Pentru o securitate sporită, sugerăm utilizarea cheilor hardware, cum ar fi YubiKeys de la Yubico și Cheia de securitate Titan de la Google. Recent, ambii producători au efectuat rechemări ale produselor din cauza unor probleme hardware, ceea ce ridică semne de întrebare. Care este, de fapt, problema? Aceste chei sunt încă sigure pentru utilizare?
Ce reprezintă cheile de securitate hardware?
Cheile de securitate fizice, precum Cheia de securitate Titan de la Google și YubiKeys de la Yubico, folosesc standardul WebAuthn, o evoluție a U2F, pentru a asigura securitatea conturilor. Ele funcționează ca o formă suplimentară de autentificare, diferită de codurile introduse manual. Acestea sunt dispozitive fizice care se conectează la un port USB sau comunică prin tehnologii wireless precum NFC (Near Field Communication) sau Bluetooth.
Aceste chei pot fi folosite ca autentificatoare pentru a vă accesa conturile de pe platforme precum Google, Facebook, Dropbox și GitHub. Prin intermediul programului opțional Advanced Protection oferit de Google, se poate chiar impune folosirea unei chei de securitate fizice pentru autentificarea în cont.
De ce au rechemat Google și Yubico cheile?
Recent, atât Yubico, cât și Google au fost subiectul unor știri, fiind nevoite să recheme anumite chei de securitate din cauza unor defecte de fabricație.
Defectul identificat la Yubico afectează exclusiv seria YubiKey FIPS, nu și dispozitivele destinate consumatorilor obișnuiți. Conform informării de securitate emise de Yubico, aceste chei generează date aleatorii insuficiente la pornire, ceea ce le-ar putea face vulnerabile la atacuri criptografice. Dispozitivele din seria FIPS sunt destinate agențiilor guvernamentale și contractorilor, iar Yubico recomandă utilizarea lor doar în cazul în care există o cerință legală. Deși compania nu a identificat niciun caz de exploatare a acestei vulnerabilități, a inițiat înlocuirea preventivă a dispozitivelor afectate.
Problema identificată la cheile de securitate Titan de la Google, care a dus la rechemarea și înlocuirea produselor, a fost mai gravă. Versiunea Bluetooth a cheii, care folosește tehnologia Bluetooth Low Energy pentru comunicare, a fost vulnerabilă la atacuri din cauza unei „configurații incorecte„, conform Google. Un atacator aflat la o distanță de 9 metri de utilizator ar fi putut profita de această vulnerabilitate pentru a accesa contul acestuia. De asemenea, atacatorul ar fi putut induce în eroare computerul, determinându-l să se conecteze la un alt dispozitiv Bluetooth, în locul cheii de securitate. Vulnerabilitatea afecta și cheile de securitate Feitan, compania care produce cheile Titan pentru Google.
Microsoft a lansat și o actualizare pentru Windows, care împiedică cheile vulnerabile Google Titan și Feitan să se conecteze prin Bluetooth la sistemele Windows 10 și Windows 8.1.
Yubico nu a oferit niciodată o cheie Bluetooth. La momentul anunțului cheii Titan de la Google, Yubico a declarat că a explorat anterior lansarea propriei chei Bluetooth Low Energy (BLE), dar a concluzionat că „BLE nu oferă nivelul de securitate necesar oferit de NFC și USB.” Incidentele survenite la Google par să fi justificat abordarea Yubico de a se concentra pe tehnologiile USB și NFC.
Atât Google, cât și Yubico au rechemat și au înlocuit gratuit cheile afectate.
Merită încă să recomandăm aceste chei?
În ciuda problemelor și a rechemărilor, recomandăm în continuare utilizarea cheilor de securitate fizice. Yubico a avut o problemă izolată legată de generarea aleatorie a datelor într-o serie de produse destinate segmentului guvernamental, pe care a rezolvat-o prin înlocuirea dispozitivelor afectate. Google s-a confruntat cu o problemă la cheile Bluetooth, care, însă, putea fi exploatată doar de atacatori aflați la distanțe mici. Chiar și o cheie Bluetooth Titan cu probleme oferea o protecție solidă împotriva atacurilor de la distanță.
Aceste chei respectă în continuare standarde înalte de securitate. Faptul că atât Yubico, cât și Google dezvăluie în mod activ defectele și oferă înlocuirea gratuită a dispozitivelor afectate este un semn încurajator. Problemele nu au afectat niciodată cheile de securitate standard USB sau NFC utilizate de majoritatea consumatorilor.
Cea mai mare problemă asociată cu aceste chei, similar cu autentificarea cu doi factori în general, este posibilitatea de a ocoli protecția folosind metode mai puțin sigure, cum ar fi SMS-urile, oferite de majoritatea serviciilor online. Un atacator care a reușit să cloneze un număr de telefon ar putea accesa un cont, chiar dacă proprietarul a activat o cheie fizică de securitate. Doar serviciile de înaltă securitate, cum este programul Advanced Protection de la Google, oferă protecție împotriva acestor tipuri de atacuri.