Recomendamos llaves de seguridad de hardware como Yubikeis de Yubico y Llave de seguridad Titan de Google . Pero ambos fabricantes han retirado las llaves recientemente debido a fallas de hardware, y eso suena un poco preocupante. ¿Cuál es el problema? ¿Siguen siendo seguras estas llaves?
¿Qué son las llaves de seguridad de hardware?
Llaves de seguridad física como Llave de seguridad Titan de Google y YubiKeys de Yubico utilizan el estándar WebAuthn, el sucesor de U2F , para ayudar a proteger sus cuentas. Funcionan como otro tipo de Autenticación de dos factores : En lugar de un código que escribe, es una llave de seguridad física que inserta en un puerto USB, o puede comunicarse de forma inalámbrica a través de NFC (comunicación de campo cercano) o Bluetooth .
Usted puede use su clave como un token de seguridad de hardware para iniciar sesión en cuentas como sus cuentas de Google, Facebook, Dropbox y GitHub. Con el opcional de Google Protección avanzada programa, incluso puede requerir una clave de seguridad física para iniciar sesión en su cuenta.
RELACIONADO: Cómo proteger sus cuentas con una clave U2F o YubiKey
¿Por qué se han retirado las claves de Google y Yubico?
Tanto Yubico como Google han estado en las noticias últimamente. Cada uno ha tenido que recuperar algunas claves de seguridad debido a fallas de hardware.
El problema de Yubico solo afecta a los dispositivos de la serie FIPS YubiKey, no a los dispositivos de consumo. Como Aviso de seguridad de Yubico explica, estas claves tienen una aleatoriedad insuficiente después del encendido del dispositivo, lo que podría hacer que su cifrado sea vulnerable. Estos dispositivos son solo para agencias gubernamentales y contratistas: no recomendamos FIPS a menos que esté legalmente obligado a usarlo. Yubico no tiene conocimiento de ningún ataque que haya abusado de esto, pero la empresa está reemplazando proactivamente los dispositivos afectados.
El problema de la llave de seguridad Titan de Google, que provocó la retirada y el reemplazo de las llaves afectadas, fue peor. La versión Bluetooth de la llave de seguridad Titan, que usa Bluetooth de baja energía para comunicarse de forma inalámbrica, era vulnerable a los ataques debido a lo que Google denominó " mala configuración . " Un atacante a menos de 30 pies de alguien que usa una llave de seguridad para iniciar sesión podría aprovechar la falla para iniciar sesión en su cuenta. O el atacante podría engañar a la computadora de la persona para que se vincule con una llave Bluetooth diferente en lugar de la llave de seguridad. La vulnerabilidad también afecta a las llaves de seguridad Feitan: Feitan es la empresa que fabrica las llaves Titan para Google.
Microsoft también ha lanzado un Actualizacion de Windows que evitará que estas teclas vulnerables de Google Titan y Feitan se emparejen con Windows 10 y Windows 8.1 a través de Bluetooth.
Yubico nunca ofreció una clave Bluetooth. Cuando Google anunció su clave Titan, Yubico dijo que previamente había explorado el lanzamiento de su propia clave Bluetooth Low Energy (BLE) pero que "BLE no proporciona los niveles de garantía de seguridad de NFC y USB". Las luchas de Google aparentemente reivindicaron el enfoque de Yubico de centrarse en USB y NFC en lugar de Bluetooth.
Tanto Google como Yubico retiraron y reemplazaron las claves afectadas de forma gratuita.
¿Seguimos recomendando estas claves?
A pesar de las fallas y las retiradas, seguimos recomendando llaves de seguridad físicas. Yubico experimentó un problema de aleatoriedad en una línea de productos específicamente para el gobierno y la reemplazó. Google tuvo problemas con Bluetooth, pero incluso ese problema solo podría ser aprovechado por atacantes a 30 pies de usted. Incluso una llave Bluetooth Titan defectuosa definitivamente lo protegió de atacantes remotos.
Estas claves aún cumplen con altos estándares de seguridad. El hecho de que tanto Yubico como Google estén revelando fallas de manera proactiva y ofreciendo reemplazos gratuitos del hardware afectado es alentador. Los problemas nunca han afectado a ninguna llave de seguridad estándar USB o NFC para consumidores habituales.
El mayor problema con estas claves es el problema con toda la autenticación de dos factores. Con la mayoría de los servicios en línea, puede simplemente use un método menos seguro como SMS para quitar la llave de seguridad . Un atacante que hizo un estafa de transferencia de teléfono podría obtener acceso a su cuenta incluso si tiene una clave física adjunta. Solo los servicios de muy alta seguridad, como el programa de protección avanzada de Google, pueden protegerlo contra eso.
RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?
