Το νέο σύστημα
Υπάρχουν όμως και περιορισμοί, καθώς το κλειδί δεν υποστηρίζει προγράμματα πλοήγησης πέρα από το Chrome, ενώ τα περισσότερα κινητά δεν έχουν θύρα USB για τη σύνδεσή του. Όσοι ενδιαφέρονται να ενεργοποιήσουν τη νέα τεχνολογία Security Key της Google μπορούν να προμηθευτούν ένα συμβατό κλειδί USB από άλλους κατασκευαστές, σε τιμές που συνήθως κυμαίνονται γύρω στα 20 δολάρια.
«Αντί να πληκτρολογήσετε τον κωδικό σας, απλά εισάγετε το Security Key στη θύρα USB και πατήστε το κουμπί του όταν σας ζητηθεί από το Chrοme. Όταν συνδέεστε στο Λογαριασμό Google χρησιμοποιώντας Chrome και Security Key, μπορείτε να είστε βέβαιος ότι η κρυπτογραφική υπογραφή δεν μπορεί να υποκλαπεί» γράφει σε εταιρικό ιστολόγιο ο Νίσιτ Σα, μάνατζερ του τμήματος Ασφάλειας της Google.
Το Security Key λειτουργεί μόνο όταν ο χρήστης έχει ενεργοποιήσει τη λειτουργία «επαλήθευσης σε δύο βήματα» (2-Step Verification), μια προαιρετική λειτουργία ασφαλούς σύνδεσης, η οποία ζητά από το χρήστη να εισάγει όχι μόνο τον κωδικό πρόσβασης αλλά και έναν δεύτερο, μοναδικό κωδικό, που λαμβάνει από τη Google με γραπτό μήνυμα ή μέσω ειδικής εφαρμογής.
Η βάση
Η τεχνολογία της Google βασίζεται στο U2F (Universal 2nd Factor), ένα ανοιχτό πρότυπο ασφάλειας που ανέπτυξε η κοινοπραξία FIDO, στην οποία ανήκουν μεγάλες εταιρείες όπως η Google και η Microsoft, όχι όμως και η Apple.
Αυτό σημαίνει ότι το ίδιο κλειδί ασφαλείας μπορεί να χρησιμοποιηθεί όχι μόνο στη Google αλλά και σε άλλες υπηρεσίες που υποστηρίζουν το πρότυπο. «Δεν υπάρχει αμφιβολία ότι περνάμε σε νέα εποχή» σχολίασε ο Μάικλ Μπάρετ, πρόεδρος της FIDO, επισημαίνοντας ότι το πρότυπο U2F χρησιμοποιείται ήδη σε εφαρμογές πληρωμών από την PayPal, τη Samsung, τη Synaptics και άλλες εταιρείες.
Οι συσκευές USB του U2F περιέχoυν ένα τσιπ σχεδιασμένο να αποθηκεύει με ασφάλεια κλειδιά κρυπτογράφησης. Όταν ο χρήστης δηλώσει τη συσκευή του σε μια συμβατή υπηρεσία, δημιουργείται ένα ζευγάρι κλειδιών κρυπτογράφησης: ένα δημόσιο κλειδί που αποθηκεύεται στην υπηρεσία και ένα ιδιωτικό κλειδί που μένει στο τσιπ. Όταν ο χρήστης συνδεθεί στο λογαριασμό του, η υπηρεσία στέλνει ένα κρυπτογραφικό πρόβλημα, για το οποίο η συσκευή πρέπει να στείλει μια κρυπτογραφημένη λύση. Όπως αναφέρει η Google, συμβατές συσκευές USB για το Security Key είναι διαθέσιμες εδώ.