Google的實體安全金鑰Titan正式上市

Google I/O上宣佈用於防止釣魚網站的實體安全金鑰Titan周四正式在Google Store上架。可惜，台灣地區尚未開賣。

目前在Google Store銷售的Titan安全金鑰包含一對，分別為USB及藍牙/NFC版本，售價50美元，藍牙/NFC版主要作為備份鑰匙，也可用於解鎖行動裝置。

Titan安全金鑰採用Google參與開發的FIDO規格，內部晶片包含Google開發、用以驗證金鑰完整性的韌體，旨在防止Google帳號遭受網釣及其他竊取用戶密碼的社交工程攻擊。Google認為FIDO標準是最能防範網釣、最強大的雙因素認證。而比起傳統以簡訊傳送一次性密碼的雙因素驗證（2FA）方式，它還可省下使用者記憶複雜密碼的麻煩。

Google引述Verizon 2018資料外洩調查報告指出，企業內部41.6%的資料外洩是出於密碼被竊、網釣和假冒身份。2012年起，Google和Yubico、NXP作在內部署實體安全金鑰作為第二驗證，今年Google I/O上發佈這款產品時，Google宣稱全公司8.5萬名員工過去一年沒有發生過任何網釣事件。

Google早在去年針對政治人物、記者等可能被竊密的用戶推出進階防護方案（Advanced Protection Program）即曾包含同樣概念的硬體金鑰，只是當時Google推薦的是合作夥伴Yubico的USB安全金鑰YubiKey或Feitian等。

Google周四指出，Titan安全金鑰和別家產品最大的不同在於它的生產過程。它負責執行密碼運算的韌體在製造階段即永久封裝在安全元件硬體晶片中，這個晶片可免於抓出韌體和密鑰內容的實體攻擊，然後再送到工廠產線上生產成實體金鑰，安全性高於於事後才加入防護的生產過程。

Google 推安全密鑰 Titan Security Key，其實是中國製

許多國家紛紛因為資訊安全理由封殺中國產品的同時，Google 似乎不以為意。預計開始對外銷售的 Google 安全密鑰 Titan Security Key，被媒體 CNBC 查出可能是由中國廠商飛天誠信科技（Feitian）製造。

最近 Google 在硬體領域動作頻頻，除了智慧家居領域從未停下腳步，2017 年也從 HTC 收購了手機製造團隊，對以軟體和網路稱雄的一家公司來說並不尋常。Google 在 7 月發表了安全密鑰 Titan Security Key，並宣稱這讓旗下超過 8 萬名員工不再遭受駭客入侵，不過 Google 並未說明這項產品由誰製造。Google 利用 Titan Security Key 來防止駭客入侵，當作密碼以外的第二層防護，避免密碼被盜用帳戶就直接淪陷。

CNBC 發現這款安全密鑰與北京飛天誠信的一款無線密鑰產品類似，並從飛天誠信加州辦公室的員工口中證實該公司正與 Google 就 Titan Security Key 合作，Google 發言人則拒絕透漏安全密鑰是否由飛天誠信製造。自從 Google 公開 Titan Security Key 之後，飛天誠信就開始在 Twitter 分享相關新聞，不過從未發表與 Google 合作的正式聲明。

Titan Security Key 除了像飛天誠信的產品，也和美國 Yubico 的 USB 密鑰產品類似。不過 Yubico 的執行長 Stina Ehrensvard 在部落格表示 Titan Security Key 並非由 Yubico 生產，並宣稱藍牙版的 Titan Security Key 不符合 Yubico 在安全性、使用性和耐久度層面的標準。