Chúng tôi đề xuất các khóa bảo mật phần cứng như Yubico’s Yubikeis và Khóa bảo mật Titan của Google . Nhưng cả hai nhà sản xuất gần đây đã thu hồi các phím do lỗi phần cứng và điều đó nghe có vẻ hơi đáng lo ngại. Vấn đề là gì? Những chìa khóa này vẫn an toàn chứ?
Khóa bảo mật phần cứng là gì?
Các khóa bảo mật vật lý như Khóa bảo mật Titan của Google và Yubico’s YubiKeys sử dụng tiêu chuẩn WebAuthn, tiêu chuẩn kế thừa U2F , để giúp bảo vệ tài khoản của bạn. Chúng hoạt động như một loại xác thực hai yếu tố : Không phải là mã bạn nhập vào, đó là khóa bảo mật vật lý bạn cắm vào cổng USB — hoặc nó có thể giao tiếp không dây qua NFC (giao tiếp trường gần) hoặc là Bluetooth .
Bạn có thể sử dụng khóa của bạn làm mã thông báo bảo mật phần cứng để đăng nhập vào các tài khoản như tài khoản Google, Facebook, Dropbox và GitHub của bạn. Với tùy chọn của Google Bảo vệ nâng cao thậm chí bạn có thể yêu cầu khóa bảo mật vật lý để đăng nhập vào tài khoản của mình.
LIÊN QUAN: Cách bảo mật tài khoản của bạn bằng khóa U2F hoặc YubiKey
Tại sao Google và Yubico thu hồi chìa khóa?
Cả Yubico và Google gần đây đều đưa tin. Từng phải thu hồi một số khóa bảo mật do lỗi phần cứng.
Sự cố của Yubico chỉ ảnh hưởng đến các thiết bị YubiKey FIPS Series — không ảnh hưởng đến bất kỳ thiết bị tiêu dùng nào. Như Tư vấn bảo mật của Yubico giải thích, các khóa này không đủ ngẫu nhiên sau khi khởi động thiết bị, điều này có thể khiến mã hóa của chúng dễ bị tấn công. Những thiết bị này chỉ dành cho các cơ quan chính phủ và nhà thầu— chúng tôi không khuyến nghị FIPS trừ khi bạn được yêu cầu hợp pháp để sử dụng nó. Yubico không biết về bất kỳ cuộc tấn công nào đã lạm dụng điều này, nhưng công ty đang chủ động thay thế các thiết bị bị ảnh hưởng.
Vấn đề về Khóa bảo mật Titan của Google, dẫn đến việc thu hồi và thay thế các khóa bị ảnh hưởng, còn tồi tệ hơn. Phiên bản Bluetooth của Khóa bảo mật Titan, sử dụng Bluetooth năng lượng thấp để giao tiếp không dây, dễ bị tấn công do cái mà Google gọi là “ cấu hình sai . ” Kẻ tấn công trong vòng 30 bộ kể từ ai đó sử dụng khóa bảo mật để đăng nhập có thể khai thác lỗ hổng để đăng nhập vào tài khoản của họ. Hoặc, kẻ tấn công có thể lừa máy tính của người đó ghép nối với một khóa Bluetooth khác chứ không phải khóa bảo mật. Lỗ hổng bảo mật cũng ảnh hưởng đến các khóa bảo mật của Feitan — Feitan là công ty sản xuất khóa Titan cho Google.
Microsoft cũng đã tung ra một Cập nhật hệ điều hành Window điều đó sẽ ngăn các khóa Google Titan và Feitan dễ bị tấn công này ghép nối với Windows 10 và Windows 8.1 qua Bluetooth.
Yubico chưa bao giờ cung cấp khóa Bluetooth. Khi Google công bố khóa Titan của mình, Yubico cho biết trước đây họ đã khám phá việc tung ra khóa Bluetooth Low Energy (BLE) của riêng mình nhưng “BLE không cung cấp các mức đảm bảo bảo mật của NFC và USB”. Các cuộc đấu tranh của Google dường như đã được minh oan cho cách tiếp cận của Yubico là tập trung vào USB và NFC thay vì Bluetooth.
Cả Google và Yubico đều thu hồi và thay thế các khóa bị ảnh hưởng miễn phí.
Chúng tôi có còn đề xuất các chìa khóa này không?
Bất chấp những sai sót và thu hồi, chúng tôi vẫn khuyên bạn nên sử dụng khóa bảo mật vật lý. Yubico đã gặp phải vấn đề ngẫu nhiên trong một dòng sản phẩm dành riêng cho chính phủ và đã thay thế nó. Google đã gặp rắc rối với Bluetooth, nhưng thậm chí vấn đề đó chỉ có thể bị khai thác bởi những kẻ tấn công trong vòng 30 feet từ bạn. Ngay cả một chiếc chìa khóa Bluetooth Titan thiếu sót cũng chắc chắn bảo vệ bạn khỏi những kẻ tấn công từ xa.
Các khóa này vẫn đáp ứng các tiêu chuẩn bảo mật cao. Việc cả Yubico và Google đều chủ động tiết lộ các sai sót và cung cấp dịch vụ thay thế miễn phí phần cứng bị ảnh hưởng là điều đáng khích lệ. Sự cố chưa bao giờ ảnh hưởng đến bất kỳ khóa bảo mật dựa trên USB hoặc NFC tiêu chuẩn nào dành cho người tiêu dùng thông thường.
Vấn đề lớn nhất với các khóa này là vấn đề với tất cả xác thực hai yếu tố. Với hầu hết các dịch vụ trực tuyến, bạn có thể đơn giản sử dụng một phương pháp kém an toàn hơn như SMS để xóa khóa bảo mật . Kẻ tấn công đã giết chết một lừa đảo cổng ra điện thoại có thể có quyền truy cập vào tài khoản của bạn ngay cả khi bạn đã gắn khóa vật lý. Chỉ các dịch vụ bảo mật rất cao — như chương trình Bảo vệ nâng cao của Google — mới có thể bảo vệ bạn khỏi điều đó.
LIÊN QUAN: Xác thực hai yếu tố là gì và tại sao tôi cần xác thực?
