מפתחות אבטחת חומרה כל הזמן נזכרים; האם הם בטוחים?

אנו ממליצים על מפתחות אבטחת חומרה כמו היוביקיות של יוביקו ו מפתח האבטחה של גוגל . אבל שתי היצרניות נזכרו לאחרונה במפתחות בגלל פגמים בחומרה, וזה נשמע קצת מדאיג. מה הבעיה? האם המפתחות הללו עדיין בטוחים?

מהם מפתחות אבטחת חומרה?

מפתחות אבטחה פיזיים כמו מפתח האבטחה של גוגל ו- YubiKeys של יוביקו משתמשים בתקן WebAuthn, היורש של U2F , כדי להגן על חשבונותיך. הם מתפקדים כסוג אחר של אימות דו-גורמי : במקום קוד שאתה מקליד, זהו מפתח אבטחה פיזי שאתה מכניס ליציאת USB - או שהוא יכול לתקשר באופן אלחוטי באמצעות NFC (תקשורת בשדה הקרוב) אוֹ בלוטות .

אתה יכול השתמש במפתח שלך כאסימון לאבטחת חומרה להיכנס לחשבונות כמו חשבונות Google, Facebook, Dropbox ו- GitHub שלך. עם האופציונלי של גוגל הגנה מתקדמת תוכנית, אתה יכול אפילו לדרוש מפתח אבטחה פיזי כדי להיכנס לחשבונך.

קָשׁוּר: כיצד לאבטח את חשבונותיך באמצעות מפתח U2F או YubiKey

מדוע גוגל ויוביקו נזכרו במפתחות?

גם יוביקו וגם גוגל היו בחדשות לאחרונה. כל אחד מהם נאלץ לזכור כמה מפתחות אבטחה עקב פגמים בחומרה.

הסוגיה של יוביקו משפיעה רק על מכשירי סדרת FIPS של YubiKey - לא על מכשירי צריכה כלשהם. כפי ש הייעוץ הביטחוני של יוביקו מסביר, למקשים אלה אין אקראיות מספקת לאחר הפעלת המכשיר, מה שעלול להפוך את ההצפנה שלהם לפגיעה. מכשירים אלה מיועדים רק לסוכנויות ממשלתיות ולקבלנים - אנו לא ממליצים על FIPS אלא אם כן אתה נדרש על פי חוק להשתמש בו. ליוביקו לא ידוע על התקפות שביצעו שימוש לרעה בכך, אך החברה מחליפה באופן יזום את המכשירים המושפעים.

בעיית מפתח האבטחה של גוגל, שהובילה לאחזור והחלפת מפתחות מושפעים, הייתה גרועה יותר. גרסת ה- Bluetooth של מפתח האבטחה Titan, המשתמש אנרגיה נמוכה Bluetooth לתקשר באופן אלחוטי, היה חשוף להתקפות בגלל מה שגוגל כינה " תצורה שגויה . ” תוקף הנמצא במרחק של 30 מטר ממישהו שמשתמש במפתח אבטחה כדי להיכנס לחשבון יכול לנצל את הפגם בכניסה לחשבונו. לחלופין, התוקף יכול להערים על מחשב האדם להתאמה עם דונגל Bluetooth אחר ולא מפתח האבטחה. הפגיעות משפיעה גם על מפתחות האבטחה של פייטן - פייטן היא החברה המייצרת את מפתחות טיטאן עבור גוגל.

מיקרוסופט פרסמה גם א עדכון חלונות זה ימנע מהתאמה בין מקשי Google Titan ו- Feitan הפגיעים הללו ל- Windows 10 ו- Windows 8.1 באמצעות Bluetooth.

יוביקו מעולם לא הציע מפתח Bluetooth. כשגוגל הכריזה על מפתח הטיטאן שלה, יוביקו אמרה כי היא בדקה בעבר השקת מפתח משלה Bluetooth נמוך אנרגיה (BLE) אך כי "BLE אינו מספק את רמות אבטחת האבטחה של NFC ו- USB." המאבקים של גוגל אישרו לכאורה את הגישה של יוביקו להתמקד ב- USB ו- NFC ולא ב- Bluetooth.

גם גוגל וגם יוביקו נזכרו והחליפו את המפתחות המושפעים בחינם.

האם אנחנו עדיין ממליצים על המפתחות האלה?

למרות הפגמים והזכרונות, אנו ממליצים עדיין על מפתחות אבטחה פיזיים. יוביקו חווה בעיה באקראיות בשורה אחת של מוצרים המיועדת במיוחד לממשלה והחליפה אותה. גוגל נקלעה לבעיות עם בלוטות ', אך אפילו בעיה זו יכולה להיות מנוצלת רק על ידי תוקפים הנמצאים במרחק של 30 מטרים ממך. אפילו מפתח טיטאן Bluetooth לקוי בהחלט הגן עליך מפני תוקפים מרוחקים.

מפתחות אלה עדיין עומדים בסטנדרטים גבוהים של אבטחה. העובדה שגם יוביקו וגם גוגל חושפות באופן יזום פגמים ומציעות החלפות חינם של חומרה מושפעת היא מעודדת. הבעיות מעולם לא השפיעו על מפתחות אבטחה סטנדרטיים מבוססי USB או NFC עבור צרכנים רגילים.

הבעיה הגדולה ביותר במפתחות אלה היא הבעיה בכל אימות הדו-גורמי. ברוב השירותים המקוונים אתה יכול פשוט השתמש בשיטה פחות מאובטחת כמו SMS כדי להסיר את מפתח האבטחה . תוקף ששלף א הונאת יציאת טלפון יכול לקבל גישה לחשבונך גם אם יש לך מפתח פיזי מצורף. רק שירותי אבטחה גבוהים מאוד - כמו תוכנית ההגנה המתקדמת של גוגל - יכולים להגן עליך מפני כך.

קָשׁוּר: מהי אימות דו-גורמי ומדוע אני צריך את זה?