Wir empfehlen Hardware-Sicherheitsschlüssel wie Yubicos Yubikeis und Googles Titan-Sicherheitsschlüssel . Aber beide Hersteller haben kürzlich Schlüssel aufgrund von Hardwarefehlern zurückgerufen, und das klingt ein wenig besorgniserregend. Was ist das Problem? Sind diese Schlüssel noch sicher?
Was sind Hardware-Sicherheitsschlüssel?
Physische Sicherheitsschlüssel wie Googles Titan-Sicherheitsschlüssel und YubiKeys von Yubico verwenden den WebAuthn-Standard, den Nachfolger von U2F , um Ihre Konten zu schützen. Sie fungieren als eine andere Art von Zwei-Faktor-Authentifizierung : Anstelle eines eingegebenen Codes handelt es sich um einen physischen Sicherheitsschlüssel, den Sie in einen USB-Anschluss einstecken - oder der drahtlos über kommunizieren kann NFC (Nahfeldkommunikation) oder Bluetooth .
Sie können Verwenden Sie Ihren Schlüssel als Hardware-Sicherheitstoken um sich in Konten wie Ihren Google-, Facebook-, Dropbox- und GitHub-Konten anzumelden. Mit Google optional Erweiterter Schutz Programm können Sie sogar einen physischen Sicherheitsschlüssel benötigen, um sich in Ihrem Konto anzumelden.
VERBUNDEN: So sichern Sie Ihre Konten mit einem U2F-Schlüssel oder YubiKey
Warum haben Google und Yubico Schlüssel zurückgerufen?
Sowohl Yubico als auch Google waren in letzter Zeit in den Nachrichten. Jeder musste aufgrund von Hardwarefehlern einige Sicherheitsschlüssel zurückrufen.
Das Problem von Yubico betrifft nur Geräte der YubiKey FIPS-Serie, keine Consumer-Geräte. Wie Yubicos Sicherheitshinweis erklärt, dass diese Schlüssel nach dem Einschalten des Geräts nicht genügend zufällig sind, was ihre Verschlüsselung anfällig machen könnte. Diese Geräte sind nur für Regierungsbehörden und Auftragnehmer bestimmt. Wir empfehlen FIPS nicht es sei denn, Sie sind gesetzlich dazu verpflichtet. Yubico sind keine Angriffe bekannt, die dies missbraucht haben, aber das Unternehmen ersetzt proaktiv betroffene Geräte.
Das Titan-Sicherheitsschlüsselproblem von Google, das zum Rückruf und Ersetzen betroffener Schlüssel führte, war schlimmer. Die Bluetooth-Version des Titan Security Key, die verwendet Bluetooth Low Energy drahtlos zu kommunizieren, war anfällig für Angriffe aufgrund dessen, was Google als " Fehlkonfiguration . ” Ein Angreifer in einem Umkreis von 30 Fuß um jemanden, der einen Sicherheitsschlüssel zum Anmelden verwendet, kann den Fehler ausnutzen, um sich in seinem Konto anzumelden. Oder der Angreifer könnte den Computer der Person dazu verleiten, sich mit einem anderen Bluetooth-Dongle anstatt mit dem Sicherheitsschlüssel zu koppeln. Die Sicherheitsanfälligkeit betrifft auch Feitan-Sicherheitsschlüssel. Feitan ist das Unternehmen, das die Titan-Schlüssel für Google herstellt.
Microsoft hat auch eine eingeführt Windows update Dadurch wird verhindert, dass diese anfälligen Google Titan- und Feitan-Schlüssel über Bluetooth mit Windows 10 und Windows 8.1 gekoppelt werden.
Yubico hat nie einen Bluetooth-Schlüssel angeboten. Als Google seinen Titan-Schlüssel ankündigte, Yubico sagte, dass es zuvor die Einführung eines eigenen Bluetooth Low Energy (BLE) -Schlüssels untersucht hatte, aber dass "BLE nicht die Sicherheitsstufen von NFC und USB bietet". Die Kämpfe von Google haben anscheinend Yubicos Ansatz bestätigt, sich eher auf USB und NFC als auf Bluetooth zu konzentrieren.
Sowohl Google als auch Yubico haben betroffene Schlüssel kostenlos zurückgerufen und ersetzt.
Empfehlen wir diese Schlüssel immer noch?
Trotz der Mängel und Rückrufe empfehlen wir weiterhin physische Sicherheitsschlüssel. Yubico hatte ein Problem mit der Zufälligkeit in einer Produktlinie speziell für die Regierung und ersetzte es. Google hatte Probleme mit Bluetooth, aber selbst dieses Problem konnte nur von Angreifern in einem Umkreis von 30 Fuß um Sie ausgenutzt werden. Selbst ein fehlerhafter Bluetooth Titan-Schlüssel hat Sie definitiv vor entfernten Angreifern geschützt.
Diese Schlüssel erfüllen immer noch hohe Sicherheitsstandards. Die Tatsache, dass sowohl Yubico als auch Google Fehler proaktiv aufdecken und kostenlosen Ersatz für betroffene Hardware anbieten, ist ermutigend. Die Probleme haben noch nie einen Standard-USB- oder NFC-basierten Sicherheitsschlüssel für normale Verbraucher betroffen.
Das größte Problem bei diesen Schlüsseln ist das Problem bei der Zwei-Faktor-Authentifizierung. Mit den meisten Online-Diensten können Sie einfach Verwenden Sie eine weniger sichere Methode wie SMS, um den Sicherheitsschlüssel zu entfernen . Ein Angreifer, der a Telefon-Port-Out-Betrug Sie können auch dann auf Ihr Konto zugreifen, wenn Sie einen physischen Schlüssel angehängt haben. Nur sehr hochsichere Dienste wie das Advanced Protection-Programm von Google können Sie davor schützen.
VERBUNDEN: Was ist eine Zwei-Faktor-Authentifizierung und warum brauche ich sie?
