Atualmente, mais do que nunca, organizações e prestadores de serviços estão incentivando o uso de métodos mais avançados para garantir a segurança de suas contas. As chaves de segurança, como as YubiKeys, têm sido utilizadas há algum tempo. Agora, o Google está lançando no mercado a Chave de Segurança Titan.
Por $50, você recebe um pacote contendo uma chave USB-A e uma chave Bluetooth. Embora não seja a escolha mais econômica, o Google pretende se destacar com um software de verificação exclusivo.
O Google introduziu o Titan como uma opção física para autenticação de dois fatores, que é uma alternativa aos métodos convencionais de receber códigos por mensagem de texto ou por meio de um aplicativo de autenticação próprio.
O Titan Security Key, com sua camada adicional de segurança e certificação da Google, tem um valor de $50?
Titan se assemelha a um dispositivo de segurança.
O aparelho se assemelha a uma chave de segurança convencional, o que não é necessariamente ruim. No entanto, a escolha de colocar os portos nas chaves parece ser uma decisão peculiar.
Tanto as chaves USB-A quanto as Bluetooth possuem NFC integrado, mas essa função ainda não está ativa. É esperado que seja ativada quando o Google lançar seus novos dispositivos Pixel. Embora o Titan não seja compatível com dispositivos iOS, a Apple tem expandido as capacidades NFC do iPhone em atualizações recentes, então essa situação pode mudar no futuro.
A chave USB-A é compatível com a maioria dos laptops, e um adaptador USB-A-to-USB-C está incluso na embalagem, sendo útil para usuários de MacBook ou MacBook Pro. A versão Bluetooth da chave possui uma micro porta USB para recarga, porém seria mais lógico se o Google tivesse optado por uma porta USB-C para carregamento rápido, considerando a sua preferência por essa tecnologia.
É como se os responsáveis pelo desenvolvimento do Titan Security Key não tivessem se comunicado com a equipe de hardware principal do Google. As diferenças nas opções de conectores são confusas e podem levar os usuários com dispositivos USB-C a procurarem por alternativas em vez disso.
Problemas com as portas laterais, estas são as fechaduras de segurança de plástico comuns que são lacradas e parecem ser bastante resistentes. Já as deixei cair algumas vezes e não se quebraram. Os usuários podem ficar tranquilos ao fixar qualquer uma delas ao lado de suas chaves. Notei que o Bluetooth tem um acabamento brilhante mais suscetível a arranhões, enquanto a chave USB-A possui um acabamento fosco mais resistente. Embora não seja exatamente um problema, uma abordagem de design mais consistente teria sido mais bem-vinda.
Uma maneira básica de configurar contas do Google
Conectar uma das chaves de segurança do Titan a uma conta do Google é simples. Embora seja vantajoso, nem todos os serviços são do Google, e a empresa não tem controle sobre como outros serviços FIDO (Identidade Rápida Online) lidam com a configuração.
Para configurar por meio da sua Conta do Google, acesse g.co/securitykey e descubra que é necessário ter a verificação em duas etapas (também conhecida como 2FA) antes de prosseguir. Isso implica que será necessário ter um número de telefone ou um aplicativo de autenticação vinculado à conta. Em seguida, será possível adicionar uma chave de segurança.
Basta conectar a chave ao seu computador, utilizando um cabo micro-USB para isso. Em seguida, pressione o botão dourado com o símbolo WiFi no modelo USB-A ou o botão branco na chave Bluetooth para iniciar o processo de emparelhamento. Depois de emparelhadas, as Chaves de Segurança do Titan serão vinculadas à sua conta.
O Google diz que as chaves devem estar vinculadas ao Programa de Proteção Avançada, mas eu não concordo com essa afirmação. O APP é a medida de segurança mais robusta da empresa e exige um autenticador físico, eliminando a autenticação por SMS e o uso do aplicativo autenticador.
Paráfrase do texto: Um aviso importante: ativar o Programa de Proteção Avançada resultará no login em todas as sessões. Embora isso seja feito para proteger sua conta, pode ser um incômodo. Para acessar novamente após esse processo, será necessário utilizar a chave de entrada. A decisão final depende da preferência individual, mas vamos verificar se o Google implementa o requisito do APP. Até lá, a autenticação em duas etapas também está disponível.
Combinar o protocolo FIDO com uma etapa de autenticação adicional.
O Google oferece um molho especial junto com a chave, que consiste em uma camada adicional de segurança. A empresa desenvolveu um firmware criptográfico que está armazenado em um chip de elemento seguro presente em ambas as chaves. Esse chip é inviolável e não pode ser alterado após a selagem da chave.
O firmware tem a função de analisar a URL de acesso para manter a segurança dos códigos privados, evitando que sejam expostos em caso de tentativas de phishing. Isso impede que os usuários acessem páginas falsas que se passam por sites legítimos, proporcionando assim maior tranquilidade.
O Google está se destacando ao seguir o padrão FIDO para autenticação de dois fatores. Recentemente, examinei o YubiKey Neo, que também é compatível com esse padrão, e a experiência foi parecida. No entanto, ainda são poucos os serviços que oferecem suporte à FIDO.
Eu possuo a chave de segurança Titan funcionando com Facebook, LastPass, Dropbox e Google, entre outros. Embora tenha funcionado bem com esses serviços, ainda é um desafio conseguir mais suporte para a FIDO. Grandes empresas de segurança estão limitadas em sua capacidade de incentivar terceiros a adotar esse padrão.
Existem opções de segurança mais eficazes para adquirir.
Existem várias características positivas do Google Titan. A instalação é extremamente fácil e é compatível com a maioria dos dispositivos USB-A ou Bluetooth. No entanto, a compatibilidade com NFC parece estar ausente no lançamento e o Programa de Proteção Avançada pode ser intimidante de usar.
O principal problema é que o preço de $50 não é acessível para a maioria das pessoas, mesmo para a compra de duas chaves. Eu imaginava que o Titan do Google seria mais barato quando foi lançado no mercado. Atualmente, é possível adquirir outras chaves de segurança da Yubico por um preço menor.
Em troca de $50 e com uma lista limitada de serviços FIDO, o Titan não apresenta características distintas em comparação com outros autenticadores físicos. Não há defeitos evidentes no Titan, no entanto, também não há muitos motivos para recomendá-lo. Em resumo, o nome é inadequado para descrever o produto.
Assuntos abordados incluem segurança na internet, suporte técnico do Google para computadores e feedback dos usuários.