Titan安全密鑰

Titan安全密鑰(英語:Titan Security Key)是Google開發的符合FIDO要求的安全令牌,其中包含同樣由Google開發的Titan M加密處理器。於2019年10月15日首次發佈。[1]

特性

根據功能不同,密鑰的價格為25至35美元, [2]而谷歌會向高風險用戶免費提供密鑰。 [3]它提供更安全的雙重身份驗證,可用於登錄各種第一方和第三方服務,以及註冊Google高級保護計劃。2021年,谷歌出於對安全性和可靠性的擔憂,移除了藍牙模塊。 [2]

2023年11月,谷歌推出一款支持通行密鑰保護的型號。 [4]

漏洞

藍牙「T1」和「T2」型號最初存在安全漏洞,允許30英尺範圍內的任何人複製密鑰。[5]安全公司NinjaLab已經能夠利用側信道攻擊提取密鑰。[6]2019年,谷歌為Titan晶片設置了高達150萬美元的漏洞賞金[7]

較新的版本和型號包括:[8]

  1. USB-A/NFC (K9T)
  2. 藍牙/NFC/USB (K13T)
  3. USB-C/NFC (YT1)
  4. 支持U2F和FIDO2的USB-C/NFC (K40T)

雖然這些產品中均未包含已公開披露的安全漏洞,但谷歌已於2021年8月停止銷售藍牙版本的密鑰,[9]但藍牙密鑰仍可繼續使用且享受保修。[10]

參考文獻

  1. ^ USB-C Titan Security Keys - available tomorrow in the US. Google Online Security Blog. [2022-02-03]. 
  2. ^ 2.0 2.1 Clark, Mitchell. Google’s new Titan security key lineup won’t make you choose between USB-C and NFC. The Verge. 2021-08-09 [2022-02-04] (英語). 
  3. ^ Page, Carly. Google to give security keys to ‘high risk’ users targeted by government hackers. TechCrunch. 2021-10-08 [2021-10-09] (美國英語). 
  4. ^ Newman, Lily Hay. Google’s New Titan Security Key Adds Another Piece to the Password-Killing Puzzle. Wired. [2023-11-15]. ISSN 1059-1028 (美國英語). 
  5. ^ Khalid, Amrita. Google recalls some Titan security keys after finding Bluetooth vulnerability. Engadget. 2019-05-15 [2022-02-03] (美國英語). 
  6. ^ Goodin, Dan. Hackers can clone Google Titan 2FA keys using a side channel in NXP chips. Ars Technica. 2021-01-08 [2021-10-09] (美國英語). 
  7. ^ Porter, Jon. Google really wants you to hack the Pixel’s Titan M security chip. The Verge. 2019-11-21 [2021-10-09] (英語). 
  8. ^ Safety & Warranty Guides for Google Titan Security Key (Prior Versions). Google Support. Google. [31 December 2022]. 
  9. ^ Brand, Christiaan. Simplifying Titan Security Key options for our users. Google Online Security Blog. Google. [31 December 2022]. 
  10. ^ Kovacs, Eduard. Google Discontinuing Bluetooth Titan Security Key. securityweek.com. Security Week. [31 December 2022].