Hace unas semanas tuve la oportunidad de probar las llaves de seguridad físicas Titan Security Keys desarrolladas por Google. Aquí está mi reseña en Genbeta, explicándolo a fondo. Me gustaría resumir algunas de las cosas que tienes que tener en cuenta antes de comprarla y resolver algunas dudas sobre el uso de este tipo de llaves físicas de seguridad.
Primero, tienes que tener en cuenta que a día de hoy estas llaves de seguridad sólo sirven como sistema adicional para la verificación en dos pasos o Two Factor Authentication (2FA). Tanto en la cuenta de Google, Twitter o Github donde he probado configurarla es necesario tener previamente alguna forma de verificación previa.
Sobre estas formas adicionales, puedes usar tanto Google Authenticator, 1Password para almacenar esas claves temporales o el más rudimentario uso de los SMS. En el caso de Google, llevan tiempo avanzando en el tema de usar el móvil como sistema de verificación, ya sea con una Push Notification o con los móviles Pixel como si fuera un llave física usando el hardware de Titan M presente también en dichos dispositivos móviles.
Por otro lado, Google está desarrollando un programa avanzado para activistas, periodistas, directivos o responsables de infraestructura que permite un control más estricto en el que el uso de estas llaves forma un papel fundamental. La idea es evitar posibles ataques a distancia o phishing a mediante los códigos de seguridad que por ingeniería social pueden ser vulnerables. Con este medio sólo puedes acceder a tu cuenta si tienes en tu poder una llave física. Podéis apuntaros al programa beta para cuando sea accesible a todo el mundo.
Además de las Titan Security Keys existen otras llaves en el mercado, las más conocidas las Yubico
Probablemente, una de las más conocidas sea las Yubico. De hecho, es una de las empresas partner del proyecto de Google, cuya llave física de seguridad USB-C está basada en las suyas. Las actuales Titan Security Keys de Google viene en dos formatos: una USB-A con NFC incluido y otra Bluetooth, solamente.
Aquí en este post de The Verge podéis ver un amplio abanico de opciones. En mi opinión, sería imprescindible que como mínimo si adquirimos una llave física a día de hoy sea con USB-C y NFC.
Todas estas llaves están basadas en el estándar de seguridad FIDO (Fast Identification Online). Una alianza de varias compañías que buscan simplificar y securizar el acceso a las cuentas de usuario online. Su objetivo final es eliminar el uso del password debido a sus riesgos obvios: muchos de los passwords no son robustos, los usuarios los suelen reutilizar y son vulnerables a ataques a distancia por fuerza bruta o ingeniería social.
Aquí juega un papel fundamental WebAuth como el estándar de la W3C que utilizan los navegadores modernos como Chrome, Firefox, Opera o Edge para utilizar las llaves físicas en las web que usen estos sistemas.
¿En qué servicios o apps puedo usar las llaves de seguridad físicas?
En esta web podemos encontrar un amplio listado de servicios agrupados por sectores que hacen uso de las llaves de autenticación: WebAuthn, FIDO u OTP (One Time Passwords).
Con las Titan Security Keys he podido probarlo en Google, Github y Twitter. Aquí puedes ver los dispositivos y navegadores que soporta.
Obviamente, Google es la que mejor interfaz de usuario tiene y mejor cuida la experiencia de configuración. Puedes agregar un gran número de formas de autenticarnos adicionales: SMS, mensaje de Google en nuestro móvil, la propia app de Authenticator o los códigos de seguridad. Por supuesto, debemos introducir previamente el usuario y contraseña, de eso de momento no podemos prescindir.
El proceso de instalación es bastante sencillo. Elegimos la nueva forma de autenticación, permitimos al navegador leer el hadrware asociado del USB y vinculamos esa llave con su correspondiente certificado privado (interno) con nuestra cuenta. No olvides de asignarle un nombre para poder identificarla.
Github también tiene una experiencia bastante limpia y permite añadir esta forma de autenticación para acceder a nuestra cuenta. Twitter hace lo mismo, aunque sólo desde el navegador web, nada de apps.
Una de las preguntas que más curiosidad me produjo al realizar el análisis fue por qué muchas apps no tienen integrado esto aún. Parece que al menos en Android si es posible, ya que hay disponible un conjunto de APIs para manejar estos eventos e integrarlo en el propio flujo de autenticación. Es posible utilizarlos en los terminales que tengan Android 5.0 y dispongan de NFC.
Si quieres hacerte con las Titan Security Key puedes ir desde ya a la tienda oficial de Google y desembolsar entre 45 y 55 euros, dependiendo de la versión que elijas, pues hay un pack con una llave Bluetooth/NFC/USB y otra USB-A/NFC, y además está la Titan USB-C que estará disponible próximamente.
Deja un comentario