คีย์ความปลอดภัยของฮาร์ดแวร์ถูกเรียกคืน พวกเขาปลอดภัยหรือไม่?

เราขอแนะนำคีย์ความปลอดภัยของฮาร์ดแวร์เช่น Yubikeis ของ Yubico และ คีย์ความปลอดภัย Titan ของ Google . แต่เมื่อเร็ว ๆ นี้ผู้ผลิตทั้งสองได้เรียกคืนคีย์เนื่องจากข้อบกพร่องของฮาร์ดแวร์และนั่นฟังดูน่ากังวลเล็กน้อย มีปัญหาอะไร? กุญแจเหล่านี้ยังปลอดภัยอยู่หรือไม่?

คีย์ความปลอดภัยของฮาร์ดแวร์คืออะไร?

คีย์ความปลอดภัยทางกายภาพเช่น คีย์ความปลอดภัย Titan ของ Google และ YubiKeys ของ Yubico ใช้มาตรฐาน WebAuthn ซึ่งเป็นตัวต่อ U2F เพื่อช่วยปกป้องบัญชีของคุณ พวกเขาทำหน้าที่เป็นอีกประเภทหนึ่ง การรับรองความถูกต้องด้วยสองปัจจัย : แทนที่จะเป็นรหัสที่คุณพิมพ์เป็นคีย์ความปลอดภัยที่คุณเสียบเข้ากับพอร์ต USB หรือสามารถสื่อสารแบบไร้สายผ่าน NFC (การสื่อสารระยะใกล้) หรือ บลูทู ธ .

คุณสามารถ ใช้คีย์ของคุณเป็นโทเค็นความปลอดภัยของฮาร์ดแวร์ เพื่อลงชื่อเข้าใช้บัญชีเช่นบัญชี Google, Facebook, Dropbox และ GitHub ด้วยตัวเลือกของ Google การปกป้องขั้นสูง โปรแกรมคุณยังสามารถต้องใช้คีย์ความปลอดภัยทางกายภาพเพื่อเข้าสู่บัญชีของคุณ

ที่เกี่ยวข้อง: วิธีการรักษาความปลอดภัยบัญชีของคุณด้วยรหัส U2F หรือ YubiKey

ทำไม Google และ Yubico จึงเรียกคืนคีย์

ทั้ง Yubico และ Google ได้รับข่าวสารเมื่อเร็ว ๆ นี้ แต่ละคนต้องเรียกคืนคีย์ความปลอดภัยเนื่องจากข้อบกพร่องของฮาร์ดแวร์

ปัญหาของ Yubico มีผลกับอุปกรณ์ YubiKey FIPS Series เท่านั้นไม่ใช่อุปกรณ์สำหรับผู้บริโภคใด ๆ เช่น คำแนะนำด้านความปลอดภัยของ Yubico อธิบายว่าคีย์เหล่านี้มีการสุ่มไม่เพียงพอหลังจากการเปิดเครื่องอุปกรณ์ซึ่งอาจทำให้การเข้ารหัสมีช่องโหว่ อุปกรณ์เหล่านี้มีไว้สำหรับหน่วยงานราชการและผู้รับเหมาเท่านั้น - เราไม่แนะนำ FIPS เว้นแต่คุณจะต้องใช้ตามกฎหมาย Yubico ไม่ทราบถึงการโจมตีใด ๆ ที่ละเมิดสิ่งนี้ แต่ บริษัท กำลังเปลี่ยนอุปกรณ์ที่ได้รับผลกระทบในเชิงรุก

ปัญหาคีย์ความปลอดภัย Titan ของ Google ซึ่งนำไปสู่การเรียกคืนและการเปลี่ยนคีย์ที่ได้รับผลกระทบแย่ลง คีย์ความปลอดภัย Titan เวอร์ชันบลูทู ธ ซึ่งใช้ บลูทู ธ พลังงานต่ำ ในการสื่อสารแบบไร้สายมีความเสี่ยงที่จะถูกโจมตีเนื่องจากสิ่งที่ Google เรียกว่า " การกำหนดค่าผิด .” ผู้โจมตีที่อยู่ห่างจากคนที่ใช้คีย์ความปลอดภัยไม่เกิน 30 ฟุตเพื่อลงชื่อเข้าใช้สามารถใช้ประโยชน์จากข้อบกพร่องเพื่อลงชื่อเข้าใช้บัญชีของตนได้ หรือผู้โจมตีสามารถหลอกล่อคอมพิวเตอร์ของบุคคลนั้นให้จับคู่กับดองเกิลบลูทู ธ อื่นแทนคีย์ความปลอดภัย ช่องโหว่ดังกล่าวส่งผลกระทบต่อคีย์ความปลอดภัยของ Feitan ด้วยเช่นกัน Feitan เป็น บริษัท ที่ผลิตคีย์ Titan สำหรับ Google

Microsoft ยังได้เปิดตัวไฟล์ การอัปเดต Windows ซึ่งจะป้องกันไม่ให้คีย์ Google Titan และ Feitan ที่มีช่องโหว่เหล่านี้จับคู่กับ Windows 10 และ Windows 8.1 ผ่านบลูทู ธ

Yubico ไม่เคยเสนอคีย์บลูทู ธ เมื่อ Google ประกาศคีย์ไททัน ยูบิโก กล่าวว่าก่อนหน้านี้ได้สำรวจการเปิดตัวคีย์บลูทู ธ พลังงานต่ำ (BLE) ของตัวเอง แต่“ BLE ไม่ได้ให้ระดับการประกันความปลอดภัยของ NFC และ USB” การดิ้นรนของ Google ดูเหมือนจะพิสูจน์ให้เห็นถึงแนวทางของ Yubico ในการมุ่งเน้นไปที่ USB และ NFC มากกว่า Bluetooth

ทั้ง Google และ Yubico เรียกคืนและเปลี่ยนคีย์ที่ได้รับผลกระทบฟรี

เรายังแนะนำคีย์เหล่านี้หรือไม่

แม้จะมีข้อบกพร่องและการเรียกคืน แต่เรายังคงแนะนำคีย์ความปลอดภัยที่มีอยู่จริง Yubico ประสบปัญหาเกี่ยวกับการสุ่มในผลิตภัณฑ์หนึ่งบรรทัดสำหรับรัฐบาลโดยเฉพาะและแทนที่มัน Google ประสบปัญหากับบลูทู ธ แต่ถึงแม้ปัญหานั้นจะถูกโจมตีโดยผู้โจมตีที่อยู่ห่างจากคุณไม่เกิน 30 ฟุต แม้แต่คีย์บลูทู ธ ไททันที่มีข้อบกพร่องก็ปกป้องคุณจากผู้โจมตีระยะไกลได้อย่างแน่นอน

คีย์เหล่านี้ยังคงเป็นไปตามมาตรฐานความปลอดภัยระดับสูง ความจริงที่ว่าทั้ง Yubico และ Google เปิดเผยข้อบกพร่องในเชิงรุกและเสนอการเปลี่ยนฮาร์ดแวร์ที่ได้รับผลกระทบฟรีเป็นสิ่งที่น่าสนับสนุน ปัญหานี้ไม่เคยส่งผลกระทบต่อคีย์ความปลอดภัยแบบ USB หรือ NFC มาตรฐานใด ๆ สำหรับผู้บริโภคทั่วไป

ปัญหาที่ใหญ่ที่สุดของคีย์เหล่านี้คือปัญหาเกี่ยวกับการตรวจสอบสิทธิ์แบบสองปัจจัยทั้งหมด ด้วยบริการออนไลน์ส่วนใหญ่คุณสามารถทำได้ง่ายๆ ใช้วิธีที่มีความปลอดภัยน้อยเช่น SMS เพื่อลบคีย์ความปลอดภัย . ผู้โจมตีที่ดึงไฟล์ หลอกลวงพอร์ตโทรศัพท์ออก สามารถเข้าถึงบัญชีของคุณได้แม้ว่าคุณจะแนบคีย์จริง มีเพียงบริการที่มีความปลอดภัยสูงมากเช่นโปรแกรมการปกป้องขั้นสูงของ Google เท่านั้นที่สามารถปกป้องคุณได้

ที่เกี่ยวข้อง: การรับรองความถูกต้องด้วยสองปัจจัยคืออะไรและเหตุใดฉันจึงต้องการ