Sprzętowe klucze bezpieczeństwa są ciągle przywoływane; Czy są bezpieczne?

Photo of author

By maciekx

Zalecamy sprzętowe klucze bezpieczeństwa, takie jak Yubico YubiKeys oraz Klucz bezpieczeństwa Google Titan. Jednak obaj producenci niedawno wycofali klucze z powodu usterek sprzętowych, co budzi pewne obawy. Jaki jest problem? Czy te klucze są nadal bezpieczne?

Co to są sprzętowe klucze bezpieczeństwa?

Fizyczne klucze bezpieczeństwa, takie jak Google Titan Security Key i YubiKeys Yubico, korzystają ze standardu WebAuthn, który jest następcą U2F, aby pomóc chronić Twoje konta. Działają jako alternatywna metoda uwierzytelniania dwuskładnikowego: zamiast wpisywanego kodu używasz fizycznego klucza, który wkładasz do portu USB lub który może komunikować się bezprzewodowo przez NFC (komunikacja bliskiego zasięgu) lub Bluetooth.

Możesz użyć swojego klucza jako sprzętowego tokena zabezpieczającego do logowania się na konta, takie jak Google, Facebook, Dropbox i GitHub. Dzięki opcjonalnemu programowi Ochrony zaawansowanej Google możesz nawet wymagać fizycznego klucza bezpieczeństwa, aby zalogować się na swoje konto.

Dlaczego Google i Yubico wycofały klucze?

Zarówno Yubico, jak i Google były ostatnio w wiadomościach, ponieważ musiały przypomnieć niektóre klucze bezpieczeństwa z powodu wad sprzętowych.

Problem Yubico dotyczy tylko urządzeń z serii YubiKey FIPS, a nie urządzeń konsumenckich. Jak wyjaśnia Poradnik bezpieczeństwa Yubico, po włączeniu urządzenia klucze te mają niewystarczającą losowość, co może naruszyć ich szyfrowanie. Te urządzenia są przeznaczone tylko dla agencji rządowych i wykonawców – nie zalecamy korzystania z FIPS, chyba że jest to prawnie wymagane. Firma Yubico nie jest świadoma żadnych ataków, które to nadużyły, ale proaktywnie wymienia urządzenia, których dotyczy problem.

Problem z kluczem bezpieczeństwa Titan firmy Google, który doprowadził do wycofania i wymiany uszkodzonych kluczy, był poważniejszy. Wersja Bluetooth Titan Security Key, wykorzystująca technologię Bluetooth Low Energy do komunikacji bezprzewodowej, była narażona na atak z powodu tzw. „błędnej konfiguracji”. Osoba atakująca znajdująca się w promieniu 30 stóp od użytkownika klucza mogła wykorzystać tę lukę, aby zalogować się na konto. Atakujący mógł również zmusić komputer do sparowania z innym kluczem Bluetooth zamiast klucza bezpieczeństwa. Luka dotyczy także kluczy bezpieczeństwa Feitan, które produkują klucze Titan dla Google.

Microsoft również wydał aktualizację systemu Windows, która zapobiega parowaniu tych wrażliwych kluczy Google Titan i Feitan z systemami Windows 10 i Windows 8.1 przez Bluetooth.

Yubico nigdy nie oferowało klucza Bluetooth. Kiedy Google ogłosił swój klucz Titan, Yubico stwierdziło, że wcześniej badało uruchomienie własnego klucza Bluetooth Low Energy (BLE), ale „BLE nie zapewnia poziomów bezpieczeństwa NFC i USB”. Problemy Google potwierdziły podejście Yubico do skupienia się na USB i NFC zamiast Bluetooth.

Zarówno Google, jak i Yubico bezpłatnie wycofały i wymieniły klucze, których dotyczy problem.

Czy nadal polecamy te klucze?

Pomimo wad i wycofań, nadal zalecamy fizyczne klucze bezpieczeństwa. Firma Yubico napotkała problem z przypadkowością w jednej linii produktów przeznaczonych specjalnie dla rządu i skutecznie je wymieniła. Google miał problem z Bluetooth, jednak mógł on zostać wykorzystany tylko przez napastników znajdujących się w bliskiej odległości. Nawet wadliwy klucz Bluetooth Titan skutecznie chronił przed zdalnymi atakami.

Te klucze wciąż spełniają wysokie standardy bezpieczeństwa. Fakt, że zarówno Yubico, jak i Google proaktywnie ujawniają wady i oferują bezpłatne wymiany uszkodzonego sprzętu, jest zachęcający. Problemy nigdy nie dotyczyły standardowych kluczy bezpieczeństwa opartych na USB lub NFC dla zwykłych konsumentów.

Największym problemem związanym z tymi kluczami jest kwestia uwierzytelniania dwuskładnikowego. W przypadku większości usług online można po prostu skorzystać z mniej bezpiecznej metody, takiej jak SMS, aby ominąć klucz bezpieczeństwa. Osoba atakująca, która przeprowadziła atak typu SIM swap, może uzyskać dostęp do Twojego konta, nawet jeśli posiadasz fizyczny klucz. Tylko usługi o bardzo wysokim poziomie bezpieczeństwa – takie jak program Ochrony zaawansowanej Google – mogą Cię przed tym uchronić.


newsblog.pl