Google は 2 つの多要素認証サービスを提供しています。デジタル ID を保護するためにモバイル アプリケーションと物理キーのどちらを使用するか迷っている場合は、選択をサポートするものを以下に示します。
1年前に米国向けに発表されたGoogleのTitanキー下船した8月初旬、フランスにて。デジタル アカウントにアクセスするときに保護層を追加できます…Google Authenticator と同じように、マウンテンビュー会社が2010年に開始したアプリケーション。
しかし、一体なぜ Google は多かれ少なかれ同じ機能を提供する 2 つの製品を提供しているのでしょうか? Titan Key と Google Authenticator はどちらも同じタイプのプロセスを完了します。多要素認証(「MFA」は多要素認証、または要素が 2 つしかない場合は「2FA」)。
MFA は、単純なパスワードの代わりに、ユーザーを識別できるようにするためのいくつかの情報をユーザーに要求することで構成されます。たとえば、銀行が支払いを確認するために SMS を送信する場合がこれに該当します。 MFA は常に何もしないよりは優れていますが、使用するソリューションによっては完璧には程遠いです。 SMS の場合、詐欺サイトによるフィッシングからは保護されず、ハッカーが SMS を傍受したり、SIM カードを横取りしたりする可能性があります。
Authenticator と Titan は、MFA のより洗練された形式ですが、それぞれに長所と短所があります。
Google Authenticator は、MFA 手順用の実証済みのアルゴリズムに基づいています。時間ベースのワンタイムパスワード(TOTP)、共通の認証方法を推進する OATH コンソーシアムの中心的な標準です。皆さんはすでに TOTP に対処したことがあります。TOTP はサードパーティのデバイスで有効期間が制限されたコードを送信し、そのコードを本人確認を行うサイトに入力します。
優れた TOTP と同様に、必要なのはスマートフォンだけですAuthenticator または次のような競合アプリケーションを使用するには認証済み。お金をかける必要はなく、どちらも無料です。エンドツーエンドの暗号化は、SMS よりもはるかに優れた攻撃耐性を提供します。ただし、TOTP に固有の特定の欠陥は残ります。特に、からは保護されませんフィッシング。ユーザーが詐欺サイトで認証を試みた場合、ハッカーは実際のサイトで資格情報 (TOTP コードを含む) をすぐに再入力するだけで済みます。
Authenticator のもう 1 つの問題は、識別子が単一のデバイス、つまりユーザーのスマートフォンに保存されていることです。携帯電話を紛失すると、識別情報が永久に失われます。注意しないと、新しいデバイスにアップグレードするときにも同様の事故が発生する可能性があります。その後、Google アカウントを回復する手順を開始する必要があります。
Authy などの他の TOTP アプリケーションは、次の方法でこの問題を回避します。その識別子を雲、複数のデバイスからアクセスできます。しかし、そのとき私たちは、ハッカーの攻撃を受けやすくなる、被害者の電話番号になりすました場合、アプリケーションを制御できるようになります (これは、SMS による MFA と同じ種類の脆弱性です)。
Titan キー (または他の U2F キー) を使用する理由
スタンダードの到来普遍的な第 2 要素(U2F) 2014絶賛されましたサイバーセキュリティコミュニティによる。これにより、USB で接続または NFC で通信する物理キーを 2 番目の識別要素として使用できるようになります。 U2F は FIDO Alliance の管理下にあり、Google と、現在 YubiKey ID で知られる新興企業 Yubico によって共同開発されました。
Googleは数年にわたり独自の高度な保護プログラム、サービスに U2F 互換性を提供していますが、現在になって初めて、YubiKey の独自バージョンを Titan Key の形で提供しています。
Titan キーキット55ユーロかかりますフランスで。その価格で、に対する抵抗フィッシング保証されていますなぜなら、(本物の!) サイトはキーが物理的に存在することを検証できなければならないからです。これは Google のセールスポイントでもありました打ち上げ中昨年のその製品の。キーをデバイスに接続してボタンを押すだけなので、Authenticator よりもおそらく簡単に使用できます。割り当てられた時間内に画面上のコードをコピーする必要はありません。
キットには、メインキーと緊急キーの 2 つのキーが含まれています。まだ1つを失うことはそれほど悪くはありませんが、両方を間違えた場合、アカウント回復ボックスを通過する必要があります。全体として、Titan キーを使用すると、非常に無知な場合にのみ、アカウントにアクセスできなくなる危険があります。一方、TOTP アプリケーションの場合、特に携帯電話が盗まれた場合にこれが起こります。
U2F キーは一般に TOTP アプリケーションよりも安全で効率的ですが、セキュリティの脆弱性の影響を受けないわけではありません。昨年5月、Google折り返し電話しなければならなかったBluetooth 機能の脆弱性により、Titan キーの一部に問題が発生しました。
さらに進むには
SMS、コード、物理キー: 二重認証は本当に確実ですか?
隔週木曜日の午後 5 時から 7 時まで開催されるショーにご参加くださいロックを解除するによって制作されたフランアンドロイドなどヌメラマ!技術ニュース、インタビュー、ヒントと分析…またお会いしましょうTwitchでライブ配信するもしくは再放送でYouTube で!
Chiyoye 
Chiyoye 
Chiyoye