Google hat gerade ein aktualisiertes Modell seines Titan Security Key freigegeben. Dieser USB-Stick dient zur Authentifizierung und soll Unterstützung für USB-C bieten.
Anzeige
Googles Titan Security Keys
Das Unternehmen hatte Titan Security Keys auf der Google Cloud Next '18 Convention in San Francisco vorgestellt. Die USB-Lösung soll, ähnlich dem YubiKey von Yubico, eine hardwarebasierte Zwei-Faktor-Authentifizierung für Online-Konten mit dem höchsten Grad an Schutz vor Phishing-Angriffen bieten. Google hat diese Lösung in der Vergangenheit bei den eigenen Mitarbeitern verwendet. In der Vergangenheit hatte ich hier im Blog über diese Lösung berichtet, weil es Sicherheitsmängel gab (siehe Links am Artikelende).
Titan Security Key mit USB-C-Support
XDA-Developers ist aufgefallen, dass Google nun eine neue Variante der Titan Security Keys mit USB-C-Support für 50 US $ im Google Store (in Deutschland wird der Stick nicht angezeigt, im US-Store ist er aber wohl auch noch nicht gelistet) anbietet. Die Ankündigung des Produkts findet sich im Google Security-Blog – der USB-Stick wird zunächst nur in den USA angeboten.
Der USB-C Titan Security Key funktioniert genauso wie das USB-A-Modell. Es ist nach dem FIDO Universal 2nd Factor (U2F) Standard gebaut und mit Android, Chrome OS, Windows und macOS kompatibel.
Titan Security Key, Quelle: Google
Anzeige
Die Firmware zur Implementierung der Authentifizierungsfunktionen ist dabei dauerhaft in einem sicheren Hardware-Chip versiegelt, was es für einen physischen Angriff sehr schwierig macht. Im Gegensatz zu den beiden vorherigen Titan-Keys hat dieser neue Titan Security Key keine NFC-Unterstützung.
Google hat zur Entwicklung und Herstellung mit Yubico kooperiert. Der chinesische Hersteller hat bereits viel Erfahrung auf diesem Gebiet und hat auch die vorherigen Modelle entwickelt. Google wird den USB-C Titan Security Key für 40 Dollar im Google Store verkaufen.
Ähnliche Artikel:
Sicherheitsproblem in Googles Titan Security Keys
Google Titan Security Keys – Made in China
Anzeige
Hallo,
Das Problem ist, dass man erst dann weiß was man hat, wenn man es in Händen hält. Selbst eine Werbung mit "Fido-Zertifikat" und "U2F" bringt einen ggf. nicht an's Ziel.
Ich habe mir einen preiswerten Stick bei Amazon zugelegt, der mit "Fido-Zertifikat" beworben wird. Er funktioniert nach den WebAuthn.io- Vefahren, aber nicht unter Windows-Hello (Win 10 1903).
Ich hatte ihn mir gekauft, um dem Zugriff auf ein Notebook (im Diebstahlsfall) erfolgreich zu verhindern. Genau das funktioniert leider nicht.
Dropbox u.a. Online-Accounts lassen sich damit absichern.
Kann man natürlich sagen: "Selbst schuld, wer zu billig kauft." Der Stick hat nur 8,95 Euro gekostet (hyperfido Titan – U2F Sicherheit Schlüssel) und keine 45 – 50 Euro wie z.B. Yubikey oder dieser Google-Stick.
Ärgerlich ist es trotzdem.
Freundliche Grüße
P.B.
Ich habe mit den Titan-Keys prinzipiell die gleichen Probleme wie mit jenen, die direkt von YubiCo kommen. Mit dem Prinzip von U2F und dem Hardwaredesign der derzeit erhältliche Keys habe ich das nächste Problem – allerdings it Problem Nr. 2 abhängig vom persönlichen Threat-Modell vielleicht auch kein Problem ;-)
Problem Nr 1:
Nichts an den Keys lässt sich von unabhängiger Stelle verifizieren. Weder das Hardwaredesign noch die Implementierung der Software. es ist unklar, ob es Schwachstellen, Hintertüren o.ä. gibt. Man muss den Herstellern vertrauen – und Vertrauen braucht für mich eine belastbare Grundlage.
Gegen Google spricht der Firmensitz und der damit prinzipiell geltende rechtliche Rahmen, dem das Unternehmen unterworfen ist.
Bei YubiCo ist es ähnlich.
Dazu kommt, dass ich bisher weder YubiKeys noch Google Titan-Keys irgendwo in einem Ladengeschäft anonym erwerben konnte – ganz im Gegenteil weiß wenigstens der Hersteller, das ich ein solches Produkt erworben habe und es ist ihm aus diesem grund möglicherweise auch möglich, ein Gerät anhand Seriennummer einem Käufer zuzuordnen – dieser Punkt trifft übrigens auch auf NitroKeys zu, die ansonsten vorbildlich hinsichtlich Transparenz und Verifizierbarkeit sind.
Mit Fido U2F habe ich außerdem das Problem, dass es lediglich gegen Angriffe auf den vorhersehbaren Weg über die übliche Anmeldung schützen – also beispielsweise den Missbrauch gestohlener Zugangsdaten erschweren oder bestenfalls verhindern. Gelingt einem Angreifer hingegen ein Einbruch in die Infrastruktur und hat der Betreiber nicht durchgängig sichere Verschlüsselung implementiert, war das Vorhaben für die Katz.
Gegen Man-in-the-Middle-Attacken helfen Fido U2F-Keys ebenfalls nicht – ein Angreifer, der beispielsweise einen SSL-Proxy (so etwas kann auch leigitim zur Absicherung eines Firmennetzwerks erfolgen) einsetzt, kann sich dann vielleicht nicht einloggen – er kann aber mitlesen. Auch Browser-Plugins mit Zugriff auf die Webinhalte (Werbeblocker etc.) können Daten abschnüffeln.
Das ist zwar keine prinzipielle Schwachstelle von Fido U2f – da es hierfür nie gedacht war – es ist aber wichtig zu wissen, das diesbezüglich kein Schutz durch Fido U2f möglich ist.
Wesentlich ist aber, dass bisher kein mir bekanntes Fido U2F-Token einen Diebstahlschutz hat. Wer auch immer es besitzt, der kann es auch nutzen. Und DAS ist ein Problem. Zwar wurden Keys mit Fingerabdruck-Sensor angekündigt – aber spannend ist der deren Verfügbarkeit, deren Schutzklasse und ob diese Keys unabhängig auditierbar sind.
Weshalb ist der Schutz wichtig? Auch wenn sich jemand nichts zu schulden kommen lässt, kann er dennoch beispielsweise bei der Einreise in ein Land oder im Rahmen von Ermittlungen oder nachrichtendienstlicher Tätigkeit zum Ziel staatlicher Gewalt werden. In diesem Fall bieten die Keys keinen Schutz – denn wer immer sie besitzt, der kann sie auch nutzen und Passwörter kann man durch Androhung und Ausübung von Gewalt erpressen.
Das mag zwar erst einmal kein "Allerweltszenario" sein – aber so abwegig ist das in Zeiten, in denen man seine Social-Media-Konten und E-Mail-Adressen bei Einreise in ein angeblich freies und demokratisches Land angeben soll, dann doch nicht mehr.
Hier liegt der Fehler aber m.E. nicht m Verfahren, sondern im Hardwaredesign – am ende ist das aber gleich, weil es derzeit keine entsprechende Hardware gibt und damit das Problem immer besteht.