Desde hace tiempo Google lleva impulsando la tecnología de verificación en dos pasos (2FA) para acceder a las cuentas de cualquiera de sus servicios como Gmail, G Suite o Google Cloud. Aunque la adopción entre los usuarios sigue siendo bastante más baja de lo que debería, entorno a un 10%. Parte se justifica a que sigue siendo bastante engorroso tener instalada otra app que te proporcione un código (Google Authenticator, por ejemplo) o solicitar un número a través de SMS.
El tradicional método de generación de códigos temporales para autenticarse en sus servicios ha ido evolucionando al uso de llaves de seguridad físicas. Lo cual fue probado de forma interna en Google con sus propios empleados. Como ya os comentamos, aunque estaban disponibles en algunos países como EE.UU desde hace tiempo, es a partir de este mes de marzo cuando están disponibles en la tienda oficial de Google.
Al igual que nuestros compañeros de Xataka, hemos tenido la oportunidad de probar el primer modelo que llega a nuestro país de las Titan Security Key: un pack con una llave USB-A/NFC y otra de respaldo Bluetooth/NFC. De momento, tenemos que esperar por el modelo Titan Security Key con USB-C, el cual puede ser más útil a día de hoy viendo que es el estándar de los nuevos dispositivos como móviles, PCs o Macs.
¿Qué diferencia a estas llaves de otras llaves compatibles con FIDO en el mercado?
Lo primero que hemos hecho es averiguar a qué nivel cumple los estándares de FIDO, y qué podemos esperar de estas llaves de seguridad y qué servicios ofrecen a día de hoy soporte.
Aunque puede parecer que usando estas llaves de seguridad no necesitaremos introducir nunca más un password, no es así. Y tal como hemos comentando antes, estas llaves solo sirven como segundo factor de autenticación. Que nadie se confunda, ya que este punto es importante antes de adquirir este tipo de dispositivos.
Cumple el estándar FIDO, el cual permite a navegadores y clientes que implementen WebAuth de la W3C utilizar este hardware para realizar la verificación de seguridad. Internamente este hardware tiene una clave privada fuertemente cifrada mediante la tecnología de encriptación Titan de Google. Además, nos permite verificar si el sitio web al que estamos accediendo es legítimo, ya que verifica que la URL no esté comprometida por ningún hacker.
De momento, salvo actualización de firmware sorpresa, no hay soporte para FIDO2 que posibilita password less que impulsa Firefox, es decir, usar la llave física como un método único de acceso sin requerir ningún password ni clave de autorización.
En principio, el gran punto fuerte, como su nombre indica es el chip de seguridad Titan que cuenta con un firmware creado por Google para comprobar la integridad de las llaves. Esto permite garantizar que las llaves no ha sido alteradas ni comprometidas. Es la misma tecnología en la que se basa el chip de los Pixel 3 y 4, Titan M, que por cierto, puede ser usado de la misma forma que dicha llave fisica de seguridad.
Los dispositivos que hemos podido probar son la revisión T3 de estas llaves Titan. Tened muy en cuenta que hace unos meses salió una vulnerabilidad para las versiones T1 y T2 de la versión bluetooth distribuidas en EE.UU y Google se vio obligada a reemplazar las llaves. Aseguraos bien de no tener una de ellas compradas con anterioridad. Con esta versión de Titan Security Key puedes estar seguro. No está de más comprobar el modelo en la parte inferior del dorso de las llaves.
Configurando Titan Security Key como nuestro segundo factor de seguridad
Hay una amplio número de servicios ya disponibles. Aquí hay un listado oficial de FIDO constantemente actualizado junto con la ayuda de configuración y detalles de soporte.
Una llave de Titan Security Key puede usarse en múltiples servicios, aunque claro, tendrás que ir uno a uno añadiéndolo en el panel de seguridad de cada uno de ellos.
Hemos probado la experiencia de configuración en la cuenta de Google, obviamente, Github y Gitlab como servicios para desarrolladores en los que es importante tener el código a buen recaudo. También en Twitter para evitar el uso fraudulento de nuestras cuentas y en Coinbase para reforzar el 2FA con una llave de seguridad que proteja nuestras criptomonedas.
En todos estos servicios sólo nos permiten usar la llave física si antes configuramos otras formas de respaldo adicional como código SMS o código temporal de verificación con Google Authenticator, Authy o similar. ¿Cuál es la razón de esta medida? Obviamente, no podemos confiar plenamente en no perder una llave física, aunque normalmente contamos con dos pares de llaves como los de este pack de prueba Titan Security Key.
El caso de uso habitual sería tener una app de generación de códigos temporales, como el citado Google Authenticator en el móvil o 1Password que también lo permite, pero si por alguna razón no tenemos conexión aquí es donde la llave de seguridad nos puede salvar la vida. Pero siempre es bueno tener estas dos posibilidades a mano. Nadie quiere perder el acceso a algunos de sus servicios.
Obviamente una llave de Titan Security Key puede usarse en múltiples servicios, aunque claro, tendrás que ir uno a uno añadiéndolo en el panel de seguridad de cada uno de ellos.
Empezamos por el de Google, probablemente con la interfaz más cuidada de todos los servicios que hemos probado para añadir una nueva llave de seguridad. Podemos revisar de un vistazo todas las formas con las que podemos acceder a nuestra cuenta. Ya sea por SMS a nuestro número principal, mensaje de Google a nuestro móvil Android, Aplicación de Authenticator o código de seguridad.
Al pulsar sobre añadir llave de seguridad se nos abrirá un diálogo en el que nos dejará elegir una llave física hardware o incluso nuestro móvil Android si es compatible con Titan M (Pixel 3 y Pixel 4).
Indicamos que queremos añadir una llave USB o Bluetooth, y nos indica claramente que la insertemos en el puerto USB y toquemos el disco dorado que tiene. El proceso es bastante rápido. Recordemos que necesitamos acceder a esta cuenta de Google con alguno de los navegadores compatibles Chrome (el que hemos usado para la prueba), Firefox, Opera o Edge. En el caso de las llaves Titan Security Key, hemos tenido que usar el adaptador de USB-A a USB-C.
Nos aparecerá justo debajo de la barra de direcciones una autorización para leer la llave física (esto lo tendremos que hacer sólo la primera vez que lo usemos en el navegador). Aceptamos la autorización y en pocos segundos se habrá leído la llave y estará vinculada con nuestra cuenta de Google. Recordad añadir un nombre descriptivo para no olvidar que llave tienes vinculada en cada servicio.
En Google podemos tener hasta 6 formas de doble verificación después de introducir la contraseña.
A partir de ahora, cada vez que iniciemos sesión en un ordenador no conocido previamente tendremos que insertar la llave o cualquiera del resto de formas de verificación en dos pasos. Utilizando las Titan Security Key hemos visto como acortamos ese paso en segundos, basta con introducir la llave cuando se nos solicite y ella sola verificará que la URL es correcta y nos dará acceso a nuestra cuenta. Si en algun caso la perdemos o queeremos dejar de utilizara basta con ir al panel de usuario y desvincularla. Esto evitaría cualquier situación de riesgo.
También hemos hecho pruebas con Github con una experiencia bastante limpia. De este modo podemos acceder a nuestra cuenta con usuario más password y sustituir el 2FA numérico introduciendo la llave física.
Una vez configurado de una forma similar, aquí podéis ver lo que nos muestra Github después de introducir el usuario y password. Sólo tenemos que introducir la llave de seguridad para poder entrar a nuestra cuenta.
Con Twitter hemos tenido una experiencia sin problema y rápida, aunque la interfaz está menos cuidada y tenemos que añadir, si no lo tenemos, la verificación por SMS y el 2FA numérico antes de poder agregar la llave de seguridad física.
¿Merece la pena?
La idea de estas llaves de seguridad, al igual del trabajo del estándar FIDO, es tener un elemento rápido y seguro como elemento de verificación en dos pasos. Es cierto, que no todos los usuarios están familiarizados con este tipo de dispositivos pero quizás resulten incluso más sencillo de usar que un generador de claves temporales para los usuarios menos avanzados.
Bastaría con tener este dispositivo en nuestro llavero y usarlo cada vez que accedemos a nuestra cuenta en un ordenador que no sea el habitual. Además este tipo de dispositivos como la Titan Security Key nos permite ser independiente del móvil, sobre todo si estamos en algún sitio donde no existe cobertura para recibir un SMS o nos hemos quedado sin bateria para generar una clave temporal.
Aunque en este análisis no lo hemos mencionado, estas llaves pueden usarse también con algunos terminales de Android que dispongan de NFC y Android 5.0. Al menos para las cuentas de Google funciona simplemente acercando la llave a la parte trasera para poder usarlo. De momento, el soporte para las apps está limitado aunque Android ya dispone de una API abierta para que pueda ser integrada en cualquier app.
El gran inconveniente que he visto en estas llaves es que prácticamente todos los nuevos dispositivos cuentan con puerto USB-C. Disponemos de un adaptador pero hace más engorroso poder usarlo. Si estás interesado en adquirir una de estas llaves, personalmente esperaría al modelo USB-C que está a punto de salir al mercado.
Por último, recordar de nuevo que estos dispositivos están pensando para ser un aliado a la hora de la verificación en dos pasos. De momento no es posible usarlas íntegramente para autenticarnos, aunque Google tiene una iniciativa en marcha, Protección Avanzada de Google, para perfiles profesionales (administradores de sistemas) que requiere un extra de seguridad, ahora mismo está disponible en fase de lanzamiento donde nos podemos inscribir a la lista de espera.
Si quieres hacerte con las Titan Security Key puedes ir desde ya a la tienda oficial de Google y desembolsar entre 45 y 55 euros, dependiendo de la versión que elijas, pues hay un pack con una llave Bluetooth/NFC/USB y otra USB-A/NFC, y además está la Titan USB-C que estará disponible próximamente.
Disney+ rebajado de 69,99 euros a 59,99 euros durante un año: oferta limitada hasta el 23 de marzo
Ver 1 comentarios