다음과 같은 하드웨어 보안 키를 권장합니다. Yubico의 Yubikeis 과 Google의 Titan 보안 키 . 그러나 두 제조업체는 최근 하드웨어 결함으로 인해 키를 리콜했으며 약간 걱정스러운 것 같습니다. 뭐가 문제 야? 이 열쇠들은 여전히 안전한가요?
하드웨어 보안 키란 무엇입니까?
다음과 같은 물리적 보안 키 Google의 Titan 보안 키 Yubico의 YubiKeys는 WebAuthn 표준을 사용합니다. U2F , 계정 보호에 도움이됩니다. 그들은 다른 유형의 2 단계 인증 : 입력하는 코드가 아니라 USB 포트에 삽입하는 물리적 보안 키이거나 다음을 통해 무선으로 통신 할 수 있습니다. NFC (근거리 통신) 또는 블루투스 .
당신은 할 수 있습니다 키를 하드웨어 보안 토큰으로 사용 Google, Facebook, Dropbox 및 GitHub 계정과 같은 계정에 로그인합니다. Google의 선택 사항 고급 보호 프로그램을 사용하면 계정에 로그인하기 위해 물리적 보안 키가 필요할 수도 있습니다.
관련 : U2F 키 또는 YubiKey로 계정을 보호하는 방법
Google과 Yubico가 키를 리콜 한 이유는 무엇입니까?
Yubico와 Google 모두 최근 뉴스에 나왔습니다. 각각은 하드웨어 결함으로 인해 일부 보안 키를 회수해야했습니다.
Yubico의 문제는 소비자 기기가 아닌 YubiKey FIPS 시리즈 기기에만 영향을 미칩니다. 같이 Yubico의 보안 권고 이러한 키는 장치 전원을 켠 후 임의성이 부족하여 암호화가 취약해질 수 있습니다. 이러한 장치는 정부 기관 및 계약 업체 전용입니다. FIPS는 권장하지 않습니다. 법적으로 사용하도록 요구되지 않는 한. Yubico는이를 악용 한 공격에 대해 알고 있지 않지만 영향을받는 기기를 사전에 교체하고 있습니다.
영향을받은 키의 회수 및 교체로 이어진 Google의 Titan 보안 키 문제는 더 심각했습니다. Titan 보안 키의 Bluetooth 버전은 블루투스 저에너지 무선으로 통신하기 위해 Google이 " 잘못된 구성 .” 보안 키를 사용하여 로그인하는 사람으로부터 30 피트 이내의 공격자는이 결함을 악용하여 계정에 로그인 할 수 있습니다. 또는 공격자는 보안 키가 아닌 다른 Bluetooth 동글과 페어링하도록 사용자의 컴퓨터를 속일 수 있습니다. 이 취약점은 Feitan 보안 키에도 영향을 미칩니다. Feitan은 Google 용 Titan 키를 제조하는 회사입니다.
Microsoft는 또한 윈도우 업데이트 이렇게하면 취약한 Google Titan 및 Feitan 키가 Bluetooth를 통해 Windows 10 및 Windows 8.1과 페어링되지 않습니다.
Yubico는 Bluetooth 키를 제공하지 않았습니다. Google이 Titan 키를 발표했을 때 유비 코 이전에 자체 BLE (Bluetooth Low Energy) 키 출시를 탐색했지만 "BLE는 NFC 및 USB의 보안 보증 수준을 제공하지 않습니다"라고 말했습니다. Google의 투쟁은 블루투스가 아닌 USB와 NFC에 초점을 맞춘 Yubico의 접근 방식을 입증하는 것처럼 보입니다.
Google과 Yubico는 모두 영향을받는 키를 무료로 회수하고 교체했습니다.
여전히 이러한 키를 권장합니까?
결함과 리콜에도 불구하고 우리는 여전히 물리적 보안 키를 권장합니다. Yubico는 정부를 위해 특별히 한 제품 라인에서 임의성 문제를 경험하고이를 교체했습니다. 구글은 블루투스 문제에 부딪 혔지만 그 문제조차도 사용자로부터 30 피트 이내의 공격자에 의해서만 악용 될 수 있습니다. 결함이있는 Bluetooth Titan 키조차도 원격 공격자로부터 사용자를 확실히 보호했습니다.
이러한 키는 여전히 높은 수준의 보안을 충족합니다. Yubico와 Google 모두 사전에 결함을 공개하고 영향을받는 하드웨어의 무료 교체를 제공한다는 사실은 고무적입니다. 이 문제는 일반 소비자를위한 표준 USB 또는 NFC 기반 보안 키에 영향을주지 않았습니다.
이러한 키의 가장 큰 문제는 모든 이중 인증 문제입니다. 대부분의 온라인 서비스를 사용하면 간단하게 SMS와 같이 덜 안전한 방법을 사용하여 보안 키를 제거합니다. . 뽑은 공격자 전화 포트 아웃 사기 물리적 키가 연결되어 있어도 계정에 액세스 할 수 있습니다. Google의 고급 보호 프로그램과 같이 보안 수준이 매우 높은 서비스 만이이를 방지 할 수 있습니다.
