- 전체
- 후기 6756
- 후기-카드 1814
- 후기-발권-예약 1241
- 후기-백신 79
- 후기-격리면제 28
- 질문 57096
- 질문-기타 20642
- 질문-카드 11672
- 질문-항공 10170
- 질문-호텔 5188
- 질문-여행 4027
- 질문-DIY 178
- 질문-자가격리 19
- 질문-은퇴 409
- 정보 24178
- 정보-자가격리 133
- 정보-카드 5211
- 정보-기타 8000
- 정보-항공 3822
- 정보-호텔 3228
- 정보-여행 1058
- 정보-DIY 204
- 정보-맛집 217
- 정보-부동산 38
- 정보-은퇴 258
- 여행기 3417
- 여행기-하와이 388
- 잡담 15463
- 필독 63
- 자료 64
- 자랑 722
- 금요스페셜 106
- 강퇴로 가는 길 11
- 자기소개 661
- 구라 2
- 요리-레시피 70
- 오프모임 200
- 나눔 2699
- 홍보 15
- 운영자공지 32
안녕하세요 EY입니다.
혹시 여러분들 중에서 구글 2 Step Verification 을 위해 Titan Key를 사용하시는 분들 계신가요? 저는 제작년인가 부터 gmail 이용시에 사용하고 있습니다.
제가 다른 Program 들에는 사용해 본 적이 없지만, 제가 알기론 구글 제품들뿐 만이 아니라 FIDO를 사용하는 트위터나 드롭박스등에서도 사용 가능하다고 알고 있습니다.
'USB 형식의 물리적 키'나 '충전을 해서 사용 가능한 BT 형식의 키'를 포함하는 제품으로 구성하고 있습니다.
참고
https://www.tomshardware.com/news/google-titan-security-key-price-release,37720.html
궁금한 것은 이 물리적 키를 사용하면 이메일 해킹을 100% 막아주는 것으로 알고있는 사실이 맞는지 아시는 분들 답변 부탁드립니다.
물론 다음부터는 이 기기에 2단계 적용을 하지 않겠다는 버튼을 누른 상태에서 스맛폰을 잃어버리면 뭐 다 털리겠지만 말입니다.
분실의 위험이 없는 이상 그리고 매 번마다 이 물리적 키를 이용해서 어카운트에 로긴을 하면 상대방이 내 비번을 알고 있어도 해킹이 불가능한지 궁금합니다.
이게 그렇게 좋다면 많은 분들이 왜 사용하시지 않는 지도 궁금하고요.. 이 곳에서도 언급이 없었는지 Titan으로 찾아봐도 글이 없군요..
- 전체
- 후기 6756
- 후기-카드 1814
- 후기-발권-예약 1241
- 후기-백신 79
- 후기-격리면제 28
- 질문 57096
- 질문-기타 20642
- 질문-카드 11672
- 질문-항공 10170
- 질문-호텔 5188
- 질문-여행 4027
- 질문-DIY 178
- 질문-자가격리 19
- 질문-은퇴 409
- 정보 24178
- 정보-자가격리 133
- 정보-카드 5211
- 정보-기타 8000
- 정보-항공 3822
- 정보-호텔 3228
- 정보-여행 1058
- 정보-DIY 204
- 정보-맛집 217
- 정보-부동산 38
- 정보-은퇴 258
- 여행기 3417
- 여행기-하와이 388
- 잡담 15463
- 필독 63
- 자료 64
- 자랑 722
- 금요스페셜 106
- 강퇴로 가는 길 11
- 자기소개 661
- 구라 2
- 요리-레시피 70
- 오프모임 200
- 나눔 2699
- 홍보 15
- 운영자공지 32
9 댓글
shilph
2021-01-14 20:05:56
일단 저는 사용하고 있지 않지만, 제가 알기로 이걸로 2 way identification 을 하는 것으로 압니다. 쉽게 말해서 아마존에 로그인 할 때, 문자로 번호를 받아서 본인 확인을 하는 것처럼, 이 기계가 없으면 로그인이 불가능하게 하는 것으로 압니다.
결과적으로 보면 이 물리키가 없는 사람은 본인의 지메일 비밀번호를 알더라도 절대로 본인의 지메일에 로그인을 할 수 없는거지요. 마치 아마존에 로그인 할 때, 문자로 번호를 받은 것을 넣지 않으면 로그인이 안되는 것처럼요.
EY
2021-01-14 20:15:09
실프님 오랜만입니다. 네 그래서 작년에 딱 한번 한국 출장갈 때 이 키를 잊고 안 가져갔다가 g메일에 들어갈 수 없어서 일도 못하고 거반 죽을 뻔 했었지요.. ^^ 내가 내 비번을 알고 있는데 못들어가니 참.. 보안은 확실한 것 같은데, 이 키를 잊어버리면 어떻게 되나 걱정도 됩니다.
shilph
2021-01-14 20:58:35
저도 그 부분은 모르겠어요. 아마도 집 주소가 같다면 다시 보내주지 않을까요?
FutureCEO
2021-01-14 21:03:16
이게 얼마전에 clone 이 가능하다고 소식이 전해졌는데요...
https://arstechnica.com/information-technology/2021/01/hackers-can-clone-google-titan-2fa-keys-using-a-side-channel-in-nxp-chips/
아직 실제로 구현되기까지는 시간이 좀 걸릴것 같고 그리 쉬어 보이지도 않습니다. 그래도 지금까지 2FA 로는 가장 안전하다고 알려져 있지요.
키가 없으면 이메일 뿐이 아니라 구글계정 자체를 access 할수가 없지요. 그래서 저는 아직 google Authenticator 를 사용합니다. 아직까지는 그래도 괜찮고 패스워드를 때때로 바꿔주려 합니다.
EY
2021-01-14 21:11:22
좋은 링크 감사합니다. 말씀처럼 당장은 실현이 어렵더러도 언젠가는...
결론은 이것도 완전하진 않는 거네요..
일회용 비번 사용이 생활화가 되야겠네요..
귀한 글 감사합니다.
hack2003
2021-01-14 21:30:52
댓글을 읽다 보니 어제 본 비트 코인 지갑 비번을 몰라 2,700억을 날릴 위기인 미국인 기사가 생각나네요.
EY
2021-01-14 21:35:27
그런 기사가.. ㅎㅎ
전 이번주에 복권 금액이 엄청나다는 기사가 기억이 나네요.
닉에 hack이 있는것이 자꾸 맘에 걸려요 ㅎㅎ
에메
2021-01-15 00:23:04
일단, 어느 보안이든 100% 안전한 방법은 없습니다.
- 하드웨어 기반의 2fa는 이미 다른 분들이 설명해주셨듯 중간 공격을 막는 데 도움을 줍니다. 이를테면 메일 주소와 비밀번호가 노출되었을 경우에도 2fa를 설정해둔 계정은 로그인을 할 수 없습니다.
- 다양한 하드웨어 키가 있고 구글의 titan외에도 yubikey가 유명합니다.
- 지원하는 계정에 한해서 2fa를 설정하는 것은 강력하게 권장하는 보안 방법 중 하나입니다. 지난해 애플 / 삼성 모두 몇 번의 보안 사고가 있었는데, 다른 서비스에서 유출된 패스워드를 이용해 로그인한 사건 (사용자가 같은 패스워드를 재사용) 이었고 이때문에 현재는 2fa를 강제하고 있습니다.
- 2fa는 하드웨어 키 외에도 otp기반의 소프트웨어가 있고 하드웨어를 사용하고 싶지 않으시면 이쪽을 이용해도 됩니다. Authy가 백업 / 복구의 용이성 덕분에 추천이 많습니다.
· 무엇보다 중요한 것은 비밀번호를 재활용하지 않는 것이며, 패스워드 관리자를 이용해 관리하는 것이 좋습니다. 1password같은 관리자를 사용하시면 비밀번호 생성 / 보관 / otp 2fa와 2fa 백업 코드 등을 한 곳에서 관리할 수 있습니다.
EY
2021-01-15 01:02:32
정성껏 작성해주신 글 감사드립니다. 완전 안전하다 생각한게 오산이었군요! 전혀 애매하지 않은 정확한 글 감사드려요.. 비번 재활용 엄청 많이 하고 있는데.. 뜨끔입니다.