Imagen: Google

En julio, Google afirmó que sus 85.000 empleados habían pasado un año completo sin encontrarse con algún percance de seguridad después de un requisito obligatorio del uso de claves de seguridad físicas para la autenticación de dos factores. Ahora, esta clave de seguridad interna está disponible para la venta en la tienda de Google.

La autenticación de dos factores (2FA) es lo mínimo que cualquiera debería hacer para proteger sus cuentas de ataques de ingeniería social como los correos electrónicos de phishing. La forma más común de 2FA es enviar a un usuario un mensaje de texto con un código único después de haber ingresado su contraseña básica. Desafortunadamente, incluso ese método es vulnerable porque los mensajes de texto pueden interceptarse. Una clave física es mucho más segura porque un hacker necesitaría tener el dispositivo en la mano para entrar en su cuenta. Google dijo a principios de este año que solo el 10% de los usuarios de Gmail han implementado 2FA, y quiere alentar a las personas a ir un paso más allá y comprar su clave de seguridad de Titan.

El dispositivo físico apareció en la tienda de Google el jueves y en realidad son dos dispositivos. Por 50 dólares, obtienes una llave USB que se puede insertar en tu equipo para demostrar que eres realmente tú, y un dispositivo de respaldo que se comunica con NFC o Bluetooth. La idea es que el Programa de Protección Avanzada de Google requiera dos dispositivos registrados en caso de que pierda uno, y el dispositivo NFC / Bluetooth es más conveniente para desbloquear un dispositivo móvil.

Si bien es fácil ver el movimiento como que Google trata de obtener una parte de la lucrativa industria de las llaves físicas que suministra a los clientes empresariales compras enormes para proteger a las empresas ricas en objetivos, le ahorraría a la compañía muchos dolores de cabeza si sus usuarios fueran más seguros. Cuando Titan se anunció por primera vez, parecía que podría haber algo de mala sangre entre Google y Yubico, uno de los principales fabricantes de llaves físicas. Las dos compañías habían trabajado juntas anteriormente en el desarrollo del estándar de la industria FIDO. El CEO de Yubico afirmó que no estaban de acuerdo con la decisión de Google de seguir adelante con la implementación de Bluetooth, y Yubico aún siente que NFC sigue siendo el único método de verificación inalámbrico de confianza. El CEO también pareció cuestionar la seguridad de la línea de fabricación de Google.

Advertisement

En ese momento, un portavoz de Google se negó a comentar cuando Gizmodo preguntó si querían abordar esas preocupaciones. Pero en una publicación del blog el jueves, Christiaan Brand, gerente de producto de Google Cloud, dijo un poco más sobre el proceso de fabricación:

El firmware que realiza las operaciones criptográficas ha sido diseñado por Google con la seguridad en mente. Este firmware está sellado de forma permanente en un chip de hardware de elementos seguros en el momento de la producción en la fábrica de producción de chips. El chip de hardware seguro que usamos está diseñado para resistir ataques físicos destinados a extraer firmware y material de claves secretas.

Estos chips de hardware sellados permanentemente se entregan a la línea de fabricación que hace la llave de seguridad física. Por lo tanto, la confianza en Titan Security Key está anclada en el chip sellado en comparación con cualquier otro paso posterior que tenga lugar durante la fabricación del dispositivo.

Advertisement

Android Police señala el hecho de que las llaves de Google se ven notablemente similares a los dispositivos del fabricante de llaves físicas de confianza Feitian. Le preguntamos a Google directamente si Feitian está manejando el ensamblaje y un portavoz nos dijo: “Google es el fabricante del registro y contratamos a un tercero para que produzca las llaves. El firmware es la pieza más importante aquí”. “so puede ser cierto, y no hay razón para creer que Feitian produzca las claves es algo de lo que preocuparse.

En su publicación, Google ni siquiera intenta arrodillarse ante sus competidores y reconoce que los dispositivos de Yubico, Feitian y “muchos otros” son bastante buenos. Lo más importante es llevar a las personas al Programa de Protección Avanzada de Google que ofrece servicios como notificarle si su contraseña ha aparecido en repositorios online por hackers que venden información o simplemente están causando algún tipo de caos.

Advertisement

En cuanto a que Bluetooth es un riesgo para la seguridad, hemos visto vulnerabilidades emergentes en el estándar, pero siempre se puede seguir con NFC para manejar la verificación con ese dispositivo. Elegir una clave de cualquiera de los grandes nombres mencionados aquí debería ser suficiente. [Google via Android Police]