Secondo Google la sicurezza dei propri 85 mila dipendenti è stata fin qui garantita da un esperimento di successo che ora sarà messo a disposizione di chiunque voglia blindare i propri account. La novità è nella cosiddetta Titan Security Key, un sistema di autenticazione a più fattori in grado di proteggere gli account da attacchi di phishing. L’annuncio in occasione della Google Cloud Next 2018.
La Titan Security Key è realmente una chiave, disponibile in duplice versione, da conservare fisicamente laddove si fa uso più intensivo dei propri account. La chiave torna infatti utile qualora si debba accedere al proprio account da un nuovo device, oppure laddove Google ne richieda l’uso per motivi di sicurezza: l’accesso fisico a tale strumento è indispensabile per poter procedere, il che impedisce a qualsivoglia cracker di poter utilizzare a piacimento account di cui si è entrati in possesso truffando l’utente.
Una chiave vera e propria insomma, la cui sicurezza è data tanto dalla sua fisicità (ed impossibilità di accesso da remoto) quanto dalle tecnologie utilizzate per blindarne i parametri ivi conservati. Con questo espediente si va oltre i limiti dell’autenticazione a due fattori, aggiungendo un elemento concreto che, in quanto oggetto fisico, non può essere rubato se non accedendo all’abitazione o all’ufficio dell’utente.
Una tattica comune utilizzata dai criminali è quella di creare siti di phishing che fingono di essere Google e richiedono i codici per la verifica in due passaggi. I token di sicurezza forniscono una migliore protezione contro questi e altri attacchi perché utilizzano la crittografia e funzionano solo sui siti predisposti.
Titan Security Key: USB o Bluetooth
Esistono due versioni della Titan Security Key di Google: una è USB e l’altra dotata di connettività Bluetooth. In entrambi i casi la chiave va accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.
La versione USB è di piccole dimensioni ed è una peculiare chiavetta USB con un piccolo lettore sul fianco. Il lettore è utile a testimoniare la presenza dell’utente nel momento stesso in cui Google fa il controllo: “I token di sicurezza semplificano la verifica in due passaggi. Basta toccare il pulsante sul token invece di ridigitare i codici.”
La verifica in due passaggi con un token di sicurezza utilizza la crittografia per fornire una verifica bidirezionale: assicura che tu acceda al servizio per cui hai originariamente registrato il token di sicurezza e il servizio verifica anche che il token di sicurezza sia corretto. In questo modo viene garantita una protezione superiore al momento della verifica dei messaggi di testo.
Una seconda versione è invece basata su tecnologia Bluetooth: a differenza della precedente non richiede l’inserimento fisico nel dispositivo, ma è sufficiente un pulsante ed un accoppiamento Bluetooth per poter inviare i token desiderati nel momento desiderato. La funzionalità è la medesima e nella confezione è fornito un cavetto USB utile per la configurazione iniziale.
Entrambe le versioni saranno in vendita entro i prossimi mesi ad un prezzo compreso tra i 20 ed i 25 dollari. Il requisito per il funzionamento è uno soltanto: la presenza di una presa USB o di una connessione Bluetooth tramite le quali far comunicare la chiave con il servizio remoto per lo scambio dei token. Ogni informazione è disponibile sull’apposito sito dedicato alla Security Key Enforcement, ove gli utenti Google Cloud possono fin da ora chiedere informazioni per il test o l’acquisto.
Titan Security Key: noi l’abbiamo provata
La chiave di sicurezza sviluppata da Google va sulla scia di altre chiavi concorrenti: Google non ha inventato qualcosa di nuovo, ma il fatto che il gruppo di Mountain View ci metta mano moltiplicherà in modo considerevole la portata di questo tipo di dispositivi per la certificazione degli account e la blindatura delle password. Il progetto prende il nome di Advanced Protection Program e l’azienda lo ha portato avanti testando nel tempo i benefici dell’uso delle chiavi. Le chiavi non sono state distribuite soltanto ai dipendenti Google, ma anche ad alcuni tester esterni: noi siamo stati tra questi e le immagini utilizzate in questo articolo sono scattate sulle chiavi originali che abbiamo avuto in prova.
Le chiavi si sono dimostrate tanto semplici da configurare, quanto da usare. La confezione contiene lo stretto necessario per capire cosa fare al primo utilizzo, dopodiché la procedura guidata consente una facile identificazione dei passi da compiere. Sebbene siano del tutto sostituibili, tra le due versioni è preferibile quella USB. Rispetto a quella USB, infatti, c’è una innegabile componente psicologica legata al fatto che il dito sulla chiave inserita trasmette un senso di fisicità forte, come se fosse il proprio stesso corpo ad abilitare il proprio account; nei fatti nulla cambia rispetto alla versione Bluetooth, che si percepisce però più come un telecomando.
In entrambi i casi le chiavi sono estremamente compatte e dotate di un foro che ne consente il trasporto in un portachiavi. Non va infatti sottovalutata l’utilità della chiave in mobilità: qualora per qualsivoglia motivo Google ne chiedesse l’uso, infatti, si soffrirebbe la difficoltà di essere tenuti fuori dai propri stessi account poiché impossibilitati ad accedere fisicamente alla propria chiave nell’immediato. L’importanza della chiave è del tutto evidente soprattutto in ambito aziendale, dove la Titan Security Key può fare la differenza (e così è stato direttamente negli uffici Google, ad esempio); in ambito consumer, benché del tutto consigliabile, è spesso già complesso spiegare l’utilità di una autenticazione a due fattori, quindi difficilmente riuscirà a far breccia su larga scala un dispositivo di questa natura.