Kami merekomendasikan kunci keamanan perangkat keras seperti Yubico's Yubikeis dan Kunci Keamanan Titan Google . Tetapi kedua pabrikan baru-baru ini menarik kembali kunci karena cacat perangkat keras, dan itu terdengar sedikit mengkhawatirkan. Apa masalahnya? Apakah kunci ini masih aman?
Apakah Kunci Keamanan Perangkat Keras itu?
Kunci keamanan fisik seperti Kunci Keamanan Titan Google dan Yubico's YubiKeys menggunakan standar WebAuthn, penerus dari U2F , untuk membantu melindungi akun Anda. Mereka berfungsi sebagai jenis lain otentikasi dua faktor : Bukan kode yang Anda ketik, ini adalah kunci keamanan fisik yang Anda masukkan ke port USB — atau dapat berkomunikasi secara nirkabel melalui NFC (komunikasi jarak dekat) atau Bluetooth .
Kamu bisa gunakan kunci Anda sebagai token keamanan perangkat keras untuk masuk ke akun seperti akun Google, Facebook, Dropbox, dan GitHub Anda. Dengan opsional Google Perlindungan Lanjutan program, Anda bahkan dapat meminta kunci keamanan fisik untuk masuk ke akun Anda.
TERKAIT: Bagaimana Mengamankan Akun Anda Dengan Kunci U2F atau YubiKey
Mengapa Google dan Yubico Recalled Keys?
Baik Yubico dan Google telah menjadi berita akhir-akhir ini. Masing-masing harus mengingat beberapa kunci keamanan karena kekurangan perangkat keras.
Masalah Yubico hanya memengaruhi perangkat YubiKey FIPS Series — bukan perangkat konsumen apa pun. Sebagai Penasihat keamanan Yubico menjelaskan, kunci-kunci ini memiliki keacakan yang tidak memadai setelah perangkat diaktifkan, yang dapat membuat enkripsi mereka rentan. Perangkat ini hanya untuk instansi pemerintah dan kontraktor— kami tidak merekomendasikan FIPS kecuali Anda diwajibkan secara hukum untuk menggunakannya. Yubico tidak mengetahui adanya serangan yang menyalahgunakan ini, tetapi perusahaan secara proaktif mengganti perangkat yang terpengaruh.
Masalah Kunci Keamanan Titan Google, yang menyebabkan penarikan kembali dan penggantian kunci yang terpengaruh, lebih buruk. Versi Bluetooth dari Kunci Keamanan Titan, yang menggunakan Bluetooth Hemat Energi untuk berkomunikasi tanpa kabel, rentan terhadap serangan karena apa yang disebut Google sebagai " kesalahan konfigurasi . ” Penyerang dalam jarak 30 kaki dari seseorang yang menggunakan kunci keamanan untuk login dapat memanfaatkan kelemahan tersebut untuk login ke akunnya. Atau, penyerang dapat mengelabui komputer orang tersebut agar menyandingkan dengan dongle Bluetooth yang berbeda, bukan dengan kunci keamanan. Kerentanan juga memengaruhi kunci keamanan Feitan — Feitan adalah perusahaan yang memproduksi kunci Titan untuk Google.
Microsoft juga telah meluncurkan file Windows update yang akan mencegah kunci Google Titan dan Feitan yang rentan ini untuk dipasangkan dengan Windows 10 dan Windows 8.1 melalui Bluetooth.
Yubico tidak pernah menawarkan kunci Bluetooth. Saat Google mengumumkan kunci Titan-nya, Yubico mengatakan bahwa sebelumnya telah menjajaki peluncuran kunci Bluetooth Low Energy (BLE) miliknya sendiri, tetapi "BLE tidak memberikan tingkat jaminan keamanan NFC dan USB". Perjuangan Google tampaknya membuktikan pendekatan Yubico yang berfokus pada USB dan NFC, bukan Bluetooth.
Baik Google dan Yubico menarik kembali dan mengganti kunci yang terpengaruh secara gratis.
Apakah Kami Masih Merekomendasikan Kunci Ini?
Terlepas dari kekurangan dan penarikannya, kami tetap merekomendasikan kunci keamanan fisik. Yubico mengalami masalah keacakan dalam satu lini produk khusus untuk pemerintah dan menggantinya. Google mengalami masalah dengan Bluetooth, tetapi bahkan masalah itu hanya dapat dieksploitasi oleh penyerang dalam jarak 30 kaki dari Anda. Bahkan kunci Bluetooth Titan yang cacat pasti melindungi Anda dari penyerang jarak jauh.
Kunci ini masih memenuhi standar keamanan yang tinggi. Fakta bahwa Yubico dan Google secara proaktif mengungkapkan kekurangan dan menawarkan penggantian gratis dari perangkat keras yang terpengaruh sangat menggembirakan. Masalah tersebut tidak pernah memengaruhi kunci keamanan standar USB atau berbasis NFC untuk konsumen biasa.
Masalah terbesar dengan kunci ini adalah masalah dengan semua otentikasi dua faktor. Dengan sebagian besar layanan online, Anda dapat melakukannya dengan mudah gunakan metode yang kurang aman seperti SMS untuk menghapus kunci keamanan . Seorang penyerang yang melakukan a telepon port-out scam dapat memperoleh akses ke akun Anda meskipun Anda telah memasang kunci fisik. Hanya layanan dengan keamanan sangat tinggi — seperti program Perlindungan Lanjutan Google — yang dapat melindungi Anda dari hal itu.
TERKAIT: Apa Itu Otentikasi Dua Faktor, dan Mengapa Saya Membutuhkannya?
