Desde hace tiempo Google lleva impulsando la tecnología de verificación en dos pasos (2FA) para acceder a las cuentas de cualquiera de sus servicios como Gmail, G Suite o Google Cloud. Aunque la adopción entre los usuarios sigue siendo bastante más baja de lo que debería, entorno a un 10%. Parte se justifica a que sigue siendo bastante engorroso tener instalada otra app que te proporcione un código (Google Authenticator, por ejemplo) o solicitar un número a través de SMS.
El tradicional método de generación de códigos temporales para autenticarse en sus servicios ha ido evolucionando al uso de llaves de seguridad físicas. Lo cual fue probado de forma interna en Google con sus propios empleados. Como ya os comentamos, aunque estaban disponibles en algunos países como EE.UU desde hace tiempo, es a partir de este mes de marzo cuando están disponibles en la tienda oficial de Google.
nuestros compañeros de Xataka, hemos tenido la oportunidad de probar el primer modelo que llega a nuestro país de las Titan Security Key: un pack con una llave USB-A/NFC y otra de respaldo Bluetooth/NFC. De momento, tenemos que esperar por el modelo Titan Security Key con USB-C, el cual puede ser más útil a día de hoy viendo que es el estándar de los nuevos dispositivos como móviles, PCs o Macs.
El usuario medio ha cedido sus datos personales a 350 empresas, y ya no se acuerda de la mayoría de ellas
EN GENBETA
El usuario medio ha cedido sus datos personales a 350 empresas, y ya no se acuerda de la mayoría de ellas
¿Qué diferencia a estas llaves de otras llaves compatibles con FIDO en el mercado?
Lo primero que hemos hecho es averiguar a qué nivel cumple los estándares de FIDO, y qué podemos esperar de estas llaves de seguridad y qué servicios ofrecen a día de hoy soporte.
Aunque puede parecer que usando estas llaves de seguridad no necesitaremos introducir nunca más un password, no es así. Y tal como hemos comentando antes, estas llaves solo sirven como segundo factor de autenticación. Que nadie se confunda, ya que este punto es importante antes de adquirir este tipo de dispositivos.
Cumple el estándar FIDO, el cual permite a navegadores y clientes que implementen WebAuth de la W3C utilizar este hardware para realizar la verificación de seguridad. Internamente este hardware tiene una clave privada fuertemente cifrada mediante la tecnología de encriptación Titan de Google. Además, nos permite verificar si el sitio web al que estamos accediendo es legítimo, ya que verifica que la URL no esté comprometida por ningún hacker.
De momento, salvo actualización de firmware sorpresa, no hay soporte para FIDO2 que posibilita password less que impulsa Firefox, es decir, usar la llave física como un método único de acceso sin requerir ningún password ni clave de autorización.
El gran punto fuerte es el chip de seguridad Titan que cuenta con un firmware creado específicamente por Google para comprobar la integridad de las llaves y que la URL a la que accedemos sea válida.
En principio, el gran punto fuerte, como su nombre indica es el chip de seguridad Titan que cuenta con un firmware creado por Google para comprobar la integridad de las llaves. Esto permite garantizar que las llaves no ha sido alteradas ni comprometidas. Es la misma tecnología en la que se basa el chip de los Pixel 3 y 4, Titan M, que por cierto, puede ser usado de la misma forma que dicha llave fisica de seguridad.
Los dispositivos que hemos podido probar son la revisión T3 de estas llaves Titan. Tened muy en cuenta que hace unos meses salió una vulnerabilidad para las versiones T1 y T2 de la versión bluetooth distribuidas en EE.UU y Google se vio obligada a reemplazar las llaves. Aseguraos bien de no tener una de ellas compradas con anterioridad. Con esta versión de Titan Security Key puedes estar seguro. No está de más comprobar el modelo en la parte inferior del dorso de las llaves.