谷歌曾吹嘘说,自2017年初以来,Yubico的Yubikey等安全密钥保护了其所有8.5万名员工,使他们免受每一次钓鱼攻击。Titan安全密钥降低了攻击者使用窃取的凭证访问用户帐户的风险,因为安全密钥也需要登录。
谷歌表示,它开发固件是为了验证第二个因素登录的完整性,第二个因素使用加密技术确保您登录到您注册的密钥所在的站点,并验证密钥是否正确。由于密钥不依赖于一次性代码,无论是由应用程序生成的还是通过短信发送的,攻击者猜测或拦截它们的机会也更小。
谷歌设计的密钥最初提供给谷歌云客户,然后将通过谷歌商店出售。
谷歌在昨天于旧金山举行的谷歌Cloud Next会议上透露了这一关键技术。
ZDNet的姊妹站点CNET对谷歌的Titan密钥进行了简短的体验,并指出它将有USB和蓝牙两种,这两种都将在未来几个月的谷歌商店中提供。
用户可以花50美元购买一个带有USB和蓝牙版本的包,也可以单独花20到25美元购买。
参见:你被攻破了:在未来48小时内采取的8个步骤(免费PDF)
在此之前,谷歌曾将Yubikey作为第二因素身份验证的关键字,但现在该公司的Titan将提供一个替代方案。与谷歌的Titan不同,Yubikey的安全密钥不支持蓝牙,但支持USB-A、USB-C和NFC。
Yubikey在最近的一篇博客中给出了不支持蓝牙的理由,指出蓝牙设备需要电池,而它必须通过的认证对它来说是太大的障碍。
除此之外,包括苹果(Apple)、高通(Qualcomm)和英特尔(Intel)在内的多家科技公司目前都在修复一个重要的蓝牙漏洞,该漏洞是由一些供应商实施加密密钥交换的验证问题引起的,当两台设备配对时,这个验证问题可能会导致中间人攻击。
谷歌的一名代表告诉CNET,他们并不打算与Yubico或其他安全密钥制造商竞争,只是为客户提供更多的选择。
谷歌的信息安全产品管理总监Sam Srinivas说:“Titan密钥是专门为那些需要安全密钥并信任谷歌的客户设计的。
谷歌cloud的产品管理总监Jennifer Lin在一篇博客文章中写道:“我们一直提倡使用安全密钥作为高价值用户(尤其是云管理员)最强大、最抗钓鱼的认证因素,以防止证书盗窃的潜在破坏性后果。”
相关:网络安全战略研究:常用策略、实施问题和有效性(Tech Pro研究)
“泰坦安全密钥给您更多的安心,您的帐户受到保护,从谷歌的物理密钥的完整性的保证。”
Titan安全密钥符合FIDO的U2F规范。FIDO是为新的W3C网络认证标准做出贡献的组织,该标准使用安全密钥、电话和生物识别技术通过Chrome、Edge和Firefox登录网站。
谷歌开启了泰坦的安全:这里是芯片如何对抗硬件后门
谷歌已经解释了它的新泰坦芯片如何处理国家使用的类型的威胁。
谷歌的新Gmail安全:如果你是一个高价值的目标,你将使用物理密钥
谷歌将推出一项新服务,以保护政客和高管免受复杂的网络钓鱼攻击。
自2017年以来,谷歌如何阻止8.5万名员工被捕捞(TechRepublic)
对于谷歌和其他大型站点来说,物理安全密钥代替密码已经被证明是有效的。
谷歌使Titan密钥加强您的在线安全(CNET)
主键警告:这是抵御黑客和小偷的另一条防线。