La clé de sécurité USB-C/NFC Titan est la dernière version de Google clé de sécurité matérielle, conçu pour empêcher les méchants de s’emparer de vos comptes en ligne. Avec un design et un prix attrayants (à seulement 35 $), la clé Titan est un choix évident pour les nouveaux venus dans le domaine de l’authentification multifacteur (MFA). Avec USB-C et NFC, vous pouvez être sûr qu’il fonctionnera avec à peu près tous les appareils que vous possédez déjà. Malheureusement, la dépendance du Titan à une technologie légèrement plus ancienne signifie qu’elle n’est peut-être pas aussi largement acceptée parmi les sites et services que vous souhaitez sécuriser.

Qu’est-ce que l’authentification multifacteur ?

Tout simplement, authentification multi-facteurs (MFA, ou parfois 2FA) est le meilleur moyen d’empêcher les malfaiteurs de prendre le contrôle d’un compte en ligne. Lorsque vous avez activé MFA, vous vous connectez en utilisant deux facteurs parmi une liste de trois possibles :

• quelque chose que vous connaissez, comme un mot de passe ;

• quelque chose que vous êtes, comme une empreinte digitale ; ou

• quelque chose que vous avez, comme la Google Titan Key.

  Publicité

Même si un attaquant parvient à obtenir votre nom d’utilisateur et votre mot de passe, il n’aura pas votre deuxième facteur et ne pourra pas prendre le contrôle de votre compte. Mais le simple fait d’utiliser MFA n’est pas une raison pour négliger d’autres bases de sécurité. Vous devez également utiliser Logiciel antivirus sur vos machines et utilisez un gestionnaire de mots de passe pour créer des mots de passe uniques et complexes pour chaque site et service que vous utilisez.

Nos experts ont testé 121 Produits de la catégorie Sécurité au cours de l’année écoulée

Depuis 1982, PCMag a testé et évalué des milliers de produits pour vous aider à prendre de meilleures décisions d’achat. (Découvrez comment nous testons.)

Bien que les clés de sécurité matérielles soient probablement le meilleur moyen de protéger vos comptes, n’importe quelle MFA vaut mieux qu’aucune. Applications d’authentification sont un moyen facile, sécurisé, largement pris en charge et gratuit de sécuriser vos comptes.

Un titan de l’industrie

La clé de sécurité USB-C Titan est issue de la précédente série de clés Titan de Google. À l’origine, Google proposait un forfait de 50 $ avec à la fois une clé USB-A et un porte-clés Bluetooth alimenté par batterie. À l’époque, la documentation de Google poussait l’idée d’avoir un appareil MFA de secours, donc vendre deux appareils était logique. Google a depuis abandonné le périphérique Bluetooth, ce qui me convient. Je n’ai jamais aimé le porte-clés à cause de sa dépendance aux piles, mais il s’est également avéré être vulnérable aux attaques. Google a également abandonné son schéma de regroupement et propose à la place la clé USB-C/NFC pour 35 $ ou la clé USB-A/NFC pour 30 $. Cet avis se concentre sur la clé de sécurité USB-C/NFC, qui est en rupture de stock, mais seulement temporairement, me dit-on, sur le Google Store au moment de la publication de cet avis.

La clé Titan USB-C est en forme de losange et fabriquée en polycarbonate blanc avec des accents argentés. Il n’a pas de pièces mobiles ni de piles et ne nécessite pas de connexion réseau. À une extrémité se trouve un connecteur USB-C standard et à l’autre, un trou renforcé en alliage de zinc où vous pouvez enfiler un porte-clés. Juste au-dessus du connecteur se trouve une petite LED qui clignote lorsqu’elle est connectée à un appareil, et juste au-dessus se trouve un cercle argenté sensible au toucher. Bien que la clé Titan ne lise pas les empreintes digitales, vous appuyez sur le cercle pour confirmer lors de la connexion aux sites. Ceci est standard pour toutes les clés matérielles MFA.

De gauche à droite : Nitrokey FIDO2, USB-C Google Titan Security Key et Yubico YubiKey Bio-C. (Photo: Max Eddy)

À 0,3 sur 0,7 sur 2,0 pouces (7 sur 18,5 sur 50,9 millimètres, HWD), la clé Titan est un peu plus longue que la Yubikey Bio USB-A ou -C (80 $ et 85 $, respectivement). Le Titan est également plus épais, avec un corps arrondi qui contraste avec le look ultra-svelte des appareils Yubico. C’est un design beaucoup plus raffiné que le 29 $ Nitrokey FIDO2qui, peut-être en raison de son pedigree open source, ressemble plus à une clé USB de 2004.

Pesant environ 0,2 onces (7 grammes), le Titan est un peu plus lourd que les 0,18 onces (5 grammes) USB-C bio. Le corps plus grand rend le Titan très léger dans la main, presque creux. C’est plus dur qu’il n’y paraît, cependant. Les coutures sont toutes très serrées, et tordre le Titan n’a même pas fait gémir le plastique. Que sa finition blanche immaculée survive sur votre porte-clés est une autre question.

Sous la peau de plastique

Bizarrement, je n’ai rien trouvé dans la documentation de Google sur les normes MFA prises en charge par la clé USB-C Titan. La plupart des principaux fabricants annoncent fièrement ces points. Ils donnent un indice aux consommateurs sur les endroits qui accepteront la clé et sur les fonctionnalités fournies par la clé. J’ai contacté Google, qui a confirmé qu’il prend en charge le protocole FIDO U2F. Il s’agit d’un protocole plus ancien, mais qui devrait permettre à la clé d’être utilisée comme clé MFA dans la plupart des contextes, avec certaines limitations.

Pourtant, c’est un choix étrange pour un produit d’un grand nom comme Google. Toutes les clés que nous avons examinées récemment prennent en charge le nouveau protocole FIDO2. Même la clé de sécurité C NFC à 29 $, la clé d’entrée de gamme de Yubico, prend en charge FIDO2.

(Photo: Max Eddy)

La clé Titan USB-C manque également de certaines des fonctionnalités les plus avancées trouvées dans le choix des éditeurs. Yubikey 5C NFC. Cet appareil à 55 $ prend en charge les dernières normes d’authentification, et il peut également servir de carte à puce et être configuré pour cracher des mots de passe statiques. Il prend également en charge le système propriétaire Yubico OTP et fonctionne avec OpenPGP. Lorsqu’il est associé à une application Yubico, il peut même générer des codes d’accès à usage unique limités dans le temps (OATH-TOTP). Tout cela est impressionnant, mais cela dépasse les besoins de la plupart des gens et en particulier des nouveaux utilisateurs que Google cible clairement avec les Titan Keys.

Dans le passé, Google aurait été en partenariat avec le fabricant Feitian pour produire ses clés Titan de la génération précédente. Feitian est basée à Pékin, avec une filiale américaine en Californie. Le fabricant de la clé USB-C Titan n’est pas divulgué, mais il existe quelques indices. L’emballage indique que la clé est fabriquée en Chine et que le dos de la clé USB-C Titan porte le numéro K40T, et la clé apparaît comme « ePass » lorsqu’elle est connectée à mon Mac. Cela suggère une certaine relation avec la Feitian ePass K40, et les deux appareils se ressemblent beaucoup. Bizarrement, le Feitian K40 Est-ce que prend en charge FIDO U2F et FIDO2.

(Photo: Max Eddy)

Un représentant de Google confirmerait uniquement que les clés de l’entreprise sont fabriquées par un fabricant tiers. « Toutes les clés de sécurité Titan sont construites avec une puce matérielle sécurisée qui comprend un micrologiciel conçu par Google pour vérifier l’intégrité de la clé. »

Pour certains, un produit de sécurité en provenance de Chine est un échec. Chez PCMag, nous ne pensons pas pouvoir porter un jugement sur la qualité d’un produit en nous basant uniquement sur son lieu de fabrication. Les mesures de protection des clés Titan sont clairement suffisantes pour Google. Ceux qui recherchent un appareil plus transparent devraient se tourner vers le Nitrokey FIDO2, qui utilise du matériel open source.

Pratique avec la clé de sécurité Titan

La clé de sécurité Google Titan ne prend pas en charge la biométrie, contrairement au 69 $ Protection Kensington VeriMark. Heureusement, cela signifie également que le Titan ne nécessite aucune configuration. Pour commencer à utiliser la clé, accédez simplement à un site qui prend en charge les clés matérielles, recherchez les paramètres pour ajouter une clé à votre compte et suivez les instructions fournies par le site. Je n’ai eu aucun mal à inscrire la clé Titan avec mon compte Twitter.

(Photo: Max Eddy)

Une fois inscrit, la connexion avec la clé Titan s’est déroulée sans problème. Sur mon Mac, je me suis connecté à Twitter à l’aide de Google Chrome, j’ai inséré ma clé, j’ai appuyé sur la touche Titan lorsque vous y êtes invité et j’étais dedans. J’ai eu tout aussi facilement sur mon Google Pixel 3a, où j’ai branché la touche Titan via le téléphone Port USB-C et connecté via l’application Twitter officielle.

NFC vous permet d’utiliser la clé sans fil avec les appareils pris en charge. Lors de mes tests, j’ai utilisé un iPhone 13. Je me suis connecté à l’application Twitter comme d’habitude, puis j’ai placé ma clé contre le haut de l’écran de l’iPhone lorsque vous y êtes invité. Après quelques battements, l’application a accepté la clé et j’étais dedans.

Là où j’ai rencontré des problèmes, c’est lorsque j’ai essayé d’inscrire la clé Google Titan avec mon compte Microsoft. L’approche de Microsoft en matière de MFA est très tournée vers l’avenir et la société a adopté l’authentification sans mot de passe pour certains de ses sites et services. Pour ce faire, il s’appuie sur les derniers FIDO 2 et WebAuthn technologie, que la clé Titan ne prend pas en charge. Lorsque j’ai essayé d’inscrire la clé Google Titan avec mon compte Microsoft, un avertissement d’erreur a été émis suggérant que l’appareil était trop ancien.

(Photo: Max Eddy)

Je voulais faire une vérification et essayer une autre clé FIDO U2F avec mon compte Microsoft. Mais sur la douzaine de clés MFA en ma possession, toutes utilisaient le nouveau FIDO2. Au fond d’un tiroir, j’ai trouvé une vieille YubiKey NEO, qui pourrait être près d’une décennie à ce stade, cela ne prend en charge que le protocole FIDO (pas FIDO 2, pas FIDO U2F). Microsoft a également rejeté cette clé, mais Twitter l’a acceptée. Cela signifie que le problème n’est pas spécifique au Titan, mais je me demande si d’autres services rejetteront également le Titan, en particulier les services qui viennent tout juste d’introduire la prise en charge des clés de sécurité matérielles.

Un représentant de Google a expliqué que la clé USB-C Titan fonctionnera avec les sites et les services qui implémentent WebAuthn « comme un deuxième facteur résistant au phishing ». Vous pouvez rencontrer des incompatibilités similaires avec d’autres sites et services.

Un Titan légèrement imparfait

La clé de sécurité Google USB-C/NFC Titan a beaucoup à offrir au-delà de sa marque Google. C’est petit, bien fait et à un prix dans le territoire d’achat impulsif. Sa prise en charge homonyme NFC et USB-C signifie qu’il fonctionnera avec la plupart des appareils que vous possédez déjà, y compris les smartphones et les tablettes. Bien que le Titan manque de pouvoirs biométriques et des fonctionnalités d’authentification avancées des YubiKeys haut de gamme, il devrait être un excellent point d’entrée pour le consommateur moyen.

Cela devrait être le cas, mais nous avons des réserves. Nous avons été déçus de voir à quel point la documentation de Google est incomplète pour la clé Titan. La confusion peut rendre difficile pour les consommateurs de juger si la Titan Key répondra à leurs besoins. Nous avons également été déçus que Microsoft ait rejeté le Titan. Bien que la clé ait fonctionné avec Twitter et sera probablement largement acceptée, nous nous inquiétons de l’utilité à long terme de la clé Titan.

Il existe déjà trop d’obstacles à l’adoption de la MFA, et l’incertitude introduite par Google avec le Titan n’aide pas. Yubico 5C NFC un excellent choix pour les acheteurs plus expérimentés.

(Photo: Max Eddy)