Ми рекомендуємо апаратні ключі безпеки, такі як Юбікеї Юбіко і Ключ безпеки Titan від Google . Але обидва виробники нещодавно відкликали клавіші через апаратні недоліки, і це звучить трохи тривожно. В чому проблема? Ці ключі все ще безпечні?
Що таке апаратні ключі безпеки?
Ключі фізичної безпеки, як Ключ безпеки Titan від Google та YubiKeys від Yubico використовують стандарт WebAuthn, наступника U2F , щоб захистити свої облікові записи. Вони функціонують як інший тип двофакторна автентифікація : Замість коду, який ви вводите, це фізичний ключ безпеки, який ви вставляєте в порт USB - або він може здійснювати бездротовий зв'язок через NFC (зв’язок поблизу поля) або Bluetooth .
Ти можеш використовувати свій ключ як апаратний маркер безпеки для входу в такі облікові записи, як ваші облікові записи Google, Facebook, Dropbox та GitHub. За бажанням Google Розширений захист програми, ви навіть можете вимагати фізичний ключ безпеки для входу у свій обліковий запис.
ПОВ'ЯЗАНІ: Як захистити свої рахунки за допомогою ключа U2F або YubiKey
Чому Google та Yubico відкликали ключі?
Останнім часом у новинах і Yubico, і Google. Кожному довелося згадати деякі ключі безпеки через недоліки обладнання.
Випуск Yubico стосується лише пристроїв серії YubiKey FIPS, а не будь-яких споживчих пристроїв. Як Поради Yubico щодо безпеки пояснює, ці ключі мають недостатньо випадковості після включення пристрою, що може зробити їх шифрування уразливим. Ці пристрої призначені лише для державних установ та підрядників - ми не рекомендуємо FIPS за винятком випадків, коли ви законно зобов'язані ним користуватися. Yubico не знає жодної атаки, яка зловживала цим, але компанія активно замінює постраждалі пристрої.
Проблема з ключем безпеки Titan від Google, яка призвела до відкликання та заміни відповідних ключів, була ще гіршою. Версія Bluetooth ключа безпеки Titan, який використовує Bluetooth з низьким енергоспоживанням спілкуватися по бездротовій мережі, був вразливим до атак через те, що Google назвав " неправильна конфігурація . " Зловмисник, що знаходиться в радіусі 30 футів від того, хто використовує ключ безпеки для входу, може використати недолік, щоб увійти до свого облікового запису. Або зловмисник може змусити комп’ютер людини створити пару з іншим Bluetooth-ключем, а не ключем безпеки. Вразливість також впливає на ключі безпеки Feitan - Feitan - це компанія, яка виробляє ключі Titan для Google.
Microsoft також випустила Оновлення Windows що не дозволить цим уразливим клавішам Google Titan і Feitan поєднуватися з Windows 10 і Windows 8.1 через Bluetooth.
Yubico ніколи не пропонував ключ Bluetooth. Коли Google оголосив про свій ключ від Titan, Юбіко заявив, що раніше вивчав запуск власного ключа Bluetooth Low Energy (BLE), але що "BLE не забезпечує рівні безпеки NFC та USB". Боротьба Google, мабуть, підтвердила підхід Yubico зосередитись на USB та NFC, а не на Bluetooth.
І Google, і Yubico безкоштовно відкликали та замінили відповідні ключі.
Ми все ще рекомендуємо ці ключі?
Незважаючи на недоліки та відкликання, ми все ще рекомендуємо ключі фізичного захисту. Yubico випробував випадковість в одній лінійці продуктів спеціально для уряду і замінив її. Google зіткнувся з проблемами з Bluetooth, але навіть цією проблемою могли скористатися лише зловмисники в радіусі 30 футів від вас. Навіть помилковий ключ Bluetooth Titan однозначно захистив вас від віддалених зловмисників.
Ці ключі все ще відповідають високим стандартам безпеки. Той факт, що і Yubico, і Google активно розкривають недоліки та пропонують безкоштовні заміни пошкодженого обладнання. Проблеми ніколи не торкалися стандартних ключів безпеки на основі USB або NFC для звичайних споживачів.
Найбільша проблема цих ключів - проблема з усіма двофакторною аутентифікацією. З більшістю онлайн-сервісів ви можете просто використовуйте менш безпечний метод, такий як SMS, для вилучення ключа безпеки . Зловмисник, який зняв a телефонний порт-аут може отримати доступ до вашого облікового запису, навіть якщо у вас є фізичний ключ. Тільки сервіси з дуже високим рівнем безпеки, такі як програма розширеного захисту Google, можуть захистити вас від цього.
ПОВ'ЯЗАНІ: Що таке двофакторна автентифікація та навіщо вона мені потрібна?
