Justo esta semana nos enterábamos que desde inicios de 2017, Google hizo obligatorio el uso de llaves de seguridad, o 'Security Keys', para todos sus empleados. Con esto, la compañía aseguraba que durante todo este tiempo ninguno de sus trabajadores había sido víctima de 'phishing'.
Hoy, durante el arranque de la 'Next Conference', Google salió a aclarar que las llaves que están usando sus empleados no son las de Yubico, sino unas de diseño y especificaciones propias, las cuales ahora están disponibles para sus clientes de Google Cloud y en las próximas semanas estarán disponibles para cualquier persona a un precio que se anunciará más adelante.
Google Titan Security Key
Estas llaves de seguridad llevan el nombre de 'Titan Security Key' y Google menciona que se trata de diseños propios, aunque no da detalles de quién las fabrica. Son compatibles con los estándares de FIDO y estarán disponibles en dos versiones: una USB que se conecta a nuestro ordenador de forma directa, y otra con soporte Bluetooth, que también servirá para dispositivos móviles.
Esta llave sirve para autenticar los inicios de sesión junto a nuestra contraseña de toda la vida, la ventaja está en que necesitamos el uso de esta llave de forma física. Así evitaríamos el tener que usar otros servicios digitales, como los de autenticación de dos pasos (2FA), como SMSs o aplicaciones de emisión de token. Según Google, la 2FA es más propensa a fallos y ataques debido a los riesgos de posibles intercepciones de SMS o el crackeo de las apps de token.
Google menciona que esta llave Titan también incluye firmware especial desarrollado por ellos mismos, lo que serviría para verificar la autenticidad de la llave y evitar posibles clonaciones o falsificaciones. Aquí hay que mencionar que este firmware no impediría que la llave funcionase con otros servicios de FIDO, aunque está optimizada y pensada para los de Google.
Ante esto, Stina Ehrensvard, fundadora y CEO de Yubico, quien también está presente en la 'Next Conference', mencionó que la nueva solución de Google no es tan segura como sus productos, ya que están lanzando una llave que hace uso de Bluetooth LE (BLE). "A pesar de que Yubico contribuyó al trabajo de las normas BLE U2F, decidimos no lanzar el producto ya que no cumple con nuestros estándares de seguridad, usabilidad y durabilidad. BLE no proporciona los niveles de seguridad de NFC y USB, además de que requiere baterías y sincronización, por lo que al final es una mala experiencia para el usuario".
Como mencionaba, las Titan Security Key de Google están disponibles ahora mismo para los clientes de Google Cloud, y estarán a la venta, a un precio aún por conocer, para el público en general más adelante.
Ver 11 comentarios
11 comentarios
whisper5
Leo la noticia por aquí y otros sitios web de tecnología y, la verdad, Google ha desvelado muy poco sobre su Titan Security Key. FIDO (Fast IDentity Online) es una iniciativa de hace años de FIDO Alliance, una alianza de muchas empresas para mejorar la seguridad de la autenticación online. Inicialmente FIDO creó la especificación U2F (Universal Second factor) y las primeras llaves de seguridad de Yubico y ahora Google con esta llave utilizan esta especificación, que suele ser un lío, porque algunos dicen FIDO, otros U2F y otros FIDO U2F.
Lo que más me ha llamado la atención es que en ningún momento nombra Google FIDO2 o WebAuthn. FIDO Alliance ha creado un nuevo estándar, aceptado por W3C (World Wide Web Consortium) que va un paso más allá que FIDO U2F y que es FIDO2. Se compone de WebAuthn (Web Authentication), que especifica la comunicación entre un servidor y un navegador, y de CTAP (Client To Authenticator Protocol) que especifica la comunicación entre el navegador y un autenticador (una llave de seguridad, un móvil leyendo la huella dactilar, etc.). Es, sin lugar a dudas, el futuro de la autenticación en sitios web. Firefox y Chrome ya lo soportan, Edge está en camino, Apple con Safari de momento pasa, aunque no le quedará más remedio que aceptarlo, como el resto de navegadores.
Siendo cierto que las llaves FIDO U2F se van a poder utilizar con WebAuthn, la verdad es que tienen alguna pega frente al nuevo estándar. Hubiese estado bien que ya que se pone Google a crear una llave, que al menos use el estándar más reciente y con más futuro, especialmente porque la propia Google forma parte del equipo de trabajo de la especificación WebAuthn.
Hasta donde yo sé sólo existe una llave de seguridad que cumple FIDO2 (y también cumple U2F):
https://www.yubico.com/product/security-key-by-yubico/
GodModeON
HUUUUUUUUUUUUUUMOOOOOOOOOOOOOOOOOOOOOOOOOO
Otra chorrada mas, llevas el smartphone=llevas esta chorrada.
Perder o robar puede pasarle a las dos cosas
Cosmonautas
Toda tesis tiene una antítesis, y de esa lucha surge la síntesis. Toda medida tiene una contramedida, y de esa lucha surge una evolución. En la filosofía, en los seres vivos, en la tecnología...