We raden hardwarebeveiligingssleutels aan, zoals Yubico's Yubikeis en De Titan-beveiligingssleutel van Google . Maar beide fabrikanten hebben onlangs sleutels teruggeroepen vanwege hardwarefouten, en dat klinkt een beetje zorgwekkend. Wat is het probleem? Zijn deze sleutels nog veilig?
Wat zijn hardwarebeveiligingssleutels?
Fysieke beveiligingssleutels zoals De Titan-beveiligingssleutel van Google en Yubico's YubiKeys gebruiken de WebAuthn-standaard, de opvolger van U2F , om uw accounts te beschermen. Ze functioneren als een ander type tweefactorauthenticatie : In plaats van een code die u typt, is het een fysieke beveiligingssleutel die u in een USB-poort steekt, of hij kan draadloos communiceren via NFC (Near Field Communication) of Bluetooth .
Jij kan gebruik uw sleutel als een hardwarebeveiligingstoken om u aan te melden bij accounts zoals uw Google-, Facebook-, Dropbox- en GitHub-accounts. Met Google's optioneel Geavanceerde bescherming programma, kunt u zelfs een fysieke beveiligingssleutel nodig hebben om in te loggen op uw account.
VERWANT: Hoe u uw accounts kunt beveiligen met een U2F-sleutel of YubiKey
Waarom hebben Google en Yubico sleutels teruggeroepen?
Zowel Yubico als Google zijn de laatste tijd in het nieuws geweest. Elk moest een aantal beveiligingssleutels terugroepen vanwege hardwarefouten.
Het probleem van Yubico heeft alleen betrekking op YubiKey FIPS Series-apparaten, niet op consumentenapparaten. Zoals Yubico's beveiligingsadvies legt uit dat deze sleutels onvoldoende willekeurigheid vertonen na het opstarten van het apparaat, wat hun versleuteling kwetsbaar zou kunnen maken. Deze apparaten zijn alleen voor overheidsinstanties en aannemers: we raden FIPS niet aan tenzij u wettelijk verplicht bent om het te gebruiken. Yubico is niet op de hoogte van aanvallen die hiervan misbruik hebben gemaakt, maar het bedrijf vervangt proactief getroffen apparaten.
Het probleem met de Titan-beveiligingssleutel van Google, dat leidde tot het terugroepen en vervangen van de betrokken sleutels, was erger. De Bluetooth-versie van de Titan-beveiligingssleutel, die gebruikmaakt van Bluetooth Low Energy om draadloos te communiceren, kwetsbaar was voor aanvallen vanwege wat Google een ' verkeerde configuratie . " Een aanvaller binnen 10 meter van iemand die een beveiligingssleutel gebruikt om in te loggen, kan de fout misbruiken om in te loggen op zijn account. Of de aanvaller kan de computer van de persoon misleiden om te koppelen met een andere Bluetooth-dongle in plaats van met de beveiligingssleutel. De kwetsbaarheid is ook van invloed op Feitan-beveiligingssleutels: Feitan is het bedrijf dat de Titan-sleutels voor Google vervaardigt.
Microsoft heeft ook een Windows Update dat zal voorkomen dat deze kwetsbare Google Titan- en Feitan-sleutels via Bluetooth worden gekoppeld met Windows 10 en Windows 8.1.
Yubico heeft nooit een Bluetooth-sleutel aangeboden. Toen Google zijn Titan-sleutel aankondigde, Yubico zei dat het eerder had onderzocht om zijn eigen Bluetooth Low Energy-sleutel (BLE) te lanceren, maar dat "BLE niet de beveiligingsniveaus van NFC en USB biedt." De strijd van Google leek de benadering van Yubico te rechtvaardigen om zich te concentreren op USB en NFC in plaats van Bluetooth.
Zowel Google als Yubico hebben de betrokken sleutels gratis teruggeroepen en vervangen.
Bieden we deze sleutels nog steeds aan?
Ondanks de gebreken en terugroepacties, raden we toch fysieke beveiligingssleutels aan. Yubico ondervond een probleem met willekeur in één productlijn specifiek voor de overheid en verving deze. Google kwam in de problemen met Bluetooth, maar zelfs dat probleem kon alleen worden misbruikt door aanvallers binnen een straal van 10 meter van u. Zelfs een defecte Bluetooth Titan-sleutel beschermde je zeker tegen externe aanvallers.
Deze sleutels voldoen nog steeds aan hoge veiligheidsnormen. Het feit dat zowel Yubico als Google proactief gebreken aan het licht brengen en gratis vervangingen van de getroffen hardware aanbieden, is bemoedigend. De problemen hebben nooit invloed gehad op standaard USB- of NFC-gebaseerde beveiligingssleutels voor reguliere consumenten.
Het grootste probleem met deze sleutels is het probleem met alle tweefactorauthenticatie. Met de meeste online services kunt u eenvoudig gebruik een minder veilige methode zoals sms om de beveiligingssleutel te verwijderen . An attacker who pulled off a phone port-out scam kan toegang krijgen tot uw account, zelfs als u een fysieke sleutel heeft. Alleen zeer goed beveiligde services, zoals het programma Geavanceerde beveiliging van Google, kunnen u daartegen beschermen.
VERWANT: Wat is tweefactorauthenticatie en waarom heb ik het nodig?
