Cheile de securitate hardware continuă să fie rechemate; Sunt în siguranță?

Vă recomandăm chei de securitate hardware precum YubiKeys de la Yubico și Cheia de securitate Titan de la Google. Dar ambii producători au rechemat recent cheile din cauza unor defecte hardware și asta sună puțin îngrijorător. Care este problema? Aceste chei sunt încă în siguranță?

Ce sunt cheile de securitate hardware?

Cheile de securitate fizice precum Cheia de securitate Titan de la Google și YubiKeys de la Yubico folosesc standardul WebAuthn, succesorul U2F, pentru a vă proteja conturile. Ele funcționează ca un alt tip de autentificare cu doi factori: mai degrabă decât un cod pe care îl introduceți, este o cheie de securitate fizică pe care o introduceți într-un port USB sau poate comunica fără fir prin NFC (comunicație în câmp apropiat) sau Bluetooth.

Puteți folosi cheia ca simbol de securitate hardware pentru a vă conecta la conturi precum conturile dvs. Google, Facebook, Dropbox și GitHub. Cu programul opțional Advanced Protection de la Google, puteți chiar să solicitați o cheie de securitate fizică pentru a vă conecta la contul dvs.

De ce Google și Yubico au rechemat cheile?

Atât Yubico, cât și Google au fost în știri în ultima vreme. Fiecare a fost nevoit să-și amintească unele chei de securitate din cauza unor defecte hardware.

Problema Yubico afectează numai dispozitivele YubiKey FIPS Series — nu orice dispozitive de consum. La fel de Avizul de securitate al lui Yubico explică, aceste chei au caracter aleatoriu insuficient după pornirea dispozitivului, ceea ce ar putea face criptarea lor vulnerabilă. Aceste dispozitive sunt destinate agențiilor guvernamentale și contractanților – nu recomandăm FIPS decât dacă sunteți obligat legal să le utilizați. Yubico nu cunoaște niciun atac care să fi abuzat de acest lucru, dar compania înlocuiește în mod proactiv dispozitivele afectate.

Problema cheii de securitate Titan de la Google, care a dus la rechemarea și înlocuirea cheilor afectate, a fost mai gravă. Versiunea Bluetooth a cheii de securitate Titan, care folosește Bluetooth Low Energy pentru a comunica fără fir, a fost vulnerabilă la atac din cauza a ceea ce Google a numit „configurație greșită.” Un atacator la 30 de picioare de cineva care folosește o cheie de securitate pentru a se conecta ar putea exploata defectul pentru a se conecta la contul său. Sau, atacatorul ar putea păcăli computerul persoanei pentru a se asocia cu un alt dongle Bluetooth, mai degrabă decât cu cheia de securitate. Vulnerabilitatea afectează și cheile de securitate Feitan — Feitan este compania care produce cheile Titan pentru Google.

Microsoft a lansat, de asemenea, un Windows Update care va împiedica aceste chei vulnerabile Google Titan și Feitan să se asocieze cu Windows 10 și Windows 8.1 prin Bluetooth.

Yubico nu a oferit niciodată o cheie Bluetooth. Când Google și-a anunțat cheia Titan, Yubico a spus că a explorat anterior lansarea propriei chei Bluetooth Low Energy (BLE), dar că „BLE nu oferă nivelurile de asigurare a securității NFC și USB”. Luptele Google au justificat aparent abordarea lui Yubico de a se concentra mai degrabă pe USB și NFC decât pe Bluetooth.

Atât Google, cât și Yubico au rechemat și au înlocuit gratuit cheile afectate.

Mai recomandăm aceste chei?

În ciuda defectelor și a retragerilor, recomandăm în continuare cheile de securitate fizice. Yubico a întâmpinat o problemă cu caracterul aleatoriu într-o linie de produse special pentru guvern și a înlocuit-o. Google a avut probleme cu Bluetooth, dar chiar și această problemă a putut fi exploatată doar de atacatori la 30 de picioare de tine. Chiar și o cheie Bluetooth Titan cu defecte te-a protejat cu siguranță de atacatorii de la distanță.

Aceste chei încă îndeplinesc standarde înalte de securitate. Faptul că atât Yubico, cât și Google dezvăluie în mod proactiv defecte și oferă înlocuiri gratuite ale hardware-ului afectat este încurajator. Problemele nu au afectat niciodată cheile de securitate standard USB sau NFC pentru consumatorii obișnuiți.

Cea mai mare problemă cu aceste chei este problema cu toate autentificarea cu doi factori. Cu majoritatea serviciilor online, puteți utiliza pur și simplu o metodă mai puțin sigură, cum ar fi SMS-ul, pentru a elimina cheia de securitate. Un atacator care a realizat o înșelătorie de port-out telefon ar putea obține acces la contul dvs. chiar dacă aveți o cheie fizică atașată. Doar serviciile de înaltă securitate, cum ar fi programul Advanced Protection de la Google, vă pot proteja împotriva acestui lucru.