Après quelques semaines de teasing, ayant été introduite lors de la prochaine conférence Google Cloud, la clé de sécurité Google Titan est maintenant disponible à l'achat dans le Google Store. Le forfait de 50 $ comprend en fait une paire de clés. L'un est un modèle traditionnel USB-A (et NFC, mais plus à ce sujet dans un second). L'autre comprend les ports USB (via un adaptateur micro-USB) et Bluetooth.
Voici ce que vous devez savoir:
- La (les) clé (s) de sécurité Titan (s) est basée sur les normes de l’Alliance FIDO, qui définit les normes universelles à 2 facteurs utilisées dans l’authentification à deux facteurs. Il s’agit donc de FIDO, U2F et 2FA, pour ceux qui préfèrent les acronymes.
- Ces clés constituent une forme plus sécurisée d’authentification à deux facteurs. Vous aurez toujours besoin de votre mot de passe, mais vous devrez ensuite brancher (ou utiliser Bluetooth ou NFC) votre clé et la saisir pour le deuxième facteur d'authentification.
- (Non, ce ne sont pas aussi des scanneurs d'empreintes digitales.)
- La clé USB Titan utilise également la technologie NFC, qui fonctionne parfaitement avec les téléphones. Cependant, nous attendons une mise à jour du logiciel Android lui-même pour pouvoir utiliser NFC avec la clé Titan. (D'autres clés U2F NFC, telles que la Yubico Neo, fonctionnent parfaitement pour le moment.)
- C'est le genre de choses que vous devez utiliser avec le programme de protection avancée de Google. Plus à ce sujet ici.
Pourquoi Google fait-il cela? Pour aider à pousser l'adoption, d'une part. Les codes à deux facteurs SMS sont notoirement interceptables, et même les jetons logiciels ne sont pas bien meilleurs. Avec une clé matérielle physique, vous prouvez que quelqu'un (probablement vous) est en possession de la clé. Et comme couche de sécurité supplémentaire, les touches permettent à votre navigateur de signaler la page à partir de laquelle vous essayez de vous connecter. Si c'est quelque chose comme www.googl3.com et pas www.google.com (ou quelque chose de beaucoup plus sournois), il sera rejeté.
Google contrôle également ce matériel, ainsi que le micrologiciel. Contrairement aux autres clés U2F, le micrologiciel est verrouillé et ne peut pas être modifié. Et pour être clair, cela ne fonctionne pas uniquement avec les systèmes à deux facteurs de Google. Il fonctionne toujours avec tout ce qui utilise les normes FIDO.
Et c'est ça. Pour le moment, Google les vend comme un ensemble, car vous devez vraiment garder une clé sous la main et mettre l'autre en réserve. (Vous devrez évidemment vous inscrire avec tous les services que vous utilisez, évidemment.)
Si vous le pouvez sur votre sécurité en ligne, cela pourrait bien être la meilleure des 50 $ que vous dépensez.
Voir sur Google