, solo debería existir en su cabeza (o de forma segura dentro de un administrador de contraseñas).
La autenticación biométrica, como escaneos de huellas dactilares, escaneos de retina, firmas de corazón, etc., cuenta como algo que usted están.
Las llaves de seguridad Titan y productos similares son algo que tener.
Un atacante podría obtener su contraseña a distancia, tal vez buscándola en una lista de contraseñas de una violación de datos o enviando un correo electrónico de phishing que lo engañe para que entregue su contraseña.
Pero con 2FA, ese mismo atacante tendría que llegar a usted personalmente de alguna manera y robar sus llaves Titan (o huella digital) además de su contraseña.
Se puede hacer, pero es mucho más difícil, lo que lo protege de la gran mayoría de los ataques que se basan en contraseñas filtradas o fáciles de adivinar.
Hay muchas otras formas de obtener la protección que ofrece 2FA.
Registrarse para recibir códigos de acceso de una sola vez a través de SMS es quizás la forma más común, pero el uso de Google Authenticator y servicios como Duo (Free at Duo) son alternativas populares que no requieren recibir un mensaje SMS.
Pero los teléfonos pueden ser robados y la toma de SIM es aparentemente algo de lo que debemos preocuparnos ahora.
Es por eso que los dispositivos físicos como las llaves Titan son tan atractivos.
Son simples y confiables, y Google ha descubierto que implementarlos internamente eliminó por completo los ataques de phishing y la apropiación de cuentas.
¿Qué hay en la caja?
Dentro del paquete de llaves de seguridad Titan no hay un dispositivo, sino dos: una llave USB delgada y un llavero con Bluetooth.
Ambos están moldeados en plástico blanco elegante y tienen una sensación agradable y resistente.
La llave USB, en particular, emite un sonido muy satisfactorio cuando se arroja sobre una mesa.
He hecho esto varias veces solo por el placer de hacerlo.
La clave Bluetooth tiene un solo botón y tres indicadores LED para mostrar la autenticación, la conexión Bluetooth y que se está cargando o necesita una carga.
Un solo puerto micro USB en la parte inferior es para cargar y / o conectar la llave Bluetooth a su computadora.
La llave USB es plana con un disco dorado en un lado, que detecta su toque y completa la autenticación.
El dispositivo de llave USB no tiene partes móviles, no requiere baterías.
Según Google, ambos dispositivos son agua resistente, por lo que es posible que desee mantenerlos fuera de la piscina.
Ambos están diseñados para colocarse en un llavero y mantenerse en su persona (o cerca), lo que significa que el bonito acabado blanco puede resultar una desventaja.
Tintinear en un llavero seguramente provocará un desgaste notable en los impecables dispositivos Titan.
He estado usando un Yubico YubiKey 4 durante varios años, y está empezando a verse bastante gastado a pesar de estar fundido en plástico negro.
En mi poco tiempo probando las llaves Titan, el conector USB-A ya estaba empezando a verse un poco raspado.
También en la caja hay algunas instrucciones elegantemente diseñadas, aunque un poco vagas, junto con un cable micro USB a USB-A y un adaptador USB-C a USB-A.
El Micro USB carga la llave Titan Bluetooth que, a diferencia de la llave USB, puede agotarse.
Un indicador de batería parpadea en rojo cuando es hora de recargar.
La llave Titan USB, como la YubiKey, no requiere batería.
También puede utilizar el adaptador micro USB para conectar su llave Bluetooth a una computadora, donde puede funcionar de la misma manera que la llave Titan USB.
Tanto las llaves Bluetooth como USB-A cumplen con el estándar FIDO Universal Two-Factor (U2F).
Esto significa que se pueden utilizar como una opción 2FA sin software adicional.
Este es el único protocolo compatible con las claves Titan, lo que significa que no se pueden utilizar para otros fines de autenticación.
Cuando se anunciaron por primera vez las llaves Titan, un periodista descubrió que los componentes de al menos la llave Bluetooth .
Google me confirmó que la empresa contrata a un tercero para que produzca las claves según las especificaciones de la empresa.
Algunos en los círculos de seguridad vieron esto como un riesgo potencial, considerando que China ha sido acusada de llevar a cabo ataques digitales a instituciones estadounidenses.
En mi opinión, sin embargo, si no confía en Google para examinar adecuadamente a sus socios de hardware, entonces probablemente no confíe en Google lo suficiente como para usar sus productos de seguridad en primer lugar, y debería buscar en otra parte.
Girar la llave
Antes de que se puedan usar las llaves Titan, primero deben inscribirse en un sitio o servicio que admita FIDO U2F.
Google obviamente lo hace, pero también lo hacen Dropbox, Facebook, GitHub, Twitter y otros.
Dado que las llaves Titan son un producto de Google, comencé configurándolas para asegurar una cuenta de Google.
Configurar las llaves Titan con su cuenta de Google es sencillo.
Dirígete a la página 2FA de Google o visita las opciones de seguridad de tu cuenta de Google.
Desplácese hacia abajo hasta Agregar clave de seguridad, haga clic y el sitio le pedirá que inserte y toque su clave USB de seguridad.
¡Eso es todo! Registrar la clave Bluetooth solo requiere el paso adicional de conectarla a su computadora a través del cable micro USB incluido.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Una vez inscrito, fui a iniciar sesión en mi cuenta de Google.
Después de ingresar mi contraseña, se me pidió que insertara y tocara mi clave de seguridad.
Al conectar la llave USB a un puerto, el LED verde parpadea una vez.
El LED se ilumina de manera constante cuando se le presenta una solicitud para tocar la tecla.
Cuando probé con una cuenta nueva que nunca había usado 2FA, Google primero requirió que configurara códigos de acceso de un solo uso por SMS.
Puede eliminar los códigos SMS si lo prefiere, pero inscribirse en el programa 2FA de Google requiere que utilice al menos códigos SMS, o la aplicación Google Authenticator, o una notificación de inserción de autenticación de Google enviada a su dispositivo.
Eso se suma a cualquier otra opción 2FA que seleccione.
Tenga en cuenta que la clave Google Titan no requiere SMS ni ningún otro servicio para funcionar, pero muchos servicios (incluido Twitter) lo alientan a verificar un número de teléfono para demostrar que es una persona real.
Si selecciona varias opciones de 2FA, puede elegir la que más le convenga en un escenario determinado.
También es una buena idea tener un método de autenticación de respaldo, en caso de que pierda sus llaves o su teléfono se rompa.
Las notificaciones por SMS están bien, pero también uso claves de papel, que son una serie de códigos de un solo uso.
Estos códigos son ampliamente compatibles y se pueden escribir o almacenar digitalmente (¡pero con suerte cifrados!).
Sin embargo, me di cuenta de que para realizar cambios en mi configuración de 2FA después de inscribir mi clave Titan, solo esta y las notificaciones automáticas en mi teléfono a través de la aplicación de Google eran autenticadores aceptables.
Según la caja, la llave Titan y la llave Bluetooth son compatibles con NFC, pero no pude hacer que funcionaran de esa manera.
Cuando me pidieron que usara un dispositivo 2FA en mi teléfono Android, seguí las instrucciones y presioné la tecla en la parte posterior del teléfono, pero fue en vano.
Google me confirmó que los dispositivos son compatibles con NFC, pero ese soporte se agregará a los dispositivos Android en los próximos meses.
No tuve tantos problemas para iniciar sesión en mi cuenta de Google en un dispositivo Android usando la clave Bluetooth.
Nuevamente, se me pidió que presentara mi clave después de ingresar mi contraseña.
Una opción en la parte inferior de la pantalla me permite seleccionar el uso de un autenticador NFC, USB o Bluetooth.
Cuando seleccioné Bluetooth por primera vez, se me pidió que vincule la clave Bluetooth con el teléfono.
Google manejó la mayor parte de esto automáticamente, aunque tuve que ingresar el número de serie en la parte posterior de la clave Bluetooth.
Registrar el dispositivo de esta manera solo debe hacerse una vez; cada dos veces, solo necesita hacer clic en el botón de la clave Bluetooth para autenticarse.
Curiosamente, no vi la clave de Bluetooth en la lista de dispositivos Bluetooth recientes del teléfono, pero aún así funcionó bien.
Solo por el gusto de hacerlo, también intenté iniciar sesión con el adaptador USB-C incluido y la llave de seguridad USB.
Funcionó a las mil maravillas.
Además de su esquema de inicio de sesión 2FA, Google también ofrece el Programa de protección avanzada a las personas que pueden correr un riesgo particular de sufrir un ataque.
No probé la protección avanzada en mis pruebas, pero en particular requiere dos dispositivos de llave de seguridad, por lo que el paquete de llaves de seguridad Titan también está listo para funcionar con este esquema de inicio de sesión.
Las claves Titan deberían funcionar con cualquier servicio que admita FIDO U2F.
Twitter es uno de esos ejemplos, y no tuve problemas para registrar la llave USB Titan en Twitter o usarla para iniciar sesión más tarde.
Comparación de la llave de seguridad Titan de Google
Existe una lista creciente de dispositivos de autenticación de hardware que se comparan con las llaves de seguridad Titan, pero el líder de la industria es probablemente la línea de productos YubiKey de Yubico.
Son casi idénticas a las llaves Titan USB-A: de plástico delgado y resistente y diseñadas para colocarse en un llavero con un pequeño LED verde y un disco dorado que registra su toque sin partes móviles.
Si bien Yubico no ofrece nada como la llave Titan Bluetooth, tiene varios factores de forma diferentes para elegir.
La serie YubiKey 4, por ejemplo, tiene dos llaves de tamaño comparable a la llave USB Titan: la YubiKey 4 y YubiKey NEO, la última de las cuales está habilitada para NFC.
Yubico también ofrece llaves USB-C, que funcionan con cualquier dispositivo que tenga ese puerto en particular, sin necesidad de adaptador.
Si las llaves no son su estilo, puede optar por el YubiKey 4 Nano o su hermano USB-C, el YubiKey 4C Nano.
Los dispositivos de estilo Nano son mucho más pequeños (solo 12 mm por 13 mm) y están diseñados para dejarse dentro de los puertos de su dispositivo.
Todos los dispositivos YubiKey 4 anteriores cuestan entre $ 40 y $ 60, y eso es solo por una clave.
Sin embargo, todos estos son dispositivos multiprotocolo, lo que significa que no solo puede usarlos como dispositivos FIDO U2F, sino también para reemplazar una tarjeta inteligente para el inicio de sesión de la computadora, para firmas criptográficas y para una variedad de otras funciones.
Algunos de estos están disponibles a través de ...
