Vi anbefaler maskinvaresikkerhetsnøkler som Yubico’s Yubikeis og Googles Titan sikkerhetsnøkkel . Men begge produsentene har nylig tilbakekalt nøkler på grunn av maskinvarefeil, og det høres litt bekymringsfullt ut. Hva er problemet? Er disse nøklene fortsatt trygge?
Hva er sikkerhetsnøkler for maskinvare?
Fysiske sikkerhetsnøkler som Googles Titan sikkerhetsnøkkel og Yubico’s YubiKeys bruker WebAuthn-standarden, etterfølgeren til U2F , for å beskytte kontoene dine. De fungerer som en annen type tofaktorautentisering : I stedet for en kode du skriver inn, er det en fysisk sikkerhetsnøkkel du setter inn i en USB-port - eller den kan kommunisere trådløst via NFC (nærfeltkommunikasjon) eller blåtann .
Du kan bruk nøkkelen din som et maskinvaresikkerhetstoken for å logge på kontoer som Google-, Facebook-, Dropbox- og GitHub-kontoene dine. Med Googles valgfrie Avansert beskyttelse program, kan du til og med kreve en fysisk sikkerhetsnøkkel for å logge på kontoen din.
I SLEKT: Hvordan sikre kontoer med en U2F-nøkkel eller YubiKey
Hvorfor har Google og Yubico tilbakekalt nøkler?
Både Yubico og Google har vært i nyhetene i det siste. Hver har måtte huske noen sikkerhetsnøkler på grunn av maskinvarefeil.
Yubicos utgave berører bare YubiKey FIPS-enheter - ikke forbrukerenheter. Som Yubicos sikkerhetsrådgivning forklarer, disse nøklene har utilstrekkelig tilfeldighet etter oppstart av enheten, noe som kan gjøre krypteringen deres sårbar. Disse enhetene er bare for offentlige etater og entreprenører - vi anbefaler ikke FIPS med mindre du er lovpålagt å bruke den. Yubico er ikke kjent med noen angrep som har misbrukt dette, men selskapet erstatter proaktivt berørte enheter.
Googles Titan Security Key-problem, som førte til tilbakekalling og erstatning av berørte nøkler, var verre. Bluetooth-versjonen av Titan Security Key, som bruker Bluetooth Low Energy for å kommunisere trådløst, var sårbar for angrep på grunn av det Google kalte en “ feilkonfigurasjon . ” En angriper innen 30 meter fra noen som bruker en sikkerhetsnøkkel for å logge på, kan utnytte feilen til å logge på kontoen sin. Eller angriperen kan lure personens datamaskin til å parre seg med en annen Bluetooth-dongle i stedet for sikkerhetsnøkkelen. Sårbarheten påvirker også Feitan sikkerhetsnøkler - Feitan er selskapet som produserer Titan-nøklene for Google.
Microsoft har også rullet ut en Windows-oppdatering som vil forhindre at disse sårbare Google Titan- og Feitan-tastene kobles sammen med Windows 10 og Windows 8.1 via Bluetooth.
Yubico tilbød aldri en Bluetooth-nøkkel. Da Google kunngjorde sin Titan-nøkkel, Yubico sa at det tidligere hadde utforsket lanseringen av sin egen Bluetooth Low Energy (BLE) -nøkkel, men at "BLE gir ikke sikkerhetsnivåene for NFC og USB." Googles kamper bekreftet tilsynelatende Yubicos tilnærming til å fokusere på USB og NFC i stedet for Bluetooth.
Både Google og Yubico tilbakekalte og erstattet berørte nøkler gratis.
Anbefaler vi fremdeles disse nøklene?
Til tross for feil og tilbakekallinger, anbefaler vi fortsatt fysiske sikkerhetsnøkler. Yubico opplevde et problem med tilfeldighet i en serie produkter spesielt for myndighetene og erstattet det. Google fikk problemer med Bluetooth, men selv det problemet kunne bare utnyttes av angripere innen 30 meter fra deg. Selv en feilaktig Bluetooth Titan-nøkkel beskyttet deg definitivt mot eksterne angripere.
Disse nøklene oppfyller fortsatt høye sikkerhetsstandarder. Det faktum at både Yubico og Google avslører proaktivt feil og tilbyr gratis erstatninger av berørt maskinvare, er oppmuntrende. Problemene har aldri påvirket noen standard USB- eller NFC-baserte sikkerhetsnøkler for vanlige forbrukere.
Det største problemet med disse nøklene er problemet med all tofaktorautentisering. Med de fleste online-tjenester kan du ganske enkelt bruk en mindre sikker metode som SMS for å fjerne sikkerhetsnøkkelen . En angriper som dro av en telefon-ut-svindel kan få tilgang til kontoen din selv om du har en fysisk nøkkel. Bare tjenester med veldig høy sikkerhet - som Googles Advanced Protection-program - kan beskytte deg mot det.
I SLEKT: Hva er tofaktorautentisering, og hvorfor trenger jeg det?
