Google的实体安全金钥Titan正式上市

Google

Google I/O上宣布用于防止钓鱼网站的实体安全金钥Titan周四正式在Google Store上架。可惜，台湾地区尚未开卖。

目前在Google Store销售的Titan安全金钥包含一对，分别为USB及蓝牙/NFC版本，售价50美元，蓝牙/NFC版主要作为备份钥匙，也可用于解锁行动装置。

Titan安全金钥採用Google参与开发的FIDO规格，内部晶片包含Google开发、用以验证金钥完整性的韧体，旨在防止Google帐号遭受网钓及其他窃取用户密码的社交工程攻击。Google认为FIDO标準是最能防範网钓、最强大的双因素认证。而比起传统以简讯传送一次性密码的双因素验证（2FA）方式，它还可省下使用者记忆複杂密码的麻烦。

Google引述Verizon 2018资料外洩调查报告指出，企业内部41.6%的资料外洩是出于密码被窃、网钓和假冒身份。2012年起，Google和Yubico、NXP作在内部署实体安全金钥作为第二验证，今年Google I/O上发布这款产品时，Google宣称全公司8.5万名员工过去一年没有发生过任何网钓事件。

Google早在去年针对政治人物、记者等可能被窃密的用户推出进阶防护方案（Advanced Protection Program）即曾包含同样概念的硬体金钥，只是当时Google推荐的是合作伙伴Yubico的USB安全金钥YubiKey。

Google周四指出，Titan安全金钥和别家产品最大的不同在于它的生产过程。它负责执行密码运算的韧体在製造阶段即永久封装在安全元件硬体晶片中，这个晶片可免于抓出韧体和密钥内容的实体攻击，然后再送到工厂产线上生产成实体金钥，安全性高于于事后才加入防护的生产过程。（来源：Google）

虽然Google对产品的安全性挂保证，但有一点颇值得注意。CNBC及The Information报导，製造Titan安全金钥的是中国业者飞天诚信（Feitian）生产。Google仅在其新闻稿中提及Yubico和飞天诚信都生产类似产品。

Titan安全金钥可用于所有支援FIDO验证协定的网站，除了Google自家服务，其他较知名的服务包括Dropbox、脸书、GitHub、Salesforce、Stripe、Twitter等。

要用于Google帐号时，需先到Google帐号下的两步骤验证页开启设定，Google Cloud管理员则可在G Suite及Google Cloud Platform上强制用户使用硬体安全金钥。