Google的實體安全金鑰Titan正式上市

Google I/O上宣佈用於防止釣魚網站的實體安全金鑰Titan周四正式在Google Store上架。可惜，台灣地區尚未開賣。

目前在Google Store銷售的Titan安全金鑰包含一對，分別為USB及藍牙/NFC版本，售價50美元，藍牙/NFC版主要作為備份鑰匙，也可用於解鎖行動裝置。

Titan安全金鑰採用Google參與開發的FIDO規格，內部晶片包含Google開發、用以驗證金鑰完整性的韌體，旨在防止Google帳號遭受網釣及其他竊取用戶密碼的社交工程攻擊。Google認為FIDO標準是最能防範網釣、最強大的雙因素認證。而比起傳統以簡訊傳送一次性密碼的雙因素驗證（2FA）方式，它還可省下使用者記憶複雜密碼的麻煩。

Google引述Verizon 2018資料外洩調查報告指出，企業內部41.6%的資料外洩是出於密碼被竊、網釣和假冒身份。2012年起，Google和Yubico、NXP作在內部署實體安全金鑰作為第二驗證，今年Google I/O上發佈這款產品時，Google宣稱全公司8.5萬名員工過去一年沒有發生過任何網釣事件。

Google早在去年針對政治人物、記者等可能被竊密的用戶推出進階防護方案（Advanced Protection Program）即曾包含同樣概念的硬體金鑰，只是當時Google推薦的是合作夥伴Yubico的USB安全金鑰YubiKey。

Google周四指出，Titan安全金鑰和別家產品最大的不同在於它的生產過程。它負責執行密碼運算的韌體在製造階段即永久封裝在安全元件硬體晶片中，這個晶片可免於抓出韌體和密鑰內容的實體攻擊，然後再送到工廠產線上生產成實體金鑰，安全性高於於事後才加入防護的生產過程。（來源：Google）

雖然Google對產品的安全性掛保證，但有一點頗值得注意。CNBC及The Information報導，製造Titan安全金鑰的是中國業者飛天誠信（Feitian）生產。Google僅在其新聞稿中提及Yubico和飛天誠信都生產類似產品。

Titan安全金鑰可用於所有支援FIDO驗證協定的網站，除了Google自家服務，其他較知名的服務包括Dropbox、臉書、GitHub、Salesforce、Stripe、Twitter等。

要用於Google帳號時，需先到Google帳號下的兩步驟驗證頁開啟設定，Google Cloud管理員則可在G Suite及Google Cloud Platform上強制用戶使用硬體安全金鑰。