As Titan Security Keys são comercializadas como dispositivos de autenticação de dois fatores resistentes a phishing (2FA) que ajudam a proteger usuários de alto valor, como administradores de TI. Eles já existem há algum tempo e foram amplamente promovidos como o dispositivo de segundo fator mais seguro de todos os tempos, tanto pelo próprio Google quanto pela mídia.
No entanto, um modelo específico de Titan (BLE) acaba por não ser muito seguro, pois hoje o Google enviou uma mensagem aos administradores do G Suite com usuários supostamente usando os dispositivos afetados, recomendando a substituição dos dispositivos.
Embora os detalhes da vulnerabilidade não sejam divulgados e nem esteja claro se isso é segurança severa, esse incidente mostra novamente que nunca pode haver um método 100% seguro e, como de costume, os usuários com segurança devem se manter atualizados dos relatórios mais recentes. Portanto, se você usar alguma chave do Google Titan Keys ou Feitian MultiPass BLE U2F (ambas parecem ser o mesmo produto), é recomendável substituí-la por algo mais confiável (um
token TOTP , por exemplo).
ATUALIZAÇÃO: Usuários regulares (não pertencentes ao G-Suite) também foram informados
UPDATE2: Este parece ser
realmente um problema de segurança
UPDATE3: Feitian lança um
programa de substituição