На конференции Google Cloud Next ’18 в Сан-Франциско разработчики Google представили USB-ключи Titan Security Key, которые можно будет использовать как аппаратное решение для двухфакторной аутентификации.

О том, что использовать SMS-сообщения для осуществления двухфакторной аутентификации нежелательно и зачастую небезопасности, специалисты предупреждают уже давно. Например, эксперты Национального института стандартов и технологий США говорят об этой проблеме как минимум с 2016 года. К тому же, доступ к SMS-сообщениям может иметь разнообразная малварь (чем обычно и пользуются банковские трояны) и MITM-атакующие. Но даже если не принимать во внимание такие риски, ИБ-специалисты уже не раз доказывали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.

Компания Google уже заявляла о своих планах по отказу от двухфакторной аутентификации посредством SMS. Теперь представители Google рассказали, что более 85 000 сотрудников компании на протяжении нескольких месяцев используют специальные аппаратные ключи, и никто из них за все это время не стал жертвой фишеров.

Так как этап тестирования внутри компании теперь можно считать пройденным, разработчики Google представили решения Titan Security Key публике. Принцип работы USB-ключей Google аналогичен хорошо известным на рынке Yubikey компании Yubico. Они так же работают с протоколом U2F, который поддерживает FIDO Alliance, но будут содержать прошивку созданную самими инженерами Google, которая будет использоваться для подтверждения целостности ключей на аппаратном уровне. Ожидается, что как и другие U2F-решения, ключи будут работать с такими сервисами, как Google, Dropbox, Facebook, Github и основными браузерами (Chrome, Firefox, и Opera).

Устройства Titan Security Key будут доступны в двух вариантах: USB и Bluetooth. В настоящее время аппаратные ключи уже доступны клиентам Google Cloud, но вскоре приобрести их через Google Store сможет любой желающий. Точная стоимость устройств пока неизвестна, но сообщается, что, вероятнее всего, ценник не будет превышать 20-25 долларов США.

7 комментариев

  1. svaxster

    28.07.2018 at 11:18

    Opera — это основной браузер?

    • Hackcat

      02.08.2018 at 11:24

      Боюсь, что так. Лично я его юзаю как самый неглючный браузер. А кто внизу пишет про вытягивание системной инфы — даже тор часть из этого не скрывает. Хочешь нормальный впн — запили сам, благо на ][ уже была такая статья

  2. binary-51

    28.07.2018 at 12:28

    Opera — браузер для гиков, мне лично нравятся в нём такие функции, как встроенный VPN (опционально) и некоторые плагины, как например LastPass. Последнему я доверяю далеко не все свои пароли ).
    что касается статьи, я что-то давно не слышал про фундаментальные уязвимости в USB (просветите, кто в курсе новостей), а уж про уязвимости Bluetooth не читал только ленивый. Коих среди читателей «Хакера»
    нету надеюсь. Так что то, как долго эти аппаратные ключи останутся невзломанными, это пока вопрос интереса со стороны энтузиастов хака. Ну или конкурентов Google.

    • falcon4fun

      28.07.2018 at 13:31

      Opera перестала быть браузером для гиков году в 2012, когда перешла на хромодвиг :рукалицо:

  3. Владиславище

    28.07.2018 at 20:19

    В опере нет VPN, и об этом писали. Есть Socks или Прокси — а это, далеко не VPN… И так проверяем. Заходим в Opera, создать приватное окно, выбираем вкл VPN. А теперь заходим допустим на https://2ip.ru/privacy/ или https://whoer.net/ru — и любуемся. Реального VPN — нет, все знают, включены ли Flash и Java на вашем компьютере, каковы его языковые и системные настройки, какая установлена ОС и браузер, определит DNS и многое другое.

    • Lynx

      30.07.2018 at 17:13

      Даже когда есть реальный VPN, все равно «все знают, включены ли Flash и Java на вашем компьютере, каковы его языковые и системные настройки, какая установлена ОС и браузер, определит DNS и многое другое.»

Оставить мнение