Συνιστούμε κλειδιά ασφαλείας υλικού όπως Yubico's Yubicois και Το κλειδί ασφαλείας του Τιτάνα της Google . Αλλά και οι δύο κατασκευαστές έχουν ανακαλέσει πρόσφατα κλειδιά λόγω ελαττωμάτων υλικού και αυτό ακούγεται λίγο ανησυχητικό. Ποιο είναι το πρόβλημα? Είναι ακόμα αυτά τα κλειδιά ασφαλή;
Τι είναι τα κλειδιά ασφαλείας υλικού;
Φυσικά κλειδιά ασφαλείας όπως Το κλειδί ασφαλείας του Τιτάνα της Google και τα YubiKeys της Yubico χρησιμοποιούν το πρότυπο WebAuthn, το διάδοχο του U2F , για την προστασία των λογαριασμών σας. Λειτουργούν ως άλλος τύπος έλεγχος ταυτότητας δύο παραγόντων : Αντί για έναν κωδικό που πληκτρολογείτε, είναι ένα κλειδί φυσικής ασφάλειας που εισάγετε σε μια θύρα USB ή μπορεί να επικοινωνεί ασύρματα μέσω NFC (επικοινωνία κοντινού πεδίου) ή Bluetooth .
Μπορείς χρησιμοποιήστε το κλειδί σας ως διακριτικό ασφαλείας υλικού για να συνδεθείτε σε λογαριασμούς όπως οι λογαριασμοί σας Google, Facebook, Dropbox και GitHub. Με το προαιρετικό της Google Προηγμένη προστασία πρόγραμμα, μπορείτε ακόμη και να απαιτήσετε ένα φυσικό κλειδί ασφαλείας για να συνδεθείτε στον λογαριασμό σας.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να ασφαλίσετε τους λογαριασμούς σας με ένα κλειδί U2F ή YubiKey
Γιατί η Google και η Yubico έχουν ανακαλέσει κλειδιά;
Τόσο η Yubico όσο και η Google έχουν πρόσφατα στα νέα. Ο καθένας έπρεπε να ανακαλέσει μερικά κλειδιά ασφαλείας λόγω ελαττωμάτων υλικού.
Το ζήτημα του Yubico επηρεάζει μόνο τις συσκευές της σειράς YubiKey FIPS και όχι τις καταναλωτικές συσκευές. Οπως και Σύμβουλος ασφαλείας του Yubico εξηγεί, αυτά τα κλειδιά έχουν ανεπαρκή τυχαιότητα μετά την ενεργοποίηση της συσκευής, γεγονός που θα μπορούσε να κάνει την κρυπτογράφηση ευάλωτη. Αυτές οι συσκευές προορίζονται μόνο για κρατικούς φορείς και εργολάβους δεν συνιστούμε το FIPS εκτός αν απαιτείται από το νόμο να το χρησιμοποιήσετε. Η Yubico δεν γνωρίζει τυχόν επιθέσεις που το έχουν κάνει κατάχρηση, αλλά η εταιρεία αντικαθιστά προληπτικά τις επηρεαζόμενες συσκευές.
Το πρόβλημα του κλειδιού ασφαλείας Titan της Google, το οποίο οδήγησε σε ανάκληση και αντικατάσταση των πλήκτρων που επηρεάστηκαν, ήταν χειρότερο. Η έκδοση Bluetooth του κλειδιού ασφαλείας Titan, η οποία χρησιμοποιεί Χαμηλή ενέργεια Bluetooth να επικοινωνήσει ασύρματα, ήταν ευάλωτο σε επίθεση λόγω αυτού που η Google ονόμασε « εσφαλμένη διαμόρφωση " Ένας εισβολέας σε απόσταση 30 μέτρων από κάποιον που χρησιμοποιεί ένα κλειδί ασφαλείας για να συνδεθεί θα μπορούσε να εκμεταλλευτεί το ελάττωμα για να συνδεθεί στον λογαριασμό του. Εναλλακτικά, ο εισβολέας θα μπορούσε να εξαπατήσει τον υπολογιστή του ατόμου να ζευγαρώσει με διαφορετικό dongle Bluetooth και όχι με το κλειδί ασφαλείας. Η ευπάθεια επηρεάζει επίσης τα κλειδιά ασφαλείας του Feitan - η Feitan είναι η εταιρεία που κατασκευάζει τα κλειδιά Titan για την Google.
Η Microsoft έχει επίσης αναπτύξει ένα Ενημερωμένη έκδοση για Windows που θα αποτρέψει την αντιστοίχιση αυτών των ευάλωτων κλειδιών Google Titan και Feitan με τα Windows 10 και Windows 8.1 μέσω Bluetooth.
Η Yubico δεν προσέφερε ποτέ κλειδί Bluetooth. Όταν η Google ανακοίνωσε το κλειδί Τιτάν, Γιούμπικο είπε ότι είχε προηγουμένως διερευνήσει την κυκλοφορία του δικού του κλειδιού Bluetooth χαμηλής ενέργειας (BLE), αλλά ότι "το BLE δεν παρέχει τα επίπεδα ασφάλειας NFC και USB." Οι αγώνες της Google δικαιολογούν φαινομενικά την προσέγγιση της Yubico να εστιάζει σε USB και NFC και όχι στο Bluetooth.
Τόσο η Google όσο και η Yubico υπενθύμισαν και αντικατέστησαν τα επηρεαζόμενα κλειδιά δωρεάν.
Εξακολουθούμε να προτείνουμε αυτά τα κλειδιά;
Παρά τα ελαττώματα και τις υπενθυμίσεις, συνιστούμε ακόμα τα φυσικά κλειδιά ασφαλείας. Η Yubico αντιμετώπισε ένα πρόβλημα με τυχαιότητα σε μια σειρά προϊόντων ειδικά για την κυβέρνηση και το αντικατέστησε. Η Google αντιμετώπισε πρόβλημα με το Bluetooth, αλλά ακόμη και αυτό το πρόβλημα μπορούσε να αξιοποιηθεί μόνο από επιτιθέμενους σε απόσταση 30 μέτρων από εσάς. Ακόμα και ένα ελαττωματικό κλειδί Bluetooth Titan σίγουρα σας προστάτευε από απομακρυσμένους εισβολείς.
Αυτά τα κλειδιά εξακολουθούν να πληρούν υψηλά πρότυπα ασφαλείας. Το γεγονός ότι τόσο η Yubico όσο και η Google αποκαλύπτουν προληπτικά ελαττώματα και προσφέρουν δωρεάν αντικατάσταση υλικού που επηρεάζεται είναι ενθαρρυντικό. Τα προβλήματα δεν έχουν επηρεάσει ποτέ κανένα τυπικό κλειδί ασφαλείας που βασίζεται σε USB ή NFC για τους τακτικούς καταναλωτές.
Το μεγαλύτερο πρόβλημα με αυτά τα κλειδιά είναι το πρόβλημα με τον έλεγχο ταυτότητας δύο παραγόντων. Με τις περισσότερες διαδικτυακές υπηρεσίες, μπορείτε απλά χρησιμοποιήστε μια λιγότερο ασφαλή μέθοδο όπως SMS για να αφαιρέσετε το κλειδί ασφαλείας . Ένας εισβολέας που έβγαλε ένα απάτη μέσω τηλεφώνου θα μπορούσε να αποκτήσει πρόσβαση στον λογαριασμό σας ακόμα κι αν έχετε συνημμένο φυσικό κλειδί. Μόνο υπηρεσίες πολύ υψηλής ασφάλειας, όπως το πρόγραμμα Προστασίας για προχωρημένους της Google, μπορούν να σας προστατεύσουν από αυτό.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί το χρειάζομαι;
