Vi rekommenderar hårdvarusäkerhetsnycklar som Yubico's Yubikeis och Google’s Titan Security Key . Men båda tillverkarna har nyligen återkallat nycklar på grund av maskinvarufel, och det låter lite oroande. Vad är problemet? Är dessa nycklar fortfarande säkra?
Vad är hårdvarusäkerhetsnycklar?
Fysiska säkerhetsnycklar som Google’s Titan Security Key och Yubicos YubiKeys använder WebAuthn-standarden, efterträdaren till U2F , för att skydda dina konton. De fungerar som en annan typ av tvåfaktorautentisering : I stället för en kod du skriver in är det en fysisk säkerhetsnyckel som du sätter i en USB-port - eller så kan den kommunicera trådlöst via NFC (kommunikation nära fält) eller Blåtand .
Du kan använd din nyckel som maskinvarusäkerhetstoken för att logga in på konton som dina Google-, Facebook-, Dropbox- och GitHub-konton. Med Googles valfria Avancerat skydd program kan du till och med kräva en fysisk säkerhetsnyckel för att logga in på ditt konto.
RELATERAD: Så här skyddar du dina konton med en U2F-nyckel eller YubiKey
Varför har Google och Yubico återkallat nycklar?
Både Yubico och Google har varit i nyheterna nyligen. Var och en har fått återkalla vissa säkerhetsnycklar på grund av maskinvarufel.
Yubicos utgåva påverkar endast YubiKey FIPS-enheter - inte några konsumentenheter. Som Yubicos säkerhetsrådgivning förklarar, dessa nycklar har otillräcklig slumpmässighet efter enhetsstart, vilket kan göra deras kryptering sårbar. Dessa enheter är bara för myndigheter och entreprenörer - vi rekommenderar inte FIPS om du inte är lagligt skyldig att använda den. Yubico känner inte till några attacker som har missbrukat detta, men företaget ersätter proaktivt berörda enheter.
Googles problem med Titan Security Key, som ledde till återkallande och utbyte av berörda nycklar, var värre. Bluetooth-versionen av Titan Security Key, som använder Bluetooth Low Energy för att kommunicera trådlöst, var sårbar för attacker på grund av vad Google kallade en ” felkonfiguration . ” En angripare inom 30 meter från någon som använder en säkerhetsnyckel för att logga in kan utnyttja felet för att logga in på sitt konto. Eller angriparen kan lura personens dator att para ihop med en annan Bluetooth-dongel snarare än säkerhetsnyckeln. Sårbarheten påverkar också Feitan-säkerhetsnycklar - Feitan är det företag som tillverkar Titan-nycklarna för Google.
Microsoft har också rullat ut en Windows uppdatering som förhindrar att dessa sårbara Google Titan- och Feitan-nycklar paras ihop med Windows 10 och Windows 8.1 via Bluetooth.
Yubico erbjöd aldrig en Bluetooth-nyckel. När Google tillkännagav sin Titan-nyckel, Yubico sa att det tidigare hade undersökt lanseringen av sin egen Bluetooth Low Energy (BLE) -nyckel men att "BLE inte ger säkerhetsnivåerna för NFC och USB." Googles strider verkade till synes Yubicos strategi att fokusera på USB och NFC snarare än Bluetooth.
Både Google och Yubico återkallade och ersatte berörda nycklar gratis.
Rekommenderar vi fortfarande dessa nycklar?
Trots brister och återkallelser rekommenderar vi fortfarande fysiska säkerhetsnycklar. Yubico upplevde ett problem med slumpmässighet i en produktrad speciellt för regeringen och ersatte den. Google stötte på problem med Bluetooth, men även det problemet kunde bara utnyttjas av angripare inom 30 meter från dig. Även en defekt Bluetooth Titan-nyckel skyddade dig definitivt från fjärranfallare.
Dessa nycklar uppfyller fortfarande höga säkerhetsstandarder. Det faktum att både Yubico och Google avslöjar proaktivt brister och erbjuder gratis ersättning av berörd hårdvara är uppmuntrande. Problemen har aldrig påverkat några USB- eller NFC-baserade säkerhetsnycklar för vanliga konsumenter.
Det största problemet med dessa nycklar är problemet med all tvåfaktorautentisering. Med de flesta onlinetjänster kan du helt enkelt använd en mindre säker metod som SMS för att ta bort säkerhetsnyckeln . En angripare som drog av sig en telefonport-ut-bluff kan få tillgång till ditt konto även om du har en fysisk nyckel bifogad. Endast tjänster med mycket hög säkerhet - som Googles Advanced Protection-program - kan skydda dig mot det.
RELATERAD: Vad är tvåfaktorautentisering och varför behöver jag det?
