Zalecamy sprzętowe klucze bezpieczeństwa, takie jak Yubico’s YubiKeys i Klucz bezpieczeństwa Google Titan. Ale obaj producenci niedawno wycofali klucze z powodu usterek sprzętowych i brzmi to trochę niepokojąco. Jaki jest problem? Czy te klucze są nadal bezpieczne?
Spis treści:
Co to są sprzętowe klucze bezpieczeństwa?
Fizyczne klucze bezpieczeństwa, takie jak Google Titan Security Key i YubiKeys Yubico, używają standardu WebAuthn, następcy U2F, aby pomóc chronić Twoje konta. Działają jako inny rodzaj uwierzytelniania dwuskładnikowego: zamiast wpisywanego kodu jest to fizyczny klucz bezpieczeństwa, który wkładasz do portu USB – lub może komunikować się bezprzewodowo przez NFC (komunikacja bliskiego zasięgu) lub Bluetooth.
Możesz użyć swojego klucza jako sprzętowego tokena zabezpieczającego do logowania się na konta, takie jak konta Google, Facebook, Dropbox i GitHub. Dzięki opcjonalnemu programowi Ochrony zaawansowanej Google możesz nawet wymagać fizycznego klucza bezpieczeństwa, aby zalogować się na swoje konto.
Dlaczego Google i Yubico wycofały klucze?
Zarówno Yubico, jak i Google były ostatnio w wiadomościach. Każdy z nich musiał sobie przypomnieć niektóre klucze bezpieczeństwa z powodu wad sprzętowych.
Problem Yubico dotyczy tylko urządzeń z serii YubiKey FIPS, a nie urządzeń konsumenckich. Tak jak Poradnik bezpieczeństwa Yubico wyjaśnia, po włączeniu urządzenia klucze te mają niewystarczającą losowość, co może naruszyć ich szyfrowanie. Te urządzenia są przeznaczone tylko dla agencji rządowych i wykonawców – nie zalecamy korzystania z FIPS, chyba że jest to prawnie wymagane. Firma Yubico nie jest świadoma żadnych ataków, które to nadużyły, ale firma proaktywnie wymienia urządzenia, których dotyczy problem.
Problem z kluczem bezpieczeństwa Titan firmy Google, który doprowadził do wycofania i wymiany uszkodzonych kluczy, był gorszy. Wersja Bluetooth Titan Security Key, która wykorzystuje technologię Bluetooth Low Energy do komunikacji bezprzewodowej, była narażona na atak z powodu tego, co Google nazywa „błędna konfiguracja. ” Osoba atakująca znajdująca się w promieniu 30 stóp od osoby używającej klucza bezpieczeństwa do logowania się może wykorzystać tę lukę, aby zalogować się na swoje konto. Atakujący może też skłonić komputer tej osoby do sparowania z innym kluczem Bluetooth zamiast klucza bezpieczeństwa. Luka dotyczy również kluczy bezpieczeństwa Feitan – Feitan to firma produkująca klucze Titan dla Google.
Microsoft wypuścił również Aktualizacja systemu Windows zapobiegnie to parowaniu tych wrażliwych kluczy Google Titan i Feitan z Windows 10 i Windows 8.1 przez Bluetooth.
Yubico nigdy nie oferowało klucza Bluetooth. Kiedy Google ogłosił swój klucz Titan, Yubico powiedział, że wcześniej badał uruchomienie własnego klucza Bluetooth Low Energy (BLE), ale „BLE nie zapewnia poziomów bezpieczeństwa NFC i USB”. Walki Google pozornie potwierdziły podejście Yubico do skupienia się na USB i NFC zamiast Bluetooth.
Zarówno Google, jak i Yubico bezpłatnie wycofały i wymieniły klucze, których dotyczy problem.
Czy nadal polecamy te klucze?
Pomimo wad i wycofań nadal zalecamy fizyczne klucze bezpieczeństwa. Firma Yubico napotkała problem z przypadkowością w jednej linii produktów przeznaczonych specjalnie dla rządu i zastąpiła ją. Google napotkał problem z Bluetooth, ale nawet ten problem mógł zostać wykorzystany tylko przez napastników w promieniu 30 stóp od Ciebie. Nawet wadliwy klucz Bluetooth Titan zdecydowanie chronił cię przed zdalnymi napastnikami.
Te klucze nadal spełniają wysokie standardy bezpieczeństwa. Fakt, że zarówno Yubico, jak i Google proaktywnie ujawniają wady i oferują bezpłatne wymiany uszkodzonego sprzętu, jest zachęcający. Problemy nigdy nie dotyczyły żadnych standardowych kluczy bezpieczeństwa opartych na USB lub NFC dla zwykłych konsumentów.
Największym problemem związanym z tymi kluczami jest problem z uwierzytelnianiem dwuskładnikowym. W przypadku większości usług online możesz po prostu użyć mniej bezpiecznej metody, takiej jak SMS, aby usunąć klucz bezpieczeństwa. Osoba atakująca, która dokonała oszustwa polegającego na przeniesieniu telefonu, może uzyskać dostęp do Twojego konta, nawet jeśli masz dołączony fizyczny klucz. Tylko usługi o bardzo wysokim poziomie bezpieczeństwa – takie jak program Ochrony zaawansowanej Google – mogą Cię przed tym uchronić.