A Titan Security Key é uma solução de hardware desenvolvida pela Google, que pretende ajudar os seus clientes a autenticar, com a máxima segurança, a entrada nas suas contas.
O dispositivo recentemente lançado no mercado foi testado durante mais de um ano pelos próprios funcionários da empresa e os resultados foram de tal modo bons que a chave já começou a ser disponibilizada para o mercado norte-americano.
A empresa garante que nenhum dos seus 85 mil funcionários sofreu ataques de phishing desde que utiliza o novo hardware. Mas o que é e como funciona esta chave?
O que é a Titan Security Key?
Fonte: Google / Divulgação
A chave Titan foi criada para funcionar com base nos sistemas da autenticação de dois fatores (2FA). O exemplo mais conhecido deste tipo de sistema, e que todos já utilizamos, é o cartão Multibanco.
Possuímos um cartão único, o primeiro fator, e para o utilizarmos temos de saber um código, o segundo fator. Na autenticação das contas virtuais online, o sistema funciona de forma semelhante.
O utilizador introduz a sua password, o primeiro fator, e depois tem de introduzir um código que lhe vai chegar por SMS ao telemóvel ou por mensagem numa aplicação/e-mail, o segundo fator. Este sistema é frequentemente utilizado por defeito nos serviços de homebanking e pode ser ativado em contas de e-mail, como já é o caso das contas Gmail.
As chaves de autenticação como a Titan vêm substituir o segundo fator de segurança. Em vez de o utilizador esperar pela mensagem com o código para se autenticar, ele pode inserir a chave que tem em sua posse e a autenticação será feita.
A Titan Security Key vai ser comercializada em duas versões, um formato que se ligará ao computador através de USB e outro que pode ligar-se ao smartphone ou a outro dispositivo via Bluetooth. Estes dois formatos, USB/NFC e USB/NFC/Bluetooth, são compatíveis com o padrão FIDO para mecanismos de autenticação.
Este padrão foi criado por gigantes como a Google, Microsoft, Samsung e PayPal e o seu objetivo é substituir a longo prazo as autenticações com códigos extras e as passwords que, graças às constantes evoluções da pirataria, tiveram de se tornar cada vez mais longas, complexas e, por isso, mais difíceis de memorizar.
Os substitutos são, para já, mecanismos ou funcionalidades como leitores de impressões digitais e este tipo de chaves USB de autenticação que garantem a segurança dos utilizadores. Nos caso das chaves Titan, elas contam com o firmware criado pela Google para verificar a integridade do hardware e usam criptografia para verificar a chave de segurança do utilizador e o endereço da página de login.
Como funciona a Titan Security Key
Fonte: Google / Divulgação
As chaves Titan funcionam como as outras chaves de segurança que já existem no mercado. Neste caso, depois de comprar a chave, basta aceder à sua conta Google e clicar no “Login & Segurança” (Sign-in & Security) e procurar por “Verificação em 2 Passos” (2-Step Verification).
Caso ainda não tenha ativado esta segunda camada de segurança, está na hora de seguir os passos para fazê-lo. Se já estiver ativado, procure apenas o “Configurar Segundo Passo Alternativo” (Set up Alternative Second Step) e vai-lhe aparecer “Adicionar Chave de Segurança” (Add Security Key).
O resto é feito automaticamente e terá de repetir os passos para a opção Bluetooth. Quando lhe for pedido para a ligar ao seu smartphone ou computador, basta carregar no botão que vem na pequena chave, muito semelhante aos botões que existem nas chaves automáticas para abrir veículos.
Em poucos segundos fica com as chaves ativas e, a partir desse momento, em vez de utilizar o Google Authenticator, ou esperar pelo SMS para introduzir o segundo fator, basta estar na posse desta chave física para garantir a entrada nas suas contas em segurança, quer esteja no seu computador, no seu smartphone ou noutros dispositivos emprestados.
Quais as vantagens e as desvantagens?
Vantagens
1. Segurança
Este tipo de chaves não são apenas uma metáfora amigável que permite aos utilizadores abrir as portas do seu mundo digital como abrem o seu carro ou a sua casa.
Tendo uma existência física, elas conseguem mesmo barrar o acesso dos hackers a um dos fatores do sistema 2FA. Ao deixar de ser capaz de intercetar mensagens com códigos e passwords, ele deixa de conseguir aceder e controlar remotamente às contas alheias, a não ser que tenha acesso físico às suas chaves.
2. Uma password na mão
Ter uma chave Titan é como ter uma password física na não. Não terá dificuldade em memorizá-la e ninguém que não a tenha poderá utilizar as suas contas. Tal como ninguém entra em sua casa ou no seu carro sem ter acesso às suas chaves.
Podendo ser utilizadas por motivos pessoais, estas chaves são particularmente indicadas para o uso profissional dentro das empresas, especialmente para os detentores de cargos de mais responsabilidade e para proteger as contas de pessoas mais vulneráveis a ataques direcionados, como jornalistas ou políticos, por exemplo.
A Google afirma que estas chaves são compatíveis e podem ser conjugadas com programas de segurança mais avançados.
Desvantagens
1. Perder a chave
É mais um objeto que terá de carregar sempre consigo. Ambos os formatos, USB e Bluetooth, trazem um furo para que possa colocar os dispositivos no seu porta-chaves, mas já sabe, ao esquecer-se dele em casa ou se o perder, não vai conseguir entras nas suas contas. E a Google pode levar mais ou menos uma semana para lhe resolver o problema.
2. Carregar a bateria
As maiores críticas, mesmo das marcas que já estão no mercado, vão para o modelo Bluetooth que precisa de ser carregado, o que pode oferecer uma experiência não tão boa ao utilizador deste formato.
3. Compatibilidade
Outro senão da Titan Security Key tem a ver com o facto da Google garantir que as suas chaves de segurança funcionam e podem ser utilizadas em quaisquer serviços que suportem autenticação 2FA de acordo com o padrão FIDO. Apesar deste ser um ecossistema em crescimento, ainda pode ser um pouco limitado.
Por agora, tudo o que abrange a Google, como o Gmail e a Google Cloud, são compatíveis. O Facebook e a Dropbox já aderiram e o sistema é aberto, o que quer dizer que outros serviços podem aderir, mas até lá é um pouco limitado para quem viva maioritariamente fora do mundo Google.
Se ficou interessado, saiba que, por agora, ainda não há previsão para que possa comprá-la em Portugal através da Google Store, mas é provável que demore pouco a cá chegar.
Nos Estado Unidos, o kit com os dois formatos, USB e Bluetooth, custa 50 dólares, mas pode ser comprado em separado. Se não quiser esperar, lembre-se que já existem outras chaves no mercado como, por exemplo, a Yubikey da Yubico e que podem ser compradas em Portugal via Amazon ou através da Dotforce espanhola, que também distribui para o nosso país com condições especiais para empresas.
Veja também: