Ulasan & peringkat bundel kunci keamanan Google titan

Ternyata orang-orang sebenarnya sangat buruk dalam membuat dan mengingat kata sandi, dan sangat pandai menciptakan cara-cara baru untuk masuk ke sistem yang dilindungi kata sandi. Google bertujuan untuk menyelesaikan setidaknya satu dari masalah tersebut dengan bundel Kunci Keamanan Titan-nya. Produk ini terdiri dari dua perangkat yang, jika digunakan dengan benar, membuat orang jahat jauh lebih sulit untuk membobol akun online Anda dengan memerlukan kata sandi dan kunci fisik untuk masuk ke situs web atau layanan.

Bagaimana itu bekerja

Otentikasi dua faktor (2FA) bukan hanya langkah kedua setelah memasukkan kata sandi - meskipun ini sering terjadi dalam praktiknya. Sebaliknya, 2FA menggabungkan dua mekanisme otentikasi yang berbeda (yaitu, faktor) dari daftar tiga kemungkinan:

• Sesuatu yang kamu tahu,
• Sesuatu yang Anda miliki, atau
• Sesuatu dirimu.

Kata sandi, misalnya, adalah sesuatu yang Anda ketahui . Secara teori seharusnya hanya ada di kepala Anda (atau aman di dalam pengelola kata sandi). Otentikasi biometrik - seperti pemindaian sidik jari, pemindaian retina, tanda tangan jantung, dan sebagainya - dihitung sebagai sesuatu yang Anda miliki . Kunci Keamanan Titan dan produk seperti itu adalah sesuatu yang Anda miliki .

Seorang penyerang bisa mendapatkan kata sandi Anda dari kejauhan, mungkin dengan mencari pada daftar kata sandi dari pelanggaran data atau dengan mengirim email phishing yang menipu Anda untuk menyerahkan kata sandi Anda. Tetapi dengan 2FA, penyerang yang sama itu harus entah bagaimana mendatangi Anda, secara pribadi, dan mencuri kunci Titan Anda (atau sidik jari) selain kata sandi Anda. Itu bisa dilakukan, tetapi jauh lebih sulit, yang melindungi Anda dari sebagian besar serangan yang mengandalkan kata sandi yang bocor atau mudah ditebak.

Ada banyak cara lain untuk mendapatkan perlindungan yang diberikan oleh 2FA. Mendaftar untuk menerima kode sandi satu kali melalui SMS mungkin merupakan cara yang paling umum, tetapi menggunakan Google Authenticator dan layanan seperti Duo adalah alternatif populer yang tidak perlu menerima pesan SMS.

Tetapi ponsel dapat dicuri dan SIM-jacking tampaknya adalah hal yang perlu kita khawatirkan sekarang. Itu sebabnya perangkat fisik seperti kunci Titan sangat menarik. Mereka sederhana dan dapat diandalkan, dan Google telah menemukan bahwa menyebarkan mereka secara internal sepenuhnya menghapus serangan phishing dan pengambilalihan akun.

Apa yang ada di dalam kotak?

Di dalam Titan Security Key Bundle bukan satu perangkat, tetapi dua: ramping, kunci USB dan fob kunci bertenaga Bluetooth. Keduanya dilemparkan dalam plastik putih ramping dan memiliki rasa yang kuat dan menyenangkan bagi mereka. Tombol USB, khususnya, menghasilkan suara yang sangat memuaskan ketika dilemparkan ke atas meja. Saya telah melakukan ini beberapa kali hanya untuk kesenangan itu.

Tombol Bluetooth memiliki satu tombol, dan tiga indikator LED untuk menunjukkan otentikasi, koneksi Bluetooth, dan pengisian atau membutuhkan biaya. Satu port micro USB di bagian bawah adalah untuk mengisi daya dan / atau menghubungkan kunci Bluetooth ke komputer Anda. Kunci USB datar dengan disk emas di satu sisi, yang mendeteksi ketukan Anda dan menyelesaikan otentikasi. Perangkat kunci USB tidak memiliki bagian yang bergerak, tidak memerlukan baterai. Menurut Google, kedua perangkat ini tahan air, jadi Anda mungkin ingin menjauhkan mereka dari kolam.

Keduanya dimaksudkan untuk diletakkan di gantungan kunci dan disimpan pada orang Anda (atau dekat), yang berarti bahwa penyelesaian putih yang bagus dapat membuktikan suatu kewajiban. Berderak di sekitar keyring pasti akan menempatkan keausan yang terlihat pada perangkat Titan asli. Saya telah menggunakan Yubico YubiKey 4 selama beberapa tahun, dan itu mulai terlihat cukup usang meskipun dilemparkan dalam plastik hitam. Dalam waktu singkat saya menguji kunci Titan, konektor USB-A sudah mulai terlihat sedikit tergores.

Juga di dalam kotak ada beberapa instruksi yang dirancang dengan gaya - jika agak kabur - bersama dengan kabel micro USB ke USB-A, dan adaptor USB-C ke USB-A. Micro USB mengisi daya tombol Titan Bluetooth, yang, tidak seperti kunci USB, dapat dijalankan. Indikator baterai berkedip merah ketika tiba saatnya untuk mengisi ulang. Kunci USB Titan, seperti YubiKey, tidak memerlukan baterai. Anda juga bisa menggunakan adaptor micro USB untuk menghubungkan kunci Bluetooth Anda ke komputer, di mana ia bisa berfungsi dengan cara yang sama seperti tombol USB Titan.

Baik tombol Bluetooth dan USB-A sesuai dengan standar FIDO Universal Two-Factor (U2F). Ini berarti mereka dapat digunakan sebagai opsi 2FA tanpa perangkat lunak tambahan. Ini adalah satu-satunya protokol yang didukung oleh kunci Titan, yang berarti mereka tidak dapat digunakan untuk keperluan otentikasi lainnya.

Ketika kunci Titan pertama kali diumumkan, seorang jurnalis menemukan bahwa komponen setidaknya kunci Bluetooth berasal dari pabrikan Cina. Google mengonfirmasi kepada saya bahwa perusahaan mengontrak pihak ketiga untuk menghasilkan kunci dengan spesifikasi perusahaan. Beberapa kalangan keamanan melihat ini sebagai risiko potensial, mengingat Cina telah dituduh melakukan serangan digital terhadap institusi AS. Namun, menurut saya, jika Anda tidak mempercayai Google untuk memeriksa mitra perangkat kerasnya dengan benar, maka Anda mungkin tidak cukup mempercayai Google untuk menggunakan produk keamanannya, dan Anda harus mencari di tempat lain.

Memutar Kunci

Sebelum kunci Titan dapat digunakan, mereka harus terlebih dahulu didaftarkan ke situs atau layanan yang mendukung FIDO U2F. Google jelas melakukannya, tetapi begitu pula Dropbox, Facebook, GitHub, Twitter, dan lainnya. Karena kunci Titan adalah produk Google, saya mulai dengan mengaturnya untuk mengamankan akun Google.

Menyiapkan kunci Titan dengan akun Google Anda sangatlah mudah. Buka halaman 2FA Google, atau kunjungi opsi keamanan akun Google Anda. Gulir ke bawah untuk menambahkan kunci Keamanan, klik, dan situs meminta Anda untuk memasukkan dan mengetuk kunci USB keamanan Anda. Itu dia! Mendaftarkan kunci Bluetooth hanya memerlukan langkah tambahan melampirkannya ke komputer Anda melalui kabel micro USB yang disertakan.

Setelah mendaftar, saya masuk ke akun Google saya. Setelah memasukkan kata sandi, saya diminta untuk memasukkan dan mengetuk kunci keamanan saya. Memasukkan kunci USB ke port akan meminta LED hijau untuk berkedip sekali. LED menyala stabil ketika Anda disajikan dengan permintaan untuk mengetuk tombol.

Ketika saya diuji menggunakan akun baru yang tidak pernah menggunakan 2FA, Google pertama-tama mengharuskan saya mengatur kode sandi satu kali SMS. Anda dapat menghapus kode SMS jika diinginkan, tetapi mendaftar di program 2FA Google mengharuskan Anda menggunakan setidaknya kode SMS, atau aplikasi Google Authenticator, atau pemberitahuan push autentikasi Google yang dikirim ke perangkat Anda. Itu selain opsi 2FA lain apa pun yang Anda pilih. Harap perhatikan bahwa kunci Google Titan tidak memerlukan SMS atau layanan lainnya berfungsi, tetapi banyak layanan (termasuk Twitter) mendorong Anda untuk memverifikasi nomor telepon untuk membuktikan bahwa Anda adalah orang yang nyata.

Jika Anda memilih beberapa opsi 2FA, Anda dapat memilih salah satu yang berfungsi untuk Anda dalam skenario yang diberikan. Ini juga merupakan ide yang baik untuk memiliki metode otentikasi cadangan, jika Anda kehilangan kunci Anda atau ponsel Anda putus. Notifikasi SMS baik-baik saja, tetapi saya juga menggunakan kunci kertas, yang merupakan serangkaian kode penggunaan satu kali. Kode-kode ini didukung secara luas dan dapat ditulis atau disimpan secara digital (tetapi mudah-mudahan dienkripsi!). Namun, saya memang memperhatikan bahwa untuk melakukan perubahan pada pengaturan 2FA saya setelah saya mendaftarkan kunci Titan saya, hanya itu dan mendorong pemberitahuan ke telepon saya melalui aplikasi Google adalah autentikator yang dapat diterima.

Menurut kotak itu, tombol Titan dan tombol Bluetooth keduanya kompatibel dengan NFC, tapi saya tidak bisa membuatnya bekerja dengan cara itu. Ketika diminta untuk menggunakan perangkat 2FA di ponsel Android saya, saya mengikuti instruksi dan menampar tombol di bagian belakang ponsel, tetapi tidak berhasil. Google mengonfirmasi kepada saya bahwa perangkat tersebut mampu NFC, tetapi dukungan itu akan ditambahkan ke perangkat Android dalam beberapa bulan mendatang.

Saya tidak punya masalah seperti itu masuk ke akun Google saya di perangkat Android menggunakan kunci Bluetooth. Sekali lagi, saya diminta untuk menunjukkan kunci saya setelah memasukkan kata sandi saya. Opsi di bagian bawah layar izinkan saya memilih menggunakan NFC, USB, atau autentikator Bluetooth. Ketika saya memilih Bluetooth pertama kali, saya diminta untuk memasangkan kunci Bluetooth dengan telepon. Sebagian besar ini ditangani secara otomatis oleh Google, walaupun saya harus memasukkan nomor seri di bagian belakang tombol Bluetooth. Mendaftarkan perangkat dengan cara ini hanya perlu dilakukan satu kali; setiap kali Anda hanya perlu mengklik tombol tombol Bluetooth untuk mengotentikasi diri Anda. Menariknya, saya tidak melihat kunci Bluetooth di daftar perangkat Bluetooth terbaru di ponsel, tetapi masih berfungsi dengan baik.

Hanya untuk itu, saya juga mencoba masuk menggunakan adaptor USB-C yang disertakan dan kunci keamanan USB. Itu bekerja seperti pesona.

Selain skema login 2FA-nya, Google juga menawarkan Advanced Protection Programme untuk individu yang mungkin menghadapi risiko serangan tertentu. Saya tidak mencoba Advanced Protection dalam pengujian saya, tetapi terutama membutuhkan dua perangkat kunci keamanan, sehingga Bundel Kunci Keamanan Titan siap untuk bekerja dengan skema login ini juga.

Kunci Titan harus bekerja dengan layanan apa pun yang mendukung FIDO U2F. Twitter adalah salah satu contohnya, dan saya tidak kesulitan mendaftarkan kunci USB Titan dengan Twitter, atau menggunakannya untuk masuk nanti.

Bagaimana Membandingkan Kunci Keamanan Google Titan

Ada daftar perangkat otentikasi perangkat keras yang terus berkembang yang dibandingkan dengan Kunci Keamanan Titan, tetapi pemimpin industri kemungkinan adalah jajaran produk YubiKey dari Yubico. Ini hampir identik dengan kunci USB-A Titan: plastik tipis dan kasar, dan dirancang untuk duduk di gantungan kunci dengan LED hijau kecil dan disk emas yang merekam sentuhan Anda tanpa ada bagian yang bergerak.

Meskipun Yubico tidak menawarkan apa pun seperti kunci Bluetooth Titan, itu memang memiliki beberapa faktor bentuk yang berbeda untuk dipilih. Seri YubiKey 4, misalnya, memiliki dua kunci ukuran yang sebanding dengan kunci USB Titan: YubiKey 4 dan YubiKey NEO, yang terakhir di antaranya adalah NFC-enabled. Yubico juga menawarkan kunci USB-C, yang berfungsi dengan perangkat apa pun yang menggunakan port tertentu, tidak perlu adaptor.

Jika kunci bukan gaya Anda, Anda dapat memilih YubiKey 4 Nano atau saudara USB-C-nya, YubiKey 4C Nano. Perangkat bergaya Nano jauh lebih kecil - hanya 12mm kali 13mm - dan dirancang untuk diletakkan di dalam porta perangkat Anda.

Semua perangkat YubiKey 4 di atas harganya antara $ 40 dan $ 60, dan itu hanya untuk satu kunci. Namun, ini semua adalah perangkat multi-protokol, yang berarti Anda tidak hanya dapat menggunakannya sebagai perangkat FIDO U2F, tetapi juga untuk mengganti kartu pintar untuk login komputer, untuk tanda tangan kriptografi, dan untuk berbagai fitur lainnya. Beberapa di antaranya tersedia melalui perangkat lunak klien opsional yang disediakan oleh Yubico. Ini memungkinkan Anda mengubah apa yang YubiKey lakukan dan bagaimana perilakunya, yang pasti akan menggelitik kemewahan keamanan mana pun. Kunci Titan hanya mendukung U2F dan standar W3C WebAuthn, dan tidak memiliki perangkat lunak klien terkait untuk mengubah fungsionalitasnya.

YubiKey yang paling murah juga merupakan fungsi yang paling dekat dengan kunci Google Titan. Kunci Keamanan biru oleh Yubico berfungsi di mana saja U2F diterima, tetapi tidak mendukung protokol lain seperti seri YubiKey 4. Ini juga mendukung protokol FIDO2. Itu tidak memiliki kunci Bluetooth yang disertakan dalam bundel Google Titan, tetapi juga biaya kurang dari setengah hanya dengan $ 20.

Sementara produk-produk Yubico setidaknya secara teknologi mampu dan tahan lama seperti kunci Titan, kelemahan perusahaan telah menjelaskan kunci mana yang melakukan apa dan di mana mereka didukung. Situs web Yubico memiliki beberapa bagan memusingkan yang diisi dengan akronim yang membuat mata saya berkaca-kaca. Kunci Titan, di sisi lain, mendukung kesederhanaan yang hampir mirip Apple dan kegunaan out-of-the-box.

Ada solusi perangkat lunak untuk 2FA juga. Saya telah menyebutkan Duo, dan Google dan Twilio Authy juga menawarkan kode satu kali melalui aplikasi, seperti halnya LastPass melalui aplikasi khusus. Pengotentikasi perangkat lunak berguna, dan mungkin lebih nyaman jika Anda selalu membawa ponsel Anda. Tetapi perangkat keras 2FA seperti kunci Titan lebih tahan lama daripada telepon, tidak pernah kehabisan daya, dan hanya membutuhkan ketukan alih-alih memasukkan kode satu kali yang dihasilkan oleh suatu aplikasi. Kunci perangkat keras juga lebih sulit untuk diserang daripada aplikasi yang hidup di ponsel Anda, meskipun saat ini ponsel cukup aman. Pada akhirnya, memilih antara solusi perangkat keras atau perangkat lunak 2FA kemungkinan akan menjadi pilihan pribadi.

Masalah Dukungan

Terlepas dari namanya, dukungan standar FIDO Universal Two-Factor jauh dari universal. Untuk menggunakan kunci Titan Anda dengan akun Google atau Twitter Anda, Anda harus masuk melalui Chrome. Tidak beruntung dengan Firefox (untuk saat ini). Hal yang sama berlaku ketika saya menggunakan kunci Titan dengan Twitter.

Saya telah menggunakan YubiKey untuk melindungi akun LastPass saya selama bertahun-tahun, dan terkejut melihat bahwa manajer kata sandi pilihan saya tidak mendukung kunci Titan. Bahkan dengan YubiKey saya, saya hanya dapat menggunakannya sebagai autentikator faktor kedua untuk akun Google saya melalui Chrome.

Pengembang dan orang-orang di belakang FIDO perlu bekerja lebih dekat untuk membawa dukungan yang lebih luas untuk Titan, YubiKey, dan U2F secara umum. Saya belum menemukan bank yang menerima perangkat keras 2FA, misalnya. Sangat frustasi untuk mencoba dan mendaftarkan kunci keamanan Anda untuk layanan, hanya untuk menemukan Anda berada di browser yang salah, atau bahwa kunci keamanan khusus ini tidak didukung oleh layanan. Tanpa dukungan yang lebih luas, perangkat ini tidak akan digunakan terlalu banyak dan kemungkinan akan berbuat lebih banyak untuk membingungkan orang yang belum tahu daripada membantu.

Titan Industri

Bundel Kunci Keamanan Google Titan memiliki semua yang diperlukan untuk mengamankan akun Google Anda dari pencurian kata sandi, phishing, dan berbagai serangan lainnya. Penyiapannya mudah, dan memasukkan kunci atau mengetuk perangkat Bluetooth seringkali lebih mudah daripada mencari (dan mungkin salah ketik) kode satu kali dari suatu aplikasi. Kunci Bluetooth menghadirkan tanggung jawab keamanan teoretis yang kecil karena mentransmisikan secara nirkabel, tetapi yang lebih penting adalah baterainya bisa mati.

Dengan dua perangkat ini, Anda siap untuk mengamankan akun Google Anda dan layanan lain yang didukung. Tag harga $ 50 diperoleh dengan baik dengan dua perangkat pintar dan tahan lama. Anda tidak akan salah dengan ini. Dibutuhkan skor tertinggi, tetapi kami menahan penghargaan Pilihan Editor untuk kategori ini hingga kami dapat meninjau lebih banyak produk yang bersaing.