Titan安全密钥

Titan安全密钥(英語:Titan Security Key)是Google开发的符合FIDO要求的安全令牌,其中包含同样由Google开发的Titan M加密处理器。于2019年10月15日首次发布。[1]

特性

根据功能不同,密钥的价格为25至35美元, [2]而谷歌会向高风险用户免费提供密钥。 [3]它提供更安全的双重身份验证,可用于登录各种第一方和第三方服务,以及注册Google高级保护计划。2021年,谷歌出于对安全性和可靠性的担忧,移除了蓝牙模块。 [2]

2023年11月,谷歌推出一款支持通行密钥保护的型号。 [4]

漏洞

蓝牙“T1”和“T2”型号最初存在安全漏洞,允许30英尺范围内的任何人复制密钥。[5]安全公司NinjaLab已经能够利用侧信道攻击提取密钥。[6]2019年,谷歌为Titan芯片设置了高达150万美元的漏洞赏金[7]

较新的版本和型号包括:[8]

  1. USB-A/NFC (K9T)
  2. 蓝牙/NFC/USB (K13T)
  3. USB-C/NFC (YT1)
  4. 支持U2F和FIDO2的USB-C/NFC (K40T)

虽然这些产品中均未包含已公开披露的安全漏洞,但谷歌已于2021年8月停止销售蓝牙版本的密钥,[9]但蓝牙密钥仍可继续使用且享受保修。[10]

参考文献

  1. ^ USB-C Titan Security Keys - available tomorrow in the US. Google Online Security Blog. [2022-02-03]. 
  2. ^ 2.0 2.1 Clark, Mitchell. Google’s new Titan security key lineup won’t make you choose between USB-C and NFC. The Verge. 2021-08-09 [2022-02-04] (英语). 
  3. ^ Page, Carly. Google to give security keys to ‘high risk’ users targeted by government hackers. TechCrunch. 2021-10-08 [2021-10-09] (美国英语). 
  4. ^ Newman, Lily Hay. Google’s New Titan Security Key Adds Another Piece to the Password-Killing Puzzle. Wired. [2023-11-15]. ISSN 1059-1028 (美国英语). 
  5. ^ Khalid, Amrita. Google recalls some Titan security keys after finding Bluetooth vulnerability. Engadget. 2019-05-15 [2022-02-03] (美国英语). 
  6. ^ Goodin, Dan. Hackers can clone Google Titan 2FA keys using a side channel in NXP chips. Ars Technica. 2021-01-08 [2021-10-09] (美国英语). 
  7. ^ Porter, Jon. Google really wants you to hack the Pixel’s Titan M security chip. The Verge. 2019-11-21 [2021-10-09] (英语). 
  8. ^ Safety & Warranty Guides for Google Titan Security Key (Prior Versions). Google Support. Google. [31 December 2022]. 
  9. ^ Brand, Christiaan. Simplifying Titan Security Key options for our users. Google Online Security Blog. Google. [31 December 2022]. 
  10. ^ Kovacs, Eduard. Google Discontinuing Bluetooth Titan Security Key. securityweek.com. Security Week. [31 December 2022].