Suosittelemme laitteiston suojausavaimia, kuten Yubico's Yubikeis ja Google’s Titan Security Key . Mutta molemmat valmistajat ovat hiljattain palauttaneet avaimet laitteistovirheiden takia, ja se kuulostaa hieman huolestuttavalta. Mikä on ongelma? Ovatko nämä avaimet edelleen turvallisia?
Mitä ovat laitteiston suojausavaimet?
Fyysiset suojausavaimet kuten Google’s Titan Security Key ja Yubico's YubiKeys käyttävät WebAuthn-standardia, jonka seuraaja on U2F , suojaamaan tiliäsi. Ne toimivat toisen tyyppisinä kaksivaiheinen todennus : Sen sijaan, että kirjoitat koodin, se on fyysinen turva-avain, jonka asetat USB-porttiin - tai se voi kommunikoida langattomasti NFC (lähikenttäyhteys) tai Bluetooth .
Sinä pystyt käytä avainta laitteiston suojaustunnuksena kirjautua sisään tileille, kuten Google-, Facebook-, Dropbox- ja GitHub-tileillesi. Googlen valinnainen Lisäsuojaus -ohjelmassa, voit jopa vaatia fyysisen suojausavaimen kirjautua tilillesi.
LIITTYVÄT: Kuinka suojata tilisi U2F-avaimella tai YubiKeyllä
Miksi Google ja Yubico ovat muistuttaneet avaimet?
Sekä Yubico että Google ovat olleet viime aikoina uutisissa. Jokaisen on täytynyt palauttaa joitain suojausavaimia laitteistovirheiden vuoksi.
Yubicon ongelma koskee vain YubiKey FIPS -sarjan laitteita - ei mitään kuluttajalaitteita. Kuten Yubicon turvallisuusneuvonta Näiden avainten satunnaisuus on riittämätön laitteen käynnistämisen jälkeen, mikä saattaa tehdä niiden salauksesta haavoittuvan. Nämä laitteet on tarkoitettu vain valtion virastoille ja urakoitsijoille - emme suosittele FIPSia ellet ole laillisesti velvollinen käyttämään sitä. Yubico ei ole tietoinen hyökkäyksistä, jotka ovat väärinkäyttäneet tätä, mutta yritys korvaa ennakoivasti kyseiset laitteet.
Googlen Titan Security Key -ongelma, joka johti kyseisten avainten palauttamiseen ja korvaamiseen, oli pahempi. Titan-suojausavaimen Bluetooth-versio, joka käyttää Bluetooth Low Energy kommunikoida langattomasti, oli alttiina hyökkäyksille sen vuoksi, mitä Google kutsui väärä määritys . ” Hyökkääjä, joka on 30 metrin päässä siitä, kun joku käyttää suojausavainta sisäänkirjautumiseen, voi käyttää virheen kirjautuakseen tililleen. Tai hyökkääjä voi huijata henkilön tietokoneen muodostamaan pariliitoksen toisen Bluetooth-donglen kanssa suojausavaimen sijaan. Haavoittuvuus vaikuttaa myös Feitan-suojausavaimiin - Feitan on yritys, joka valmistaa Titan-avaimet Googlelle.
Microsoft on myös ottanut käyttöön a Windows päivitys tämä estää näitä haavoittuvia Google Titan- ja Feitan-avaimia muodostamasta pariliitosta Windows 10: n ja Windows 8.1: n kanssa Bluetoothin kautta.
Yubico ei koskaan tarjonnut Bluetooth-avainta. Kun Google ilmoitti Titan-avaimensa, Yubico sanoi, että se oli aiemmin tutkinut oman Bluetooth Low Energy (BLE) -avaimensa käynnistämistä, mutta "BLE ei tarjoa NFC: n ja USB: n suojaustasoja." Googlen kamppailut näyttävät todistavan Yubicon lähestymistavan keskittyä USB: hen ja NFC: hen Bluetoothin sijaan.
Sekä Google että Yubico muistuttivat ja vaihtoivat avaimet ilmaiseksi.
Suosittelemme edelleen näitä avaimia?
Puutteista ja palautuksista huolimatta suosittelemme edelleen fyysisiä suojausavaimia. Yubico koki ongelman satunnaisesti yhdessä tuotevalikoimassa erityisesti hallitukselle ja korvasi sen. Google joutui vaikeuksiin Bluetoothin kanssa, mutta jopa 30 metrin etäisyydellä sinusta olevat hyökkääjät pystyivät hyödyntämään tämän ongelman. Jopa puutteellinen Bluetooth Titan -avain suojasi ehdottomasti etähyökkääjiltä.
Nämä avaimet täyttävät edelleen korkeat turvallisuusstandardit. Se, että sekä Yubico että Google paljastavat ennakoivasti puutteita ja tarjoavat ilmaisia korvauksia vahingoittuneelle laitteistolle, on rohkaisevaa. Ongelmat eivät ole koskaan vaikuttaneet tavallisten kuluttajien tavallisiin USB- tai NFC-pohjaisiin suojausavaimiin.
Näiden avainten suurin ongelma on ongelma kaikissa kaksitekijöissä. Useimpien verkkopalvelujen avulla voit yksinkertaisesti poista suojausavain vähemmän turvallisella tavalla, kuten tekstiviestillä . Hyökkääjä, joka veti a puhelimen portti-out-huijaus voi päästä tilillesi, vaikka sinulla olisi liitetty fyysinen avain. Vain erittäin korkean tietoturvan palvelut - kuten Googlen Advanced Protection -ohjelma - voivat suojata sinua siltä.
LIITTYVÄT: Mikä on kaksivaiheinen todennus ja miksi tarvitsen sitä?
