Hace apenas un mes teníamos noticia de que en Google, desde al año pasado, los empleados debían usar obligatoriamente llaves de seguridad para protegerse del phishing. Poco después, por boca de la propia compañía, sabíamos que el dispositivo era un desarrollo propio y que iban a ponerlas en disposición de los clientes de Google Cloud.
Ahora, más de cuatro semanas después de la primera noticia sobre estas llaves FIDO, las Titan Security Keys están disponibles para cualquier tipo de cliente por 50 dólares. Eso sí, de momento solamente en Estados Unidos, aunque aseguran que pronto se venderán en más regiones.
Un juego de llaves de seguridad con versión USB y Bluetooth
Como decíamos, Google ha anunciado que a partir de hoy las llaves de seguridad desarrolladas por su compañía y empleadas de forma obligatoria por sus trabajadores están disponibles para su compra en la Google Store estadounidense.
La fama las precede, ya que gracias a ellas los 85.000 trabajadores de Mountain View no han sido víctima de ningún caso de phishing y la información que manejan, tanto personal como profesional, de Google, se ha mantenido a salvo desde el momento que empezaron a usarlas.
Por 50 dólares estadounidenses, veremos cuál es el precio al cambio en otros países, obtenemos un juego de llaves de seguridad con una versión USB y otra Bluetooth. La primera llave se conecta a nuestro ordenador de forma directa gracias a ese puerto, mientras que la segunda sirve para emplearla en teléfonos móviles. Y cumplen estándares FIDO.
Con ellas, tal y como sabemos, podremos autenticar los inicios de sesión que hagamos junto con nuestra contraseña habitual. Es otra manera de asegurar todavía más nuestro acceso a determinados servicios, ya que en este caso vamos a necesitar sí o sí el uso de esta llave de forma física. Así evitamos el uso de la clásica autenticación de dos pasos mediante SMS o aplicaciones de tokens, métodos no tan seguros.
Para garantizar todavía más el uso seguro de las Titan Security Keys, Google señaló que estas llaves incluyen también un firmware especial desarrollado por la compañía que sirve para verificar la autenticidad de las mismas con el fin de evitar manipulaciones.
Estos dispositivos funcionan con los navegadores más populares, con Chrome por supuesto, y con cada vez más servicios según Mountain View. Como los servicios de la propia compañía, Facebook, Twitter, Dropbox y otros que soportan los estándares FIDO. Para configurarlas solo tendremos que acceder a nuestra cuenta de Google, entrar a la página de verificación en dos pasos donde podremos dejarlas listas para su uso.
Desde Xataka hemos preguntado a Google España sobre la disponibilidad de las llaves fuera de Estados Unidos, en espacial en España y América Latina, y de momento aseguran no tener estimaciones que ofrecernos.
En Genbeta | Por qué no debes confiar en la autenticación en dos pasos a través de SMS
Ver 12 comentarios
12 comentarios
Luis
Por eso te compras una yubikey neo cojonuda
Ricardo
el problema con llaves es solo un limitado conjunto de paginas de internet admiten el uso de llaves: Gmail, Github, Twitter y Facebook
Desafortunadamente Xataka no acepta mi yubikey por ejemplo ni tampoco paginas de internet de la seguridad social ni cualquier de bancos o gubernamentales los aceptan. Sólo hay que difundir las ventajas de las llaves a los dueños de los sitios para que su uso se extienda.
jayjayjay_92
Por la mitad de dinero tienes una yubikey nano que tiene soporte WebAuthn, OTP y demás.
Aunque yo al final uso un generador de tokens en el movil.
Rall
Desde que los 85.000 trabajadores de Google las usan ninguno de ellos ha sido víctima de ningún caso 'phishing'......tiempo al tiempo jajaja
juanjouz
Como pierdas la llave...date por j*****
adriandiazgar
No entiendo que tiene que ver el phishing con el autenticarte en un sistema, pero bueno
otakugenin1
Si te logueas en una página fraudulenta, tan sólo le estarías dando el usuario y contraseña. Quien te haya robado las credenciales nesecitaria de la llave para poder autenticarse en el servicio. Y las credenciales de esa llave serían casi imposibles de replicar ya que parte de la clave estaría encriptada en los servidores de Google.