Googlova phishing obramba na voljo tudi običajnim smrtnikom

Dare Hriberšek

30. avg 2018 ob 23:43:28

Google je pred časom razkril, kako imajo v podjetju poskrbljeno za obrambo zaposlenih pred phishing napadi na njihove uporabniške račune. Zdaj je Titan Security Key prišel tudi v prosto prodajo, te dni ga je moč za 50 dolarjev naročiti v ZDA, kmalu pa naj bi bil na voljo globalno.

Gre za ključek, izdelan po odprtih FIDO standardih, sestavljen je iz dveh fizičnih delov - USB enote in Bluetooth enote, ki skupaj omogočata dvostopenjsko avtentikacijo. Taka metoda U2F (Universal 2nd Factor) velja za precej bolj zanesljivo, kot pa denimo tista s potrditvenim SMSom, ki ga je moč prestreči. Ima pa seveda tudi to slabo lastnost, da gre za fizično napravo, ki jo imetnik lahko izgubi.

Oba dela ključka se med sabo namesto s statično kodo, seznanjata s pomočjo kriptografskega podpisa, ki ga vmes preveri še spletna storitev. Da bi preprečili ekstrakcijo vsebine ključka, je firmware trajno zapečaten v strojno opremo že med samim proizvodnim procesom, kjer čipi nastajajo.

Ključek so v družbi Yubico razvili posebej za Google, programski del pa je celo kar delo Googlovih inženirjev. Tam so ga začeli uporabljati pred osmimi meseci, pred mesecem dni pa so ga začeli razdeljevati tudi ameriškim uporabnikom Google Clouda. Trenutno je podpora U2F še bolj v povojih, a napravo je že moč uporabiti pri prijavi v Google, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter in še nekatere druge storitve, ki podpirajo FIDO standarde.