Нещодавно у продажу з’явилися апаратні ключі безпеки Google. В тому числі, вони вже доступні для деяких європейських країн. До вашої уваги – переклад одного з перших, і мабуть, найбільш докладного на сьогодні огляду-тестування апаратних ключів безпеки Titan Security Key від Google на Tom’s Hardware (автор – Шерон Хардінг, відомий ІТ-журналіст, оглядач комп’ютерної техніки).
Коли світ стає все більш цифровим, деякими з наших найдорожчих цінностей все частіше стають ті речі, до яких ми не можемо торкнутися: документи, фотографії, електронні листи та інші приватні повідомлення. Ви, звичайно, можете захистити свої акаунти в соціальних мережах. Але проблема блокування речей, до яких не можна торкатися, декого може хвилювати більше, декого – менше. Інші високоцінні володіння потребують людського дотику для забезпечення захисту. Автомобілі замикаються ключами, натисканням кнопки, закриттям гаража чи всього вищезазначеного. Будинки захищені аналогічним чином, тоді як готівка та коштовності можуть бути відправлені у сховище, захищене кодом, який ви повинні набрати власними пальцями. Але захист цифрових активів зазвичай є віртуальною справою.
Це все змінюється, коли Ви користуєтеся апаратними ключами безпеки – обладнанням, яке забезпечує додатковий рівень безпеки, вимагаючи доторкнутися до нього, щоб увійти в певні програми. Google вийшла на ринок разом зі своїми ключами безпеки Titan, які надійшли в Google Store сьогодні за 50 доларів за комплект, хоча їхній випуск було анонсовано декілька місяців тому.
Я вирішив протестувати ключ на собі, і, хоча у мене виникли невеликі проблеми з налаштуванням, я впевнений у своїй безпеці у важливих облікових записах, таких як Google і Twitter. Але чи є розрекламований захист насправді таким сильним, як здається з огляду на “титанічну” назву пристрою?
Журналісти – одна з категорій користувачів із високим рівнем ризику, яку Google визначає як хорошого кандидата для користування ключами . Я, наприклад, багато працюю за допомогою Gmail, Google Docs та Google Sheets. Ключ Titan також сумісний із продуктами та сайтами Salesforce, GitHub, Stripe, Dropbox, Twitter та Facebook та будь-яких інших компаній, які підтримують стандарти FIDO.
Комплект ключів Titan вартістю у 50 доларів поставляється з одним ключем безпеки USB / NFC Titan, одним ключем Bluetooth (для руху в дорозі), одним кабелем micro-USB для зарядки ключа Bluetooth та одним перехідником USB Type-A на USB Type-C (версія USB-C перебуває на стадії розробки).
Обидва ключі невеликі, білі та легкі (вони пластикові), тому вони не займають багато місця ні на вашому столі, ні будучи у зв’язці з іншими ключами десь у кишені. Однак нанизування Bluetooth-ключа на мій брелок було проблематичним. Відкриваючи брелок, я притулився ключем Titan до кільця, пересуваючи його (як я роблю з усіма іншими своїми ключами), але це в результаті призвело до жахливої подряпини на верхній лівій стороні ключа.
Налаштування USB-ключа було простим. Все, що мені потрібно було зробити, – це перейти на веб-сайт Google, де були списки сумісних із продуктом програм та сайтів, та дотримуватися точних покрокових інструкцій.
Проблеми з Bluetooth
Ключ Bluetooth потрібно зареєструвати окремо. Після реєстрації ключа Bluetooth я зміг використовувати його для входу в акаунти свого ПК. Однак, щоб використовувати його з iPhone, мені потрібно було завантажити додаток Google Lock Security. Щойно я завантажив його та ввімкнув Bluetooth на телефоні, я ввійшов у свій обліковий запис Google. Але це був ще не кінець.
Коли я натиснув на мій обліковий запис Google, відкрилося вікно веб-браузера із написом “Ви все налаштували. Ваш обліковий запис надійно налаштовано на цьому телефоні”, та пропонувалося завершити роботу, натиснувши на кнопку Done. Я натиснув і завершив роботу, і це повернуло мене до програми Smart Lock з тією ж сторінкою, де перелічені мої облікові записи Google. І незважаючи на увімкнений Bluetooth на телефоні, я не зміг знайти ключ у списку доступних пристроїв. Ключ Bluetooth спрацював, коли мій колега спробував це зробити на телефоні з ОС Android, але я так і не зміг його з’єднати зі своїм iPhone.
Для мене ключ Titan обмежений моїм ПК, якщо я не користуюся смартфоном Android. Я звернувся до Google щодо цієї проблеми, але вони не змогли допомогти мені її виправити вчасно до публікації.
Варто також зазначити, що деякі розробники, включаючи Yubico, вважають протокол Bluetooth за своєю суттю незахищеним.
У відповідь на анонс Titan Key минулого місяця, генеральний директор Yubico Стіна Ересвард написала у своєму записі в блозі: “Хоча Yubico раніше ініціював розробку ключа безпеки [ для Bluetooth] і сприяв роботі [Bluetooth] U2F стандартів, ми вирішили не запускати продукт, оскільки він не відповідає нашим стандартам щодо безпеки, зручності використання та довговічності. [Bluetooth] не забезпечує рівня безпеки NFC та USB та вимагає акумуляторів та з’єднання, які є ненадійними “.
Але нещодавно Google оголосила про недолік безпеки серед своїх апаратних ключів з інтерфейсом Bluetooth та почала пропонувати безкоштовні заміни. Компанія також зазначила, що користуватися хоча б одним з ключів все ще безпечніше, ніж взагалі не використовувати його.
Мій досвід користування Google Titan
Ключ Titan чудово працює у додатках Google (знову ж таки, лише на моєму ПК); однак він працює лише з браузером Google Chrome. Коли я спробував увійти в Google Mail, Документи чи Листи на новому пристрої або навіть після очищення історії веб-переглядача, мене “попросили” ввести мій пароль. Згодом мене зустрів другий бар’єр оборони.
Єдиний спосіб пройти через цю наступну стіну – вставити мій USB-ключ у USB-порт на комп’ютері, а потім пальцем торкнутися маленького золотого круга на ключі. І ніхто не може отримати доступ до моїх таємних розробок (включаючи, на той час, проект цієї статті), якщо вони не наважуються вирвати гаджет з моїх рук, я можу бути впевненим, що навіть ті люди, яким вдасться відгадати мій пароль, будуть заблоковані .
Зауважте, що USB-ключ – це не зчитувач відбитків пальців, тому кожен, хто може отримати доступ до ключа, може натиснути його та зламати цю додаткову стінку безпеки. Отже, дуже важливо зберігати USB-ключ десь там, де його ніхто, крім Вас, не може знайти. Витягати його з комп’ютера потрібно після кожного використання, якщо ви не працюєте лише вдома. Також вам буде потрібно знайти безпечне місце для його зберігання. Однак це – порівняно невелика вимога для помітного підвищення рівня безпеки.
Google Titan та соціальні медіа
Хоча Titan Key сумісний із низкою програм поза сферою Google, я вирішив випробувати його в соціальних мережах, оскільки навіть непрофесіонали часто відвідують ці сайти, і я часто користуюся Twitter і Facebook.
Напевно, нікого не здивувало, що Facebook залишається найбільш вразливим сервісом. У перший день за допомогою апаратного ключа я додав ключ безпеки для Facebook, але мені ніколи не було запропоновано увійти на сайт за допомогою ключа після очищення історії мого браузера або входу в систему на іншому комп’ютері який я не завжди використовую. Отже, я знову переглянув свої налаштування конфіденційності, але не зміг знайти спосіб зареєструвати ключ.
Із Twitter все пройшло трохи краще. Після відносно легкої реєстрації мого облікового запису за допомогою двохфакторної аутентифікації та мого ключа Titan, я очистив історію свого браузера і спробував увійти. Після введення пароля мене дійсно “зустріли” з проханням торкнутися мого ключа, щоб продовжити. Я можу бути впевнений, що із мого облікового запису не буде жодних чужих твітів.
Використання мобільного браузера було іншою історією. Коли я спробував увійти в Twitter через браузер Safari на своєму телефоні, там було повідомлення, що браузер не підтримує ключі безпеки. Отже, я знову був змушений завантажити Google Chrome (Safari завжди добре працював як мобільний браузер для мене); однак я зіткнувся з тим же повідомленням про помилку. Тому я більше не можу увійти до свого акаунта Twitter на своєму телефоні, якщо не користуюся мобільним додатком Twitter.
Google: Ключ безпеки – продавець, який перетворився на клієнта
У 2009 році Google співпрацював з YubiKey Yubico, щоб розробити для криптографії відкритий публічний ключ. Дві фірми співпрацювали над “потужним протоколом аутентифікації, що базується на концепції єдиного ключа, який не піддається підбору, для забезпечення всіх послуг”, за словами Yubico, який згодом буде прийнятий Альянсом FIDO як стандарт FIDO Universal 2nd Factor (U2F). До 2012 року Google працював з Yubico та NXP Semiconductors над розробкою та розгортанням ключів.
У 2016 році, після двох років аналізу інших заходів безпеки, таких як одноразові паролі (OTPS) та сертифікати TLS, Google прийняв YubiKey як стандарт для “всього персоналу та підрядників для безпечного входу в комп’ютер та на віддалені сервери, охопивши понад 70 000 співробітників на сьогодні”. з такими результатами:
У жовтні 2017 року компанія Google запустила свою програму розширеного захисту, спрямовану на користувачів з високими ризиками. Програма використовує апаратний ключ FIDO U2F, необхідний для входу в облікові записи Google.
Тепер Google готовий взяти на себе задачі та проекти свого колишнього постачальника – за допомогою ключа безпеки Titan, ключа безпеки FIDO, який постачається із вбудованим апаратним чіпом, на якому працює прошивка Google. Крістіан Бранд, менеджер продуктів Google Cloud, далі пояснив міркування представників компанії у своєму блозі, називаючи ключі безпеки на основі FIDO як “найсильніший, найбільш стійкий до фішингу другий фактор аутентифікації на ринку сьогодні”. Крістіан Бранд також цитує доповідь Verizon про безпеку за 2018 рік, де виявилося, що 41,6 відсотків витоків інформації за 12-місячний період, пов’язаних з ними, були наслідком викрадених паролів, фішингу та видавання себе за інших осіб.
Чи потрібен Вам ключ Google Titan?
Один з найбільших аргументів для отримання ключа Titan – це Dаша професія. Коли я запитав Крістіана Бранда з Google, які користувачі є ключовою групою для продукта цілі, він відповів: “Це будь-який користувач, який відчуває особливу небезпеку, можливо, через своє становище або свою приналежність, журналісти, які займаються особливо чутливою історією, можливо, дисидентами чи політичними лідерами, або хтось насправді відчуває, що їм потрібен цей сучасний захист у мережі “.
Професіонали, такі як ІТ-адміністратори, бізнес-лідери, журналісти чи політики, – найбільш ймовірні кандидатури для користування ключами Titan. Але кожен, хто хоче захистити свої дані, може отримати вигоду і повинен розглянути цей продукт. Також рішення, купувати чи не купувати ключ, залежить від того, які програми ви використовуєте. Якщо ви користуєтеся популярними програмами, які підтримують ключі – такими як Salesforce, Dropbox, Twitter і особливо додатками Google для продуктивності – навіть для не дуже підпільних заходів – комфортно мати вічний бонусний рівень безпеки за одноразову вартість у 50 доларів.
Однак якщо ви не використовуєте жодного з підтримуваних додатків, швидше за все, не варто витрачати час, поки більше сервісів не будуть нормально підтримувати ключі безпеки. Але якщо у вас є зайві 50 доларів, ключі – легка та безтурботна річ, щоб не бути тягарем ні для кого, окрім хакерів та інших нудних людей, які шукають доступ до ваших акаунтів.
Якщо Ви на роботі підписали якісь конфіденційні угоди, цей простий у користуванні ключ може переконати Вас, що вони залишаються конфіденційними, врятувавши вас від підозр у тому, що Ви стали джерелом неприємного витоку. І якщо Ви просто хочете переконатися, що ніхто не гуляє навколо ваших облікових записів соціальних медіа та електронної пошти, ключ Titan має значення – тільки не для Facebook (але наскільки Ви справді очікуєте, що це все-таки буде безпечно?).
Комплект ключів Titan Security від Google надається з однорічною обмеженою гарантією і доступний через Google Store. Ви можете дізнатися більше про те, як це працює, на сторінці продукту Google.
В помічнику Siri Apple надала користувачам можливість видалити власні розмови, які випадково або спеціально записала Siri. Як саме – читайте інструкцію.
Також вперше у підсистемі WSL2 (Windows для Linux версії 2), можна налаштовувати глобальні параметри для всіх встановлених дистрибутивів на системі Windows 10.
