Google lanza Security Key, la verificación en dos pasos a través de un pendrive USB

a pedir dos entonces!

De entrada, y sin tener un esquema de cómo funciona el USB y la autentificación, criptográficamente hablando, no veo ventajas frente a un código generado por un dispositivo previamente autenticado.
La única que se me ocurre es que la firma digital es bastante más segura que un PIN de unos pocos dígitos... Pero los PIN caducan cada pocos segundos, por lo que no importa demasiado.

Por otro lado, me gustaría saber cómo funciona la autentificación mediante el USB. Si es simplemente un USB crypto-key... ¿cómo se protege de ser clonado mediante dd si se introduce en un equipo que no sea de confianza o si se "infecta" el de confianza? ¿podría ser susceptible a un MITM vía hardware o software? ¿un atacante podría obtener la key privada accediendo al dispositivo?

Me quedan dudas. xD

Todo esto hay que verlo desde el punto de vista de añadir maneras de hacer mas cómodo los procesos 2SV (two step verification). No hay nada 100% seguro pero todo sea para mejorar lo mas básico y el pilar de la seguridad de las comprobaciones de identidad en Internet.
Yo a estas cosas las acojo con los brazos abiertos porque algo que cada vez va cogiendo mas relevancia e importancia personal como es proteger tus datos privados en la nube, brinda mas tranquilidad y confiabilidad a uno mismo.
Respecto a suspuestas vulnerabilidades, cuando sospechas de que una llave está comprometida, la revocas de tu cuenta y generas otro cripto-token almacenado en otra llave. Siempre tienes la opción de no usar este sistema y usar generadores y sistemas de contraclaves que Google también ofrece. Parece que Google es la empresa que mas empeño y esfuerzo pone en blindar sus sistemas de la máxima manera posible. No pasa mas de un mes en que se oyen mejoras y cambios en sus sistemas de seguridad para que se minimizen cada vez mas las posibilidades de sufrir un ataque individual o masivo a sus sistemas.

Este sistema es para poder acceder a tu cuenta de manera mas cómoda usando teniendo activado un sistema de verificación en 2 pasos. Google te lo ofrece para cuando te identificas en sus servicios en el momento de hacer login a tu cuenta. Si activas una llave y la dejas conectada a tu PC "de confianza" (de tu casa o el de la empresa, no recomendable portátiles ni equipos sensibles a ser usados por gente ajena), cuando accedes a tu cuenta Google, solo tendrás que introducir tu contraseña. Google comprobará si tienes la llave "esperada" conectada y ya estarás dentro. Te ahorrarías introducir el PIN de SMS o el del generador de la App "Authenticator".
Que quede claro, esto es opcional, y lo activas si quieres en el equipo que quieras.

Hombre. Por ahora solo Chrome pero la idea es que lo implementen más navegadores.

El Universal 2nd Factor (U2F) no es de Google en sí, si no que lo saca una alianza de bastantes empresas.

Y siempre puedes seguir con el sistema de dos pasos.

Imagino que esto es por comodidad.

Ya estamos viendo conspiranoias donde no las hay!!! Y no, no lo has entendido.
"Me suena a te cobro por la "mochila"???!!!
Esa llave USB la compras en Amazon por 6€. Es un estándar abierto en el que Google confía como sistema seguro que pueda reemplazar el 2do paso de verificación cuando no se pueda o quiera disponer del generador, contraclave o similares por software.
Porque criticamos los esfuerzos e intentos de las empresas en hacer que las cosas sean mas cómodas, seguras, estables y útiles? Siempre habrá alguien que critique esta claro, pero con argumentos.

y se puede saber donde he dicho yo nada de conspiraciones? O.O
Solo he dicho que demasiada fanfarria para algo tan limitado (aparentemente) y que en caso de funcionar, solo vale para sus productos.
He empezado diciendo que me parecía muy bien. Personalmente me encanta el I+D, seguro que se han gastado mayores fortunas en cosas mas chorras... pero mejores, también. Y para emocionarme, no me vale con saber que se gastan millones en investigación si a mi como usuario no me aporta nada, no lo critico como dices que hago, pero tampoco lo celebro). No porque suene un petardo estamos en fallas.
Estas cosas (las mochilas y los generadores) las conozco, van de lujo pero son muy "propietarias" y limitadas. y esto es mas de lo mismo.

Puede que esperaras que todos nos excitáramos con la noticia. Yo, como usuario mucho mas ignorante, y no es ironía, pero a fin y al cabo su cliente digo que paso. Prefiero una tarde de cine y palomitas.

Pues es lo que has sugerido: "a mi me suena a te cobro por la "mochila" convirtiendo algo "free" (sin contar la maldita e interminable publicidad) en otra fuente de ingresos. ". Precisamente esto no es una fuente de ingresos sino una inversion en su seguridad para con ellos y el usuario.
Pero a ver, tan dificil es de entender? "se gastan millones en investigación si a mi como usuario no me aporta nada" Aporta de la manera que te dan facilidades para que tu cuenta se encuentre mas protegida.
"pero son muy "propietarias" y limitadas. y esto es mas de lo mismo": Que no es propietario!!! Usan un estandar abierto (U2V=universal) mediante unas llaves fisicas adquiridas por ti! Ni ellos te las venden. Te tienes que preocupar tu de conseguirlas.
Lo bueno de que Google use un sistema no propietario para el acceso a tu cuenta, es que esas llaves las puedes aprovechar para otras plataformas con multiples cuentas que usen el mismo sistema universal que deberia popularizarse mas. Todo lo que sea una vuelta de tuerca mas para la seguridad de todos, deberia ser bienvenido. Todavia hay mucha gente reacia a usar Internet de manera masiva con tener datos en la nube, comprar por Internet, comunicarse, etc. por el simple hecho que las medidas de seguridad aun puede mejorarse y ser mas confiables. Pero poco a poco y a base de estas iniciativas, se va consiguiendo.
Si el resto de gigantes de Internet donde la mayoria de usuarios tienen datos como Microsoft, Yahoo y ahora Apple adoptaran el mismo mecanismo los escandalos de ataques o robo de datos se minimizaria o no existiria. Si Apple hubiera implementado estas llaves en su iCloud, el robo de fotos no hubiera pasado probablamente.
Y claro que como cliente dices que pasas, esa es tu libre eleccion porque en ningun momento Google te obliga solo te lo ofrece como opcion. Cada uno elige que importancia quiere darle a sus datos en este tipo de servicios.
Un saludo.

Hablar de tocino y velocidad no quiere decir lo mismo aunque compartan las mismas letras (O,C,I)