Aşağıdaki gibi donanım güvenlik anahtarlarını öneririz Yubico’nun Yubikeis ve Google'ın Titan Güvenlik Anahtarı . Ancak her iki üretici de son zamanlarda donanım kusurları nedeniyle anahtarları geri çağırdı ve bu biraz endişe verici görünüyor. Sorun ne? Bu anahtarlar hala güvende mi?
Donanım Güvenlik Anahtarları Nelerdir?
Fiziksel güvenlik anahtarları Google'ın Titan Güvenlik Anahtarı ve Yubico’nun YubiKeys’i WebAuthn standardını kullanır. U2F , hesaplarınızı korumaya yardımcı olmak için. Başka bir tür olarak işlev görürler iki faktörlü kimlik doğrulama : Yazdığınız bir kod yerine, bir USB bağlantı noktasına taktığınız fiziksel bir güvenlik anahtarıdır veya şu yolla kablosuz olarak iletişim kurabilir: NFC (yakın alan iletişimi) veya Bluetooth .
Yapabilirsin anahtarınızı donanım güvenlik belirteci olarak kullanın Google, Facebook, Dropbox ve GitHub hesaplarınız gibi hesaplarda oturum açmak için. Google'ın isteğe bağlı olarak Gelişmiş Koruma programı, hesabınızda oturum açmak için fiziksel bir güvenlik anahtarı bile isteyebilirsiniz.
İLİŞKİLİ: Hesaplarınızı U2F Anahtarı veya YubiKey ile Nasıl Güvence Altına Alırsınız
Google ve Yubico Anahtarları Neden Geri Çağırdı?
Hem Yubico hem de Google son zamanlarda haberlerde yer aldı. Her biri, donanım kusurları nedeniyle bazı güvenlik anahtarlarını geri çağırmak zorunda kaldı.
Yubico’nun sorunu, herhangi bir tüketici cihazını değil, yalnızca YubiKey FIPS Serisi cihazları etkilemektedir. Gibi Yubico’nun güvenlik danışmanlığı açıklıyor, bu anahtarlar cihaz açıldıktan sonra yetersiz rastgeleliğe sahip ve bu da şifrelemelerini savunmasız hale getirebilir. Bu cihazlar yalnızca devlet kurumları ve yükleniciler içindir - FIPS'i önermiyoruz yasal olarak kullanmanız gerekmedikçe. Yubico bunu kötüye kullanan herhangi bir saldırının farkında değil, ancak şirket proaktif olarak etkilenen cihazları değiştiriyor.
Etkilenen anahtarların geri çağrılmasına ve değiştirilmesine neden olan Google'ın Titan Güvenlik Anahtarı sorunu daha da kötüydü. Titan Güvenlik Anahtarının Bluetooth sürümü Bluetooth Düşük Enerji kablosuz iletişim kurmak, Google'ın " yanlış yapılandırma . " Oturum açmak için güvenlik anahtarı kullanan birinin 30 fit yakınında bulunan bir saldırgan, hesabında oturum açmak için bu kusurdan yararlanabilir. Veya saldırgan, kişinin bilgisayarını güvenlik anahtarı yerine farklı bir Bluetooth dongle ile eşleştirmesi için kandırabilir. Güvenlik açığı, Feitan güvenlik anahtarlarını da etkiler — Feitan, Google için Titan anahtarlarını üreten şirkettir.
Microsoft ayrıca bir Windows güncelleme bu güvenlik açığı bulunan Google Titan ve Feitan anahtarlarının Bluetooth aracılığıyla Windows 10 ve Windows 8.1 ile eşleşmesini önleyecek.
Yubico hiçbir zaman bir Bluetooth anahtarı sunmadı. Google, Titan anahtarını duyurduğunda, Yubico daha önce kendi Bluetooth Low Energy (BLE) anahtarını başlatmayı keşfettiğini ancak "BLE'nin NFC ve USB'nin güvenlik güvencesi düzeylerini sağlamadığını" söyledi. Google'ın mücadeleleri, görünüşte Yubico’nun Bluetooth yerine USB ve NFC'ye odaklanma yaklaşımını doğruladı.
Hem Google hem de Yubico, etkilenen anahtarları ücretsiz olarak geri çağırdı ve değiştirdi.
Hala Bu Anahtarları Öneriyor muyuz?
Kusurlara ve geri çağırmalara rağmen, yine de fiziksel güvenlik anahtarlarını öneriyoruz. Yubico, özellikle devlet için bir ürün serisinde rastgelelikle ilgili bir sorun yaşadı ve onu değiştirdi. Google, Bluetooth ile sorun yaşadı, ancak bu sorun bile yalnızca 30 fit yakındaki saldırganlar tarafından kullanılabilir. Kusurlu bir Bluetooth Titan anahtarı bile sizi kesinlikle uzaktaki saldırganlardan korudu.
Bu anahtarlar hala yüksek güvenlik standartlarını karşılar. Hem Yubico hem de Google'ın proaktif olarak kusurları açığa çıkarması ve etkilenen donanımın ücretsiz değiştirilmesini sunması cesaret vericidir. Sorunlar, sıradan tüketiciler için standart USB veya NFC tabanlı güvenlik anahtarlarını hiçbir zaman etkilememiştir.
Bu anahtarlarla ilgili en büyük sorun, tüm iki faktörlü kimlik doğrulamadaki sorundur. Çoğu çevrimiçi hizmetle şunları yapabilirsiniz: güvenlik anahtarını kaldırmak için SMS gibi daha az güvenli bir yöntem kullanın . Bir saldırgan telefon bağlantı noktası dolandırıcılığı fiziksel bir anahtarınız takılı olsa bile hesabınıza erişim sağlayabilir. Yalnızca Google'ın Gelişmiş Koruma programı gibi çok yüksek güvenlikli hizmetler sizi buna karşı koruyabilir.
İLİŞKİLİ: İki Faktörlü Kimlik Doğrulama Nedir ve Neden İhtiyacım Var?
