2018 年 7 月 Google Cloud Next ‘18 convention 於舊金山預告了遵循 FIDO 的 Titan Security Key [1]。
然後在念念不忘地消聲匿跡了一個月後,2018 年 8 月底發佈了銷售的訊息[2]。立馬手刀前往 Google Store 下訂,那時下訂也是要排隊等交期。經過一陣輾轉,終於在家裡踢到這個箱子了 :-)
關於 FIDO
FIDO 聯盟 不是 First In, D* Out 的概念,它被定義成「全世界最大基於標準、跨廠商相互認證的生態系(FIDO is the World’s Largest Ecosystem for Standards-Based, Interoperable Authentication)」,希望可以取代原本各廠商、各系統、各生態系各自處理關於認證 (authentication) 這件事情。
FIDO 主推 UAF 以及 U2F 兩個主要使用情境 [3]。
FIDO UAF (Universal Authentication Framework) 可以實現例如「配戴一隻手錶,接近一個已授權過的電腦或手機,即可開始使用電腦或手機進行工作或娛樂」這類無需輸入密碼的使用情境。
FIDO U2F (Universal Second Factor) 則是現階段推廣比較平易近人(有嗎)的二階段驗證(2FA, 2SV),用以輔助原有以帳號密碼為基礎的驗證方式(或是以生物特徵為基礎的驗證方式)。
Google Titan Security Key 目前定位是 FIDO U2F 情境。但因為它有藍牙,所以很期待能不能未來(或現在?)可以實作成 FIDO UAF?!
在 Google Titan Security Key 之前,市場上主流是 Yubikey,之前入手的是 Yubikey 4,最近有推出 Yubikey 5/5C, USB Type C 的體積超小版本,也很想玩玩看(聽說有人已經入手了,先幫忙敲碗等著看筆記分享 :p)。
開箱
正面照,中規中矩的 Google 簡潔風格。滿有趣的是從頭到尾都是交給 Google Cloud 來處理這個產品線。可能是這邊比較多碰到硬體、生產量產的團隊成員?
底部照,詳列內容物。一個 Bluetooth Titan Security Key 作為主要使用、一個 USB Titan Security Key 作為備用使用、Micro-USB 連接線、USB-A 轉 USB-C 轉接頭。註記 FCC ID、fido、BC 認證。
順手查了 Bluetooth Titan Security Key 的 Bluetooth End Product Listing https://launchstudio.bluetooth.com/ListingDetails/65591,於 2018-08-10 提交,看起來使用了 Feitian Technologies Co., Ltd. (中国飛天誠信科技) 的藍牙模組或委為代工。
查了一下「Feitian MultiPass FIDO Security Key」形狀外觀與 Bluetooth Titan Security Key 幾乎一模一樣。至於 Bluetooth Titan Security Key 內的韌體是否有另外加工客製就未知數了。
割開封條貼紙後,側邊使用了兩個小磁鐵釦。免除了紙盒鑲紙盒難以取出的開箱困擾 :-)
順順利利、滑滑順順地看見兩位主角。樓下住著轉接線和轉接頭。
主角們的近照。
四位一體照!遮住的位置有類似序號或型號的兩行字樣。
Bluetooth Titan Security Key 是需要充電的,接上後橘色充電燈號亮起。
Bluetooth Titan Security Key 有個綠色指示燈號,還沒完全搞清楚在哪些時候會亮起,但開箱時,時不時會閃爍亮一下。
Bluetooth Titan Security Key 充飽電了,橘色燈號熄滅。
USB Titan Security Key 狀態一。
USB Titan Security Key 狀態二。開箱時,時不時會閃爍亮一下。
Google 2FA
在試玩其他 FIDO U2F 相容的服務之前,先來把 Titan Security Key 加進 Google Accounts 裡頭試試看吧。
官方的說明文件:Use a security key for 2-Step Verification
另外也有個特別的保護計畫:Advanced Protection Program,有需要的人可以申請看看。
相容性檢查:https://support.google.com/titansecuritykey/answer/9115487#titan_key_compatibility,下手之前建議先看看自己的使用習慣,以及手邊硬體裝置的作業系統與版本。
- 第一次使用,目前一定需要透過電腦將 key 加入到帳號中。
- Android 裝置:Android 5.0 或更新版本,搭配最新版本 Google Play Services 服用。
- iPhones & iPads:可以安裝最新版本 Google Smart Lock app 者,皆可服用。(聰明,這招描述要學起來,完全不用講作業系統版本!)
取得
官方目前唯一取得管道是透過 Google Store,或是取得相容 security key, keywords: fido u2f security key。
將 key 加入到帳號中。
進到你的 Google 帳號的 二階段驗證 (2-Step Verification section)
陸陸續續有玩過的種類有:
- Security Key
- Google prompt
- Authenticator app
- Voice or text message
- Backup codes
不論你是否有加過 security key 到你的帳號,你都可以找到「ADD SECURITY KEY」的動作,可以進行。每個帳號允許加入一個或多個 security keys,而且可以個別命名(字元長度有限制)。
按下「ADD SECURITY KEY」之後,畫面會先提醒使用者記得:(1) 先找到 key、(2) 先不要連接到這台電腦。
進到第二步之後,在將 key 連接到電腦,並按下 key 上的動作按鈕。有金屬片的碰金屬片、有按鈕的按一下按鈕、什麼都沒有的,通常在連接上電腦的時候會觸發一次事件。
使用 Chrome 瀏覽器者,會在左上角出現硬體權限授權要求,如果你確定要使用,可以點選「Allow (允許)」。
最後一個步驟,命名。
建議:可以輸入 security key 的廠牌、型號、年份等等。
不建議:輸入類似「My Key」、「中英文名字’s Key」這種命名。
原因?過幾年之後你就會知道了 :p(你真的相信玩具恆久遠,一 key 永流傳嗎?)
續集
目前先小試了 @gmail.com 的 Google Account,也試過了 G Suite 的 Google Account,都可以用同一組 Titan Security Key 加入到 Google Accounts 中。下一步,打算來玩玩在行動裝置上的使用體驗,應該會再寫一篇續集、第三集等等。(但十分確定應該是會脫稿一些時間 XDD)
參考資訊
[1] Building on our cloud security leadership to help keep businesses protected
[2] Protect your online accounts with Titan Security Keys
[3] What is FIDO