Vă recomandăm chei de securitate hardware precum Yubico’s Yubicois și Cheia de securitate Google Titan . Dar ambii producători și-au reamintit recent cheile din cauza defectelor hardware și asta sună puțin îngrijorător. Care este problema? Aceste chei sunt încă sigure?
Ce sunt cheile de securitate hardware?
Chei de securitate fizică precum Cheia de securitate Google Titan iar YubiKeys din Yubico folosesc standardul WebAuthn, succesorul U2F , pentru a vă proteja conturile. Funcționează ca un alt tip de autentificare cu doi factori : Mai degrabă decât un cod pe care îl tastați, este o cheie de securitate fizică pe care o introduceți într-un port USB - sau poate comunica fără fir prin NFC (comunicare în câmp aproape) sau Bluetooth .
Poti utilizați cheia ca jeton de securitate hardware pentru a vă conecta la conturi precum conturile dvs. Google, Facebook, Dropbox și GitHub. Cu opționalul Google Protecție avansată program, puteți chiar să solicitați o cheie de securitate fizică pentru a vă conecta la cont.
LEGATE DE: Cum să vă securizați conturile cu o cheie U2F sau YubiKey
De ce Google și Yubico au reamintit cheile?
Atât Yubico, cât și Google au fost în știri în ultima vreme. Fiecare a trebuit să-și amintească câteva chei de securitate din cauza defectelor hardware.
Problema Yubico afectează numai dispozitivele din seria FIPS YubiKey - nu orice dispozitiv de consum. La fel de Sfatul de securitate al lui Yubico explică, aceste chei au un nivel aleatoriu insuficient după pornirea dispozitivului, ceea ce ar putea face criptarea lor vulnerabilă. Aceste dispozitive sunt destinate doar agențiilor guvernamentale și contractanților ... nu recomandăm FIPS cu excepția cazului în care vi se cere legal să îl utilizați. Yubico nu este conștient de atacurile care au abuzat de acest lucru, dar compania înlocuiește proactiv dispozitivele afectate.
Problema cheii de securitate Titan de la Google, care a dus la rechemarea și înlocuirea cheilor afectate, a fost mai gravă. Versiunea Bluetooth a cheii de securitate Titan, care folosește Bluetooth cu energie redusă să comunice fără fir, a fost vulnerabil la atacuri din cauza a ceea ce Google a numit „ configurare greșită . ” Un atacator aflat la o distanță de 30 de metri de cineva care utilizează o cheie de securitate pentru a se conecta ar putea exploata defectul pentru a se conecta la contul său. Sau, atacatorul ar putea păcăli computerul persoanei în asocierea cu un alt dongle Bluetooth mai degrabă decât cu cheia de securitate. Vulnerabilitatea afectează și cheile de securitate Feitan - Feitan este compania care produce cheile Titan pentru Google.
Microsoft a lansat, de asemenea, un Windows Update care va împiedica aceste chei vulnerabile Google Titan și Feitan să se asocieze cu Windows 10 și Windows 8.1 prin Bluetooth.
Yubico nu a oferit niciodată o cheie Bluetooth. Când Google și-a anunțat cheia Titan, Yubico a spus că a explorat anterior lansarea propriei chei Bluetooth Low Energy (BLE), dar că „BLE nu oferă nivelurile de asigurare a securității NFC și USB”. Luptele Google au justificat aparent abordarea lui Yubico de a se concentra pe USB și NFC, mai degrabă decât pe Bluetooth.
Atât Google, cât și Yubico au reamintit și înlocuit tastele afectate gratuit.
Vă recomandăm în continuare aceste chei?
În ciuda defectelor și a amintirilor, recomandăm în continuare chei de securitate fizică. Yubico a întâmpinat o problemă aleatorie într-o linie de produse special pentru guvern și a înlocuit-o. Google a întâmpinat probleme cu Bluetooth, dar chiar și această problemă a putut fi exploatată doar de atacatori la mai puțin de 30 de metri de tine. Chiar și o cheie Titan Bluetooth defectă te-a protejat cu siguranță de atacatorii la distanță.
Aceste chei îndeplinesc încă standarde ridicate de securitate. Faptul că atât Yubico, cât și Google dezvăluie proactiv defecte și oferă înlocuiri gratuite ale hardware-ului afectat este încurajator. Problemele nu au afectat niciodată cheile de securitate standard USB sau NFC pentru consumatorii obișnuiți.
Cea mai mare problemă cu aceste chei este problema cu toate autentificarea cu doi factori. Cu majoritatea serviciilor online, puteți pur și simplu utilizați o metodă mai puțin sigură, cum ar fi SMS, pentru a elimina cheia de securitate . Un atacator care a scos un escrocherie de port-out telefonic ar putea avea acces la contul dvs. chiar dacă aveți atașată o cheie fizică. Numai serviciile de înaltă securitate - precum programul de protecție avansată Google - vă pot proteja împotriva acestui lucru.
LEGATE DE: Ce este autentificarea cu doi factori și de ce am nevoie de ea?
