हम हार्डवेयर सुरक्षा कुंजी की सलाह देते हैं यूबिको की यूबिकिस तथा Google की टाइटन सिक्योरिटी की । लेकिन दोनों निर्माताओं ने हाल ही में हार्डवेयर खामियों के कारण चाबियाँ वापस बुला ली हैं, और यह थोड़ा चिंताजनक है। समस्या क्या है? क्या ये चाबियां अभी भी सुरक्षित हैं?
हार्डवेयर सुरक्षा कुंजी क्या हैं?
भौतिक सुरक्षा कुंजी जैसे Google की टाइटन सिक्योरिटी की और Yubico's YubiKeys के लिए उत्तराधिकारी WebAuthn मानक का उपयोग करते हैं U2F , अपने खातों की सुरक्षा में मदद करने के लिए। वे दूसरे प्रकार के रूप में कार्य करते हैं दो तरीकों से प्रमाणीकरण : आपके द्वारा टाइप किए गए कोड के बजाय, यह एक भौतिक सुरक्षा कुंजी है जिसे आप USB पोर्ट में सम्मिलित करते हैं - या यह वायरलेस माध्यम से संचार कर सकता है एनएफसी (निकट-क्षेत्र संचार) या ब्लूटूथ .
आप ऐसा कर सकते हैं हार्डवेयर सुरक्षा टोकन के रूप में अपनी कुंजी का उपयोग करें अपने Google, Facebook, Dropbox और GitHub खातों जैसे खातों में प्रवेश करने के लिए। Google के वैकल्पिक के साथ उन्नत सुरक्षा कार्यक्रम, आपको अपने खाते में प्रवेश करने के लिए एक भौतिक सुरक्षा कुंजी की आवश्यकता हो सकती है।
सम्बंधित: U2F कुंजी या YubiKey के साथ अपने खातों को कैसे सुरक्षित करें
क्यों Google और Yubico कुंजी को याद किया है?
Yubico और Google दोनों ही हाल ही में खबरों में रहे हैं। प्रत्येक को हार्डवेयर खामियों के कारण कुछ सुरक्षा कुंजियों को याद करना पड़ा है।
Yubico की समस्या केवल YubiKey FIPS श्रृंखला उपकरणों को प्रभावित करती है - किसी भी उपभोक्ता उपकरण को नहीं। जैसा यूबिको की सुरक्षा सलाहकार बताते हैं, इन कुंजियों में डिवाइस पावरअप के बाद अपर्याप्त यादृच्छिकता है, जो उनके एन्क्रिप्शन को कमजोर बना सकता है। ये उपकरण सिर्फ सरकारी एजेंसियों और ठेकेदारों के लिए हैं- हम दान की अनुशंसा नहीं करते हैं जब तक आपको कानूनी रूप से इसका उपयोग करने की आवश्यकता न हो। यूबिको को ऐसे किसी भी हमले के बारे में पता नहीं है, जिसने इसका दुरुपयोग किया हो, लेकिन कंपनी लगातार प्रभावित उपकरणों की जगह ले रही है।
Google की टाइटन सिक्योरिटी की समस्या, जिसके कारण प्रभावित कुंजियों की वापसी और प्रतिस्थापन की स्थिति बदतर थी। टाइटन सिक्योरिटी की का ब्लूटूथ संस्करण, जो उपयोग करता है ब्लूटूथ कम ऊर्जा वायरलेस तरीके से संवाद करने के लिए, Google ने "क्या कहा" के कारण हमला करने के लिए असुरक्षित था गलत कॉन्फ़िगरेशन । " सुरक्षा कुंजी का उपयोग करने के लिए साइन इन करने के लिए 30 फीट के भीतर एक हमलावर अपने खाते में प्रवेश करने के लिए दोष का फायदा उठा सकता है। या, हमलावर व्यक्ति के कंप्यूटर को सुरक्षा कुंजी के बजाय एक अलग ब्लूटूथ डोंगल के साथ जोड़ सकता है। भेद्यता फ़ीतान सुरक्षा कुंजियों को भी प्रभावित करती है - फिटान Google के लिए टाइटन कुंजियों का निर्माण करने वाली कंपनी है।
Microsoft ने भी रोल आउट किया है विंडोज सुधार जो ब्लूटूथ के माध्यम से विंडोज 10 और विंडोज 8.1 के साथ जोड़कर इन कमजोर Google टाइटन और फेइटान कुंजी को रोक देगा।
Yubico ने कभी भी ब्लूटूथ की की पेशकश नहीं की। जब Google ने अपनी टाइटन कुंजी की घोषणा की, Yubico उसने कहा कि उसने पहले अपने खुद के ब्लूटूथ लो एनर्जी (BLE) कुंजी को लॉन्च करने की खोज की थी, लेकिन "BLE NFC और USB के सुरक्षा आश्वासन स्तर प्रदान नहीं करता है।" Google के संघर्षों ने प्रतीत होता है कि ब्लूटूथ के बजाय USB और NFC पर ध्यान केंद्रित करने के Yubico के दृष्टिकोण को बदल दिया है।
Google और Yubico दोनों ने याद किया और मुफ्त के लिए प्रभावित कुंजियों को बदल दिया।
क्या हम अभी भी इन कीज़ की सलाह देते हैं?
खामियों और यादों के बावजूद, हम अभी भी भौतिक सुरक्षा कुंजी की सिफारिश करते हैं। यूबिको ने विशेष रूप से सरकार के लिए उत्पादों की एक पंक्ति में यादृच्छिकता के साथ एक समस्या का अनुभव किया और इसे प्रतिस्थापित किया। Google ब्लूटूथ के साथ समस्या में भाग गया, लेकिन यहां तक कि उस समस्या का केवल 30 फीट के भीतर हमलावरों द्वारा शोषण किया जा सकता था। यहां तक कि एक त्रुटिपूर्ण ब्लूटूथ टाइटन कुंजी निश्चित रूप से आपको दूरस्थ हमलावरों से बचाती है।
ये कुंजी अभी भी सुरक्षा के उच्च मानकों को पूरा करती हैं। यह तथ्य कि यूबीको और गूगल दोनों ही खामियों का खुलासा कर रहे हैं और प्रभावित हार्डवेयर के मुफ्त प्रतिस्थापन की पेशकश उत्साहजनक है। समस्याओं ने नियमित उपभोक्ताओं के लिए किसी भी मानक यूएसबी या एनएफसी-आधारित सुरक्षा कुंजी को प्रभावित नहीं किया है।
इन कुंजियों के साथ सबसे बड़ी समस्या सभी दो-कारक प्रमाणीकरण के साथ समस्या है। अधिकांश ऑनलाइन सेवाओं के साथ, आप बस कर सकते हैं सुरक्षा कुंजी को हटाने के लिए एसएमएस जैसी कम-सुरक्षित विधि का उपयोग करें । एक हमलावर जिसने एक को खींच लिया फोन पोर्ट-आउट घोटाला यदि आपके पास कोई भौतिक कुंजी संलग्न है, तो भी आपके खाते तक पहुँच प्राप्त कर सकता है। केवल बहुत ही उच्च सुरक्षा सेवाएँ - जैसे कि Google का उन्नत सुरक्षा कार्यक्रम — इससे आप सुरक्षा कर सकते हैं।
सम्बंधित: दो-कारक प्रमाणीकरण क्या है, और मुझे इसकी आवश्यकता क्यों है?
