Google begräbt Yubico und bringt physische Sicherheitsschlüssel für USB-C
Nach der Einführung des Titan Key im vergangenen Jahr ist Google mit einer neuen Version seines Zwei-Faktor-Sicherheitsdongles mit USB-C zurückgekehrt. Die Inspiration für den Titan Key kam von einem Google-Mandat im Jahr 2017, wonach alle 85.000 Mitarbeiter des Unternehmens ein physisches Zwei-Faktor-Sicherheitsgerät verwenden müssen, um sich bei allen Konten anzumelden.
Sobald das System implementiert wurde, behauptet Google, dass nicht ein einziges Mitarbeiterkonto gehackt wurde, auch nicht nach mehr als einem Jahr. Danach beschloss Google, einen eigenen Sicherheitsdongle herzustellen und an die Öffentlichkeit zu verkaufen.
Das Hinzufügen einer USB-C-Variante zur Titan-Key-Linie macht eine Menge Sinn – Google’s bisherige Angebote waren auf einen Standard USB-A-Dongle und eine Bluetooth-Version mit einem Mikro-USB-Anschluss beschränkt. Das bedeutete, obwohl Googles Titan-Schlüssel Windows, Android, iOS und macOS unterstützt, konnten Sie die älteren Titan-Schlüssel nicht ohne Adapter in eine Reihe von Handys oder moderne MacBooks und iPads stecken.
Im Gegensatz zu den Vorgängermodellen bietet der neue USB-C Titan Key jedoch keine Unterstützung für NFC wie die beiden anderen Modelle, was wie eine seltsame Auslassung wirkt. Aber abgesehen davon, betrachten Sie immer noch die gleiche Liste von Funktionen wie die FIDO-Zertifizierung und einen darin integrierten Google Titan-Sicherheitschip.
Googles neuer USB-C Titan Key wird in Partnerschaft mit Yubico- hergestellt, das auch eine eigene Linie von Zwei-Faktor-Authentifizierungsdongles herstellt – und sogar potenziell signalisiert, dass Meinungsverschiedenheiten zwischen den beiden Unternehmen über die Sicherheit des Bluetooth-Protokolls ausgeräumt wurden. Allerdings bieten die YubiKey-Produkte von Yubico dank eines Modells mit Apple Lightning-Port und Unterstützung des WebAuthn-Protokolls eine etwas größere Kompatibilität.
Letztes Jahr behauptete Yubico, dass es erforscht hatte, Bluetooth-Unterstützung zu seinen Sicherheitsschlüsselprodukten hinzuzufügen und sogar zur Entwicklung des BLE U2F-Standards beigetragen hatte, nur um am Ende diese Idee zu verkünden: „BLE bietet nicht die Sicherheitsstufen von NFC und USB, und benötigt Batterien und Paare, die eine schlechte Benutzererfahrung bieten“. Die Meinungsverschiedenheiten über die Sicherheitsauswirkungen der Bluetooth-Kompatibilität in Sicherheitsschlüsseln folgten einer Testphase, in der Google intern an seinem Advanced Protection Plan arbeitete und seinen Mitarbeitern Yubico-Geräte für Sicherheitszwecke zur Verfügung stellte.
Dies erwies sich später als eine kluge Entscheidung von Yubico, da der erste Durchlauf der Titan Keys von Google falsch konfigurierte Bluetooth-Pairing-Einstellungen enthielt, die es einem potenziellen Hacker ermöglichten, sich zum Zeitpunkt der Verwendung Zugang zum Gerät zu verschaffen, solange er sich in Reichweite befand (etwa 30 Fuß). Dieser Missbrauch wurde später in späteren Überarbeitungen behoben, wobei Google kostenlosen Ersatz für die betroffenen T1- oder T2 Titan Key-Modelle anbietet.
Der USB-C Titan Key wird morgen im Google Store für 40 Dollar verkauft. Alternativ trennt Google auch sein bisheriges $50 Titan Key Bundle, so dass Sie den USB-A Titan Key für $25 kaufen können, während das Bluetooth-Modell für $35 erhältlich ist.