Google Titan FIDO U2F

Google Titan FIDO U2F

Il s’avère que les gens sont en fait très mauvais pour créer et mémoriser des mots de passe, et très bons pour inventer de nouvelles façons de pénétrer dans des systèmes protégés par mot de passe. Google vise à résoudre au moins un de ces problèmes avec son pack Titan Security Key. Le produit est composé de deux dispositifs qui, lorsqu’ils sont utilisés correctement, rendent l’accès à vos comptes en ligne beaucoup plus difficile pour les méchants en exigeant à la fois un mot de passe et une clé physique pour se connecter à un site Web ou un service.

Comment ça marche

L’authentification à deux facteurs (2FA) n’est pas seulement une deuxième étape après la saisie d’un mot de passe, même si c’est souvent ainsi qu’elle se déroule dans la pratique. Au lieu de cela, 2FA combine deux mécanismes d’authentification différents (c’est-à-dire des facteurs) à partir d’une liste de trois possibilités :

  1. Quelque chose que vous savez,
  2. Quelque chose que vous avez, ou
  3. Quelque chose que tu es.

Un mot de passe, par exemple, est quelque chose que vous connaissez. En théorie, il ne devrait exister que dans votre tête (ou en toute sécurité dans un gestionnaire de mots de passe). Authentification biométrique – comme les empreintes digitales, la rétine, les signatures cardiaques, et ainsi de suite – comptez comme quelque chose que vous êtes. Les clés de sécurité Titan et les produits de ce type sont quelque chose que vous avez.

Un attaquant pourrait obtenir votre mot de passe à distance, peut-être en le recherchant dans une liste de mots de passe à partir d’une violation de données ou en envoyant un courriel de hameçonnage qui vous incite à lui remettre votre mot de passe. Mais avec 2FA, ce même attaquant devrait d’une manière ou d’une autre vous atteindre personnellement et voler vos clés Titan (ou empreintes digitales) en plus de votre mot de passe. C’est possible, mais c’est beaucoup plus difficile, ce qui vous protège de la grande majorité des attaques qui reposent sur des mots de passe qui fuient ou qui sont facilement devinés.

Offre groupée de clés de sécurité Google Titan

Il existe de nombreuses autres façons d’obtenir la protection offerte par la 2FA. S’inscrire pour recevoir des codes d’accès uniques par SMS est peut-être le moyen le plus courant, mais l’utilisation de Google Authenticator et des services comme DuoFree sur iTunes Store sont des alternatives populaires qui ne nécessitent pas de recevoir un message SMS.

Mais les téléphones peuvent être volés et le piratage de carte SIM est apparemment une chose dont nous devons nous inquiéter maintenant. C’est pourquoi les appareils physiques comme les clés Titan sont si attrayants. Ils sont simples et fiables, et Google a découvert que leur déploiement en interne a complètement éliminé les attaques de phishing et les prises de contrôle de comptes.

Qu’y a-t-il dans la boîte ?

A l’intérieur de l’offre groupée Titan Security Key Bundle, il n’y a pas un seul appareil, mais deux : une clé mince, une clé USB et un porte-clés alimenté par Bluetooth. Les deux sont moulés dans un plastique blanc élégant et ont un toucher agréable et robuste. La clé USB, en particulier, produit un son très satisfaisant lorsqu’elle est jetée sur une table. Je l’ai fait plusieurs fois juste pour le plaisir.

La clé Bluetooth est dotée d’un seul bouton et de trois voyants DEL pour indiquer l’authentification, la connexion Bluetooth et le fait qu’elle est en cours de charge ou a besoin d’une charge. Un seul port micro USB en bas permet de charger et/ou de connecter la clé Bluetooth à votre ordinateur. La clé USB est plate avec un disque d’or sur un côté, qui détecte votre robinet et complète l’authentification. La clé USB n’a pas de pièces mobiles, ne nécessite pas de piles. Selon Google, les deux appareils sont résistants à l’eau, alors vous voudrez peut-être les garder hors de la piscine.

Les deux sont destinés à être mis sur un porte-clés et gardés sur votre personne (ou à portée de main), ce qui signifie qu’une belle finition blanche peut être un handicap. Le bruit d’un porte-clés sur un porte-clés est sûr de mettre un peu d’usure notable sur les dispositifs vierges Titan. J’utilise une Yubico YubiKey 4 depuis plusieurs années, et elle commence à avoir l’air plutôt usée malgré son moulage en plastique noir. En peu de temps, j’ai testé les clés Titan, le connecteur USB-A commençait déjà à avoir l’air un peu raclé.

Aussi dans la boîte sont des instructions stylisées, quoique un peu vagues, ainsi qu’un câble micro USB vers USB-A, et un adaptateur USB-C vers USB-A. Le Micro USB charge la clé Bluetooth Titan, qui, contrairement à la clé USB, peut se dérégler. Un voyant de batterie clignote en rouge lorsqu’il est temps de recharger la batterie. La clé USB Titan, comme la YubiKey, ne nécessite pas de batterie. Vous pouvez également utiliser l’adaptateur micro USB pour connecter votre clé Bluetooth à un ordinateur, où il peut fonctionner de la même manière que la clé USB Titan.

Les clés Bluetooth et USB-A sont conformes à la norme FIDO Universal Two-Factor (U2F). Cela signifie qu’ils peuvent être utilisés en option 2FA sans logiciel supplémentaire. C’est le seul protocole supporté par les clés Titan, ce qui signifie qu’elles ne peuvent pas être utilisées à d’autres fins d’authentification.

Lorsque les clés Titan ont été annoncées pour la première fois, un journaliste a découvert que les composants d’au moins la clé Bluetooth provenaient d’un fabricant chinois. Google m’a confirmé que l’entreprise fait appel à une tierce partie pour produire les clés des spécifications de l’entreprise. Certains dans les milieux de la sécurité y voyaient un risque potentiel, compte tenu du fait que la Chine a été accusée de mener des attaques numériques contre des institutions américaines. À mon avis, cependant, si vous ne faites pas confiance à Google pour vérifier correctement ses partenaires matériels, vous ne faites probablement pas assez confiance à Google pour utiliser ses produits de sécurité en premier lieu, et vous devriez regarder ailleurs.

Tourner la clé

Avant de pouvoir utiliser les clés Titan, elles doivent d’abord être enregistrées sur un site ou un service qui supporte FIDO U2F. Google évidemment, mais aussi Dropbox, Facebook, GitHub, Twitter, et d’autres. Comme les clés Titan sont un produit Google, j’ai commencé par les configurer pour sécuriser un compte Google.

Configurer les clés Titan avec votre compte Google est très simple. Rendez-vous sur la page 2FA de Google ou consultez les options de sécurité de votre compte Google. Faites défiler vers le bas jusqu’à Ajouter une clé de sécurité, cliquez sur, et le site vous invite à insérer et appuyez sur votre clé USB de sécurité. C’est ça, c’est ça ! L’enregistrement de la clé Bluetooth ne nécessite que l’étape supplémentaire de la connexion à votre ordinateur via le câble micro USB fourni.

Une fois inscrit, je suis allé me connecter à mon compte Google. Après avoir entré mon mot de passe, on m’a demandé d’insérer et de toucher ma clé de sécurité. En branchant la clé USB sur un port, la DEL verte clignote une fois. La DEL s’allume lorsque vous êtes invité à appuyer sur la touche.

Lorsque j’ai testé en utilisant un nouveau compte qui n’avait jamais utilisé 2FA, Google m’a d’abord demandé de configurer des mots de passe SMS à usage unique. Vous pouvez supprimer les codes SMS si vous préférez, mais pour vous inscrire au programme 2FA de Google, vous devez utiliser au moins les codes SMS, ou l’application Google Authenticator, ou une notification d’authentification Google push envoyée à votre appareil. Cela s’ajoute à toutes les autres options 2FA que vous choisissez. Veuillez noter que la clé Google Titan n’a pas besoin de SMS ou de tout autre service pour fonctionner, mais de nombreux services (Twitter inclus) vous encouragent à vérifier un numéro de téléphone afin de prouver que vous êtes une personne réelle.

Offre groupée de clés de sécurité Google Titan

Si vous sélectionnez plusieurs options 2FA, vous pouvez choisir celle qui vous convient dans un scénario donné. C’est aussi une bonne idée d’avoir une méthode d’authentification de secours, au cas où vous perdriez vos clés ou votre téléphone se briserait. Les notifications par SMS sont très bien, mais j’utilise aussi des clés en papier, qui sont une série de codes à usage unique. Ces codes sont largement pris en charge et peuvent être écrits ou stockés numériquement (mais, espérons-le, cryptés !). Cependant, j’ai remarqué que pour faire des changements à mes paramètres 2FA après que j’ai inscrit ma clé Titan, seuls celle-ci et les notifications push sur mon téléphone via l’application Google étaient des authentifiants acceptables.

Selon la boîte, la clé Titan et la clé Bluetooth sont toutes deux compatibles NFC, mais je n’ai pas réussi à les faire fonctionner de cette façon. Quand on m’a demandé d’utiliser un appareil 2FA sur mon téléphone Android, j’ai suivi les instructions et j’ai tapé la touche à l’arrière du téléphone, mais en vain. Google m’a confirmé que les appareils sont compatibles NFC, mais que le support sera ajouté aux appareils Android dans les prochains mois.

Je n’ai eu aucun problème pour me connecter à mon compte Google sur un appareil Android en utilisant la clé Bluetooth. Encore une fois, on m’a demandé de présenter ma clé après avoir entré mon mot de passe. Une option en bas de l’écran me permet de sélectionner une option à l’aide d’un authentificateur NFC, USB ou Bluetooth. Lorsque j’ai sélectionné Bluetooth la première fois, on m’a demandé de jumeler la touche Bluetooth avec le téléphone. La plupart de tout cela a été géré automatiquement par Google, bien que j’aie dû entrer le numéro de série au dos de la clé Bluetooth. L’enregistrement de l’appareil de cette façon n’a besoin d’être fait qu’une seule fois ; toutes les autres fois, il vous suffit de cliquer sur le bouton de la clé Bluetooth pour vous authentifier. Il est intéressant de noter que je n’ai pas vu la clé Bluetooth dans la liste des appareils Bluetooth récents du téléphone, mais elle fonctionnait toujours très bien.Google Titan Security Key Bundle

Juste pour l’enfer de lui, j’ai également essayé d’ouvrir une session en utilisant l’adaptateur USB-C inclus et la clé de sécurité USB. Ça a marché comme sur des roulettes.

En plus de son système de connexion 2FA, Google offre également un programme de protection avancée aux personnes qui peuvent être particulièrement vulnérables aux attaques. Je n’ai pas testé Advanced Protection dans mon test, mais il nécessite notamment deux dispositifs de sécurité clés, de sorte que le Titan Security Key Bundle est prêt à travailler avec ce schéma de connexion ainsi.

Les clés Titan doivent fonctionner avec tout service supportant FIDO U2F. Twitter en est un exemple, et je n’ai eu aucune difficulté à enregistrer la clé USB Titan avec Twitter, ou à l’utiliser pour me connecter ultérieurement.

Comment se compare la clé de sécurité Google Titan

Il y a une liste croissante de dispositifs d’authentification matérielle qui se comparent aux Titan Security Keys, mais le leader du secteur est probablement la gamme de produits YubiKey de Yubico. Ils sont presque identiques à la clé USB-A Titan : mince, en plastique robuste et conçu pour s’asseoir sur un porte-clés avec une petite LED verte et un disque doré qui enregistre votre toucher sans pièces mobiles.

Bien que Yubico n’offre rien de tel que la clé Bluetooth Titan, il a plusieurs facteurs de forme différents à choisir. La série YubiKey 4, par exemple, possède deux clés de taille comparable à la clé USB Titan : la YubiKey 4 et la YubiKey NEO, cette dernière étant compatible NFC. Yubico propose également des clés USB-C, qui fonctionnent avec n’importe quel appareil qui porte ce port particulier, sans adaptateur requis.

Si les clés ne sont pas votre style, vous pouvez opter pour la YubiKey 4 Nano ou son frère USB-C, la YubiKey 4C Nano. Les appareils de type Nano-style sont beaucoup plus petits – seulement 12mm par 13mm – et sont conçus pour être laissés nichés à l’intérieur des ports de votre appareil.

Tous les appareils YubiKey 4 ci-dessus coûtent entre 40 $ et 60 $, et ce, pour une seule clé. Cependant, il s’agit de dispositifs multiprotocoles, ce qui signifie que vous pouvez non seulement les utiliser comme des dispositifs FIDO U2F, mais aussi pour remplacer une carte à puce pour la connexion informatique, pour les signatures cryptographiques et pour un ensemble d’autres fonctions. Certains d’entre eux sont disponibles via le logiciel client en option fourni par Yubico. Cela vous permet de changer ce que fait la YubiKey et comment elle se comporte, ce qui est sûr de chatouiller toutes les fantaisies des fans de sécurité. Les clés Titan ne supportent que les standards U2F et W3C WebAuthn, et n’ont aucun logiciel client associé pour modifier leurs fonctionnalités.

La YubiKey la moins chère est aussi celle qui semble la plus proche en fonctionnalité de la clé Google Titan. La clé de sécurité bleue de Yubico fonctionne partout où U2F est accepté, mais ne supporte pas les autres protocoles comme la série YubiKey 4. Il supporte également le protocole FIDO2. Il n’a pas la clé Bluetooth incluse dans le forfait Google Titan, mais il coûte aussi moins de la moitié à seulement 20 $.

Bien que les produits de Yubico soient au moins aussi performants sur le plan technologique et durables que la clé Titan, la faiblesse de l’entreprise a été d’expliquer lesquelles de ses clés font quoi et où elles sont soutenues. Le site web de Yubico a plusieurs chartes vertigineuses remplies d’acronymes qui font que même mes yeux s’éblouissent. Les touches Titan, d’autre part, favorisent une simplicité proche de celle d’Apple et une facilité d’utilisation prête à l’emploi.

Il existe également des solutions logicielles pour 2FA. J’ai mentionné le Duo, et Google et Twilio Authy offrent également des codes uniques via des applications, tout comme LastPass via une application dédiée. Les authentificateurs logiciels sont utiles et peut-être plus pratiques si vous avez toujours votre téléphone à portée de main. Mais les appareils matériels 2FA comme la touche Titan sont plus durables qu’un téléphone, ne sont jamais à court d’énergie et ne nécessitent qu’une seule pression au lieu de saisir des codes uniques générés par une application. Une clé matérielle est également plus difficile à attaquer qu’une application qui vit sur votre téléphone, bien que les téléphones soient assez sûrs de nos jours. En fin de compte, le choix entre une solution matérielle ou logicielle 2FA sera probablement une question de préférence personnelle.

Le problème du soutien

Malgré son nom, le support standard FIDO Universal Two-Factor est loin d’être universel. Pour utiliser vos clés Titan avec vos comptes Google ou Twitter, vous devez vous connecter via Chrome. Pas de chance avec Firefox (pour le moment). La même chose était vraie quand j’ai utilisé la clé Titan avec Twitter.

J’ai utilisé une YubiKey pour protéger mon compte LastPassFree at LastPass pendant des années, et j’ai été surpris de voir que le gestionnaire de mots de passe de mon choix ne supporte pas les clés Titan. Même avec ma YubiKey, je ne peux l’utiliser que comme deuxième authentificateur de facteur pour mon compte Google via Chrome.

Les développeurs et les personnes derrière FIDO doivent travailler plus étroitement pour apporter un soutien plus large à Titan, YubiKey et U2F en général. Je n’ai pas encore trouvé de banque qui accepte un hardware 2FA, par exemple. Il est frustrant d’essayer d’enregistrer votre clé de sécurité pour un service, pour constater que vous êtes dans le mauvais navigateur, ou que cette clé de sécurité spécifique n’est pas supportée par le service. Sans un support plus large, ces appareils ne seront pas utilisés pour grand-chose et feront probablement plus pour embrouiller les non-initiés que pour aider.

Un titan de l’industrie

Le pack Google Titan Security Key Bundle contient tout ce qu’il faut pour protéger votre compte Google contre le vol de mots de passe, le phishing et de nombreuses autres attaques. L’installation est facile et il est souvent plus facile de brancher une clé ou d’appuyer sur un périphérique Bluetooth que de rechercher (et éventuellement de taper à la machine) un code unique d’une application. La clé Bluetooth présente une petite responsabilité de sécurité théorique en ce sens qu’elle transmet sans fil, mais ce qui est plus préoccupant, c’est que sa batterie pourrait tout simplement mourir.

Avec ces deux appareils, vous êtes prêt à sécuriser votre compte Google et tout autre service pris en charge. Le prix de 50 $ est bien mérité avec deux appareils intelligents et durables. Tu ne te tromperas pas avec ça. Il faut obtenir la meilleure note, mais nous retenons un prix du Choix de la rédaction pour cette catégorie jusqu’à ce que nous puissions examiner un plus grand nombre de produits concurrents.

Related Post

Laisser un commentaire