El mes pasado, les contamos que Google presume de ser una de las empresas con un alto nivel de seguridad, tanto que exige a sus empleados usar una llave de seguridad (Security key), para evitar ataques comunes como phishing, muy implementados por maleantes a sabiendas de que los usuarios de la web somos muy malos eligiendo contraseñas.
En este sentido, la compañía de Mountain View fue más allá y anunció Titan, su propia llave de seguridad interna, que en su momento solo estaba disponible para usuarios de Google Cloud, pero solo por unos meses, pues finalmente la empresa ha liberado Titan para el público en general.
La llave de seguridad USB Titan de Google, ahora está disponible para todo el que quiera una. El token de dos factores se puso en marcha hoy en la Google Store, con un kit completo disponible por US$50, que se envía de inmediato.
Los kits incluyen una llave con NFC y Bluetooth LE para uso inalámbrico, y una llave USB-A/NFC. La unidad inalámbrica tiene una duración de batería de 6 meses a ~ 3 “toques” por mes, y Google dice que muchos no tendrán que cargarla (a través de micro USB) más de una o dos veces al año.
De acuerdo con el comunicado oficial, las Titan Security Key, funcionan con casi todos los servicios de Google en Chrome, Android y Chrome OS, así como en otros servicios y aplicaciones como Dropbox, Facebook, GitHub, Salesforce, Twitter y en cualquier sitio donde se admitan las claves de seguridad FIDO.
Estas llaves de seguridad usan la autenticación multifactor ‘Universal 2nd Factor’ (U2F), pues además de pedir sus datos para iniciar sesión, como nombre de usuario y contraseña, requiere de un factor físico adicional para verificar su identidad. Bien puede ser verificar la huella o la retina, en este caso se trata de la security key, que el empleado debe presionar directamente.
Debido a que las claves se verifican a nivel de hardware y una vez que el usuario presiona, son mucho más resistentes a los ataques de phishing que un código de confirmación convencional.
Según Google, el proceso de producción también hace que las llaves sean más resistentes al phishing: “Este firmware está sellado permanentemente en un hardware de elementos seguros en el momento de la producción de chips“, dijo el gerente de productos de Cloud, Christian Braand, en una publicación hoy. “El chip que usamos está diseñado para resistir ataques físicos destinados a extraer firmware y material de clave secreta“.
La clave se diseñó inicialmente para uso interno de Google y ha estado en uso activo dentro de la empresa durante más de ocho meses.
Puede habilitar las claves de seguridad en su cuenta de Google desde la página de verificación en dos pasos, o registrarse en el Programa de Protección Avanzada aquí.