Мы рекомендуем аппаратные ключи безопасности, например Юбико’с ЮбиКейс а также Электронный ключ Google Titan . Но оба производителя недавно отозвали ключи из-за недостатков оборудования, и это звучит немного тревожно. В чем проблема? Эти ключи все еще в безопасности?
Что такое аппаратные ключи безопасности?
Ключи физической безопасности, например Электронный ключ Google Titan и YubiKeys от Yubico используют стандарт WebAuthn, преемник U2F , чтобы защитить ваши учетные записи. Они функционируют как другой тип двухфакторная аутентификация : Вместо кода, который вы вводите, это физический ключ безопасности, который вы вставляете в порт USB или он может связываться по беспроводной сети через NFC (связь ближнего поля) или Bluetooth .
Вы можете использовать свой ключ в качестве аппаратного токена безопасности для входа в учетные записи, такие как ваши учетные записи Google, Facebook, Dropbox и GitHub. С дополнительным Расширенная защита программы, вы даже можете потребовать физический ключ безопасности для входа в свою учетную запись.
СВЯЗАННЫЕ С: Как защитить свои учетные записи с помощью ключа U2F или YubiKey
Почему Google и Yubico отозвали ключи?
В последнее время в новостях появлялись и Yubico, и Google. Каждому пришлось отозвать некоторые ключи безопасности из-за аппаратных дефектов.
Проблема Yubico затрагивает только устройства YubiKey серии FIPS, но не потребительские устройства. Как Консультации по безопасности Yubico объясняет, что эти ключи имеют недостаточную случайность после включения устройства, что может сделать их шифрование уязвимым. Эти устройства предназначены только для государственных учреждений и подрядчиков. мы не рекомендуем FIPS если вы не обязаны его использовать по закону. Yubico не знает ни о каких атаках, использовавших это, но компания активно заменяет затронутые устройства.
Проблема с электронным ключом Titan в Google, которая привела к отзыву и замене поврежденных ключей, была еще хуже. Версия Bluetooth-ключа Titan Security Key, использующая Bluetooth с низким энергопотреблением для беспроводной связи, был уязвим для атак из-за того, что Google назвал " неправильная конфигурация . » Злоумышленник в пределах 30 футов от кого-либо, использующего ключ безопасности для входа в систему, может воспользоваться уязвимостью для входа в свою учетную запись. Или злоумышленник может обманом заставить компьютер человека выполнить сопряжение с другим ключом Bluetooth, а не с ключом безопасности. Уязвимость также затрагивает ключи безопасности Feitan - Feitan - компания, производящая ключи Titan для Google.
Microsoft также выпустила Центр обновления Windows Это предотвратит сопряжение этих уязвимых ключей Google Titan и Feitan с Windows 10 и Windows 8.1 через Bluetooth.
Yubico никогда не предлагал ключ Bluetooth. Когда Google анонсировал свой ключ Titan, Юбико заявил, что ранее рассматривал возможность запуска собственного ключа Bluetooth Low Energy (BLE), но «BLE не обеспечивает таких уровней безопасности, как NFC и USB». Проблемы Google, казалось, подтвердили подход Yubico, в котором основное внимание уделялось USB и NFC, а не Bluetooth.
И Google, и Yubico бесплатно отозвали и заменили затронутые ключи.
Мы все еще рекомендуем эти ключи?
Несмотря на недостатки и отзывы, мы по-прежнему рекомендуем физические ключи безопасности. Yubico столкнулась с проблемой случайного выбора в одной линейке продуктов специально для правительства и заменила ее. У Google возникли проблемы с Bluetooth, но даже эту проблему могли использовать злоумышленники в пределах 30 футов от вас. Даже неисправный ключ Bluetooth Titan определенно защитил вас от удаленных злоумышленников.
Эти ключи по-прежнему соответствуют высоким стандартам безопасности. Тот факт, что и Yubico, и Google активно выявляют недостатки и предлагают бесплатную замену неисправного оборудования, обнадеживает. Проблемы никогда не касались стандартных ключей безопасности USB или NFC для обычных потребителей.
Самая большая проблема с этими ключами - проблема со всей двухфакторной аутентификацией. С помощью большинства онлайн-сервисов вы можете просто используйте менее безопасный метод, например SMS, чтобы удалить ключ безопасности . Злоумышленник, совершивший мошенничество с переносом телефона может получить доступ к вашей учетной записи, даже если у вас есть физический ключ. Только службы с очень высоким уровнем безопасности, такие как программа Google Advanced Protection, могут защитить вас от этого.
СВЯЗАННЫЕ С: Что такое двухфакторная аутентификация и зачем она мне нужна?
