家评论 Google titan安全密钥捆绑包审查和评级

Google titan安全密钥捆绑包审查和评级

2024

视频: ПРИВЕТ СОСЕД Альфа 1 СОСЕД ХОЧЕТ ПОСПАТЬ В МОЕЙ КРОВАТИ прохождение игры Hello Neighbor Alpha 1 (十月 2024)

事实证明，人们实际上在创建和记住密码方面非常糟糕，并且在发明新方法以闯入受密码保护的系统方面非常出色。 Google旨在通过其Titan安全密钥捆绑包解决至少其中一个问题。该产品由两台设备组成，如果使用正确，则需要输入密码和物理密钥才能登录网站或服务，从而使不法之徒很难进入您的在线帐户。

这个怎么运作

输入密码后，两因素身份验证（2FA）不仅仅是第二步-尽管在实践中通常是这样。相反，2FA从三种可能性的列表中结合了两种不同的身份验证机制（即因素）：

你知道的
您有的东西，或
就是你

例如，密码就是您所知道的。从理论上讲，它仅应存在于您的脑海中（或安全地存在于密码管理器中）。生物特征认证（例如指纹扫描，视网膜扫描，心脏签名等）被视为您的身份。泰坦安全锁和类似的产品随处可见。

攻击者可能会从远处获取您的密码，方法可能是在数据泄露的密码列表中查找该密码，或者发送诱骗您上交密码的网络钓鱼电子邮件。但是对于2FA，同一位攻击者将不得不以某种方式亲自找到您，并窃取您的Titan密钥（或指纹）以及密码。可以做到，但是要困难得多，它可以保护您免受依赖于泄露或容易猜测的密码的绝大多数攻击。

还有很多其他方法可以使2FA提供保护。签名以通过SMS接收一次性密码是最常见的方法，但是使用Google Authenticator和Duo等服务是不需要接收SMS消息的流行选择。

但是手机可能会被盗，而SIM卡插孔显然是我们现在需要担心的事情。这就是为什么像Titan键这样的物理设备如此吸引人的原因。它们简单可靠，并且Google发现在内部部署它们完全可以消除网络钓鱼攻击和帐户接管。

盒子里装了什么？

Titan安全密钥捆绑包内部不是一种设备，而是两种设备：细长的USB密钥和蓝牙供电的钥匙扣。两者均采用光滑的白色塑料浇铸而成，给人以愉悦，坚固的感觉。特别是当将USB钥匙放在桌子上时，它会发出非常令人满意的声音。我已经为此做过好几次了。

蓝牙钥匙有一个按钮，以及三个LED指示灯，用于显示身份验证，蓝牙连接以及正在充电或需要充电。底部的单个微型USB端口用于为蓝牙钥匙充电和/或将蓝牙钥匙连接到计算机。 USB密钥是扁平的，一侧有一个金盘，可以检测到您的点击并完成身份验证。 USB钥匙设备没有活动部件，不需要电池。根据Google的说法，这两种设备都是防水的，因此您可能希望将它们放在游泳池外面。

两者都打算放在钥匙扣上，并放在您的人身上（或放在身边），这意味着漂亮的白色表面可能会带来责任。在钥匙圈上嘎嘎作响肯定会在原始的Titan设备上造成明显的磨损。我使用Yubico YubiKey 4已有好几年了，尽管它是用黑色塑料铸造的，但看起来已经很旧了。在我短时间测试Titan按键时，USB-A连接器已经开始看起来有些刮擦。

包装盒中还提供了一些时尚的设计（如果有些含糊）的说明，以及微型USB到USB-A电缆以及USB-C到USB-A适配器。 Micro USB为Titan蓝牙钥匙充电，与USB钥匙不同，它可能会耗尽。充电时，电池指示灯会闪烁红色。 Titan USB钥匙（如YubiKey）不需要电池。您还可以使用微型USB适配器将您的蓝牙密钥连接到计算机，在该计算机上，其功能与Titan USB密钥相同。

蓝牙和USB-A密钥均符合FIDO通用两因素标准（U2F）。这意味着它们可以用作2FA选件，而无需其他软件。这是Titan密钥支持的唯一协议，这意味着它们不能用于其他身份验证目的。

泰坦（Titan）钥匙首次发布时，一名记者发现，至少蓝牙钥匙的组件来自中国制造商。 Google向我确认，该公司与第三方签约以生产符合公司规格的密钥。考虑到中国被指控对美国机构进行数字攻击，安全界中的一些人将此视为潜在风险。但是，在我看来，如果您不信任Google对其硬件合作伙伴进行适当的审查，那么您可能根本就不信任Google来使用其安全产品，因此您应该将目光投向其他地方。

转动钥匙

在使用Titan键之前，必须先向支持FIDO U2F的站点或服务注册它们。谷歌显然做到了，但Dropbox，Facebook，GitHub，Twitter等也是如此。由于Titan键是Google的产品，因此我首先进行设置以保护Google帐户的安全。

使用您的Google帐户设置Titan键非常简单。转到Google的2FA页面，或访问您的Google帐户安全选项。向下滚动至“添加安全密钥”，单击，站点提示您插入并点击安全USB密钥。而已！注册蓝牙密钥仅需要通过随附的微型USB电缆将其连接到计算机的附加步骤。

注册后，我便登录了我的Google帐户。输入密码后，系统提示我插入并点击我的安全密钥。将USB闪存盘插入端口会提示绿色LED闪烁一次。当系统提示您轻按按键时，LED指示灯会稳定发光。

当我使用从未使用过2FA的新帐户进行测试时，Google首先要求我设置SMS一次性密码。您可以根据需要删除SMS代码，但是要加入Google的2FA程序，您至少必须使用SMS代码，Google身份验证器应用程序或发送到设备的Google身份验证推送通知。这是您选择的任何其他2FA选项的补充。请注意，Google Titan密钥不需要SMS或任何其他服务即可运行，但是许多服务（包括Twitter）鼓励您验证电话号码，以证明自己是真实的人。

如果选择多个2FA选项，则可以选择在给定方案中适用的选项。如果您丢失了密钥或电话中断，最好有一种备用的身份验证方法。 SMS通知很好，但是我也使用纸质钥匙，这是一系列一次性使用的代码。这些代码得到了广泛的支持，可以记录下来或以数字方式存储（但希望可以加密！）。但是，我确实注意到，在我注册Titan钥匙后，要更改2FA设置，只有它并通过Google应用程序将通知推送到我的手机才是可接受的身份验证器。

根据包装盒上的信息，Titan键和Bluetooth键都与NFC兼容，但是我无法让它们那样工作。当提示您在我的Android手机上使用2FA设备时，我按照说明进行操作，并在手机背面拍了一下钥匙，但无济于事。 Google向我证实这些设备具有NFC功能，但是在接下来的几个月中，将对该Android设备增加支持。

使用蓝牙密钥在Android设备上登录我的Google帐户时，我没有遇到任何麻烦。同样，在输入密码后，系统提示我输入密钥。屏幕底部的一个选项使我可以使用NFC，USB或蓝牙身份验证器进行选择。第一次选择蓝牙时，系统会提示我将蓝牙钥匙与手机配对。尽管我确实必须在蓝牙钥匙的背面输入序列号，但大多数操作是由Google自动处理的。以这种方式注册设备只需要完成一次；每隔一次，您只需要单击Bluetooth键的按钮即可进行身份验证。有趣的是，我没有在手机的最新蓝牙设备列表中看到蓝牙密钥，但是它仍然可以正常工作。

只是出于麻烦，我还尝试使用附带的USB-C适配器和USB安全密钥登录。它像魅力一样运作。

除了2FA登录方案外，Google还为可能遭受攻击的个人提供高级保护计划。我没有在测试中试用Advanced Protection，但是它特别需要两个安全密钥设备，因此Titan Security Key Bundle也可以使用此登录方案。

Titan键应与任何支持FIDO U2F的服务一起使用。 Twitter就是这样一个例子，我毫不费力地在Twitter上注册了Titan USB密钥，或以后使用它登录。

Google Titan安全密钥如何比较

与Titan安全密钥相比，硬件身份验证设备的列表越来越多，但是行业领导者可能是Yubico的YubiKey产品系列。这些几乎与Titan USB-A钥匙完全相同：纤细，坚固的塑料，设计成可坐在钥匙圈上，钥匙圈上有一个绿色的小LED和一个金色的盘片，没有任何活动部件，可记录您的触摸。

尽管Yubico没有提供类似Titan蓝牙钥匙的功能，但确实有几种不同的外形尺寸可供选择。例如，YubiKey 4系列具有两个大小与Titan USB密钥相当的密钥：YubiKey 4和YubiKey NEO，后者具有NFC功能。 Yubico还提供USB-C钥匙，可与具有该特定端口的任何设备一起使用，而无需适配器。

如果不是您喜欢的钥匙，则可以选择YubiKey 4 Nano或其USB-C兄弟产品YubiKey 4C Nano。纳米风格的设备要小得多，只有12mm x 13mm，并且设计成可嵌套在设备端口内。

上面所有的YubiKey 4设备的价格都在40到60美元之间，而这只是一把钥匙。但是，这些都是多协议设备，这意味着您不仅可以将它们用作FIDO U2F设备，而且还可以替换智能卡以用于计算机登录，加密签名以及一系列其他功能。其中一些可通过Yubico提供的可选客户端软件获得。这使您可以更改YubiKey的功能以及其行为方式，从而确保可以使任何安全性赞叹不已。 Titan密钥仅支持U2F和W3C WebAuthn标准，并且没有关联的客户端软件来更改其功能。

价格最便宜的YubiKey也是功能上似乎最接近Google Titan的那个。 Yubico的蓝色安全密钥在任何接受U2F的地方都可以使用，但不支持YubiKey 4系列等其他协议。它还支持FIDO2协议。它没有在Google Titan捆绑包中包含蓝牙密钥，但价格仅为20美元，不到一半。

尽管Yubico的产品至少具有与Titan钥匙一样的技术能力和耐用性，但该公司的弱点一直在解释其哪些钥匙在做什么以及在哪里得到支持。尤比科（Yubico）网站上有几张令人眼花with乱的图表，里面充斥着首字母缩写词，甚至连我的眼睛都看不清。另一方面，Titan键则具有几乎类似于Apple的简洁性和开箱即用的可用性。

也有2FA的软件解决方案。我已经提到了Duo，Google和Twilio Authy都通过应用程序提供了一次性代码，LastPass也通过专用应用程序提供了一次性代码。软件身份验证器很有用，如果您始终可以随身携带手机，可能会更方便。但是，诸如Titan键之类的硬件2FA设备比电话更耐用，永远不会断电，只需要轻按一下即可输入应用程序生成的一次性代码。尽管如今手机非常安全，但硬件密钥也比手机上的应用程序更难以攻击。最后，在硬件或软件2FA解决方案之间进行选择很可能取决于个人喜好。

支持问题

尽管名称如此，但FIDO通用两要素标准支持远非通用。要将Titan键与您的Google或Twitter帐户一起使用，您需要通过Chrome登录。暂时没有Firefox的运气。当我在Twitter上使用Titan键时，情况也是如此。

我多年来一直使用YubiKey保护我的LastPass帐户，但很惊讶地发现我选择的密码管理器不支持Titan密钥。即使使用我的YubiKey，我也只能通过Chrome将其用作我的Google帐户的第二因素身份验证器。

开发人员和FIDO背后的人员需要更加紧密地合作，以便为Titan，YubiKey和U2F带来更广泛的支持。例如，我尚未找到接受硬件2FA的银行。尝试为服务注册您的安全密钥，却发现您使用的是错误的浏览器，或者该服务不支持此特定的安全密钥，这令人沮丧。如果没有更广泛的支持，这些设备将不会被大量使用，并且可能会使更多的人迷惑而不是帮助。