Si consiglia di hardware chiavi di sicurezza come Yubico del YubiKeys e Google Titan Chiave di Sicurezza. Ma entrambi i produttori hanno recentemente ricordato chiavi a causa di difetti hardware, e che suona un po ‘ preoccupante. Qual è il problema? Sono queste le chiavi ancora sicuro?
Quali Sono Le Chiavi Di Protezione Hardware?
Fisica chiavi di sicurezza come Google Titan Chiave di Sicurezza e Yubico del YubiKeys utilizzare il WebAuthn standard, il successore U2F, per proteggere il tuo account. Essi funzionano come un altro tipo di autenticazione a due fattori: Piuttosto che un codice da digitare, è un fisico chiave di sicurezza si inserisce in una porta USB o è in grado di comunicare in modalità wireless tramite la tecnologia NFC (near-field communication) o Bluetooth.
È possibile utilizzare una chiave hardware token di sicurezza per accedere all’account, come Google, Facebook, Dropbox, e GitHub conti. Con Google opzionale Avanzato programma di Protezione, è possibile anche richiedere un fisico chiave di sicurezza per accedere al tuo account.
CORRELATI: Come Proteggere il Tuo Account Con un U2F Chiave o YubiKey
Perché Google e Yubico Ricordato Chiavi?
YubicoSia Yubico e Google sono stati nelle notizie ultimamente. Ciascuno di essi ha fatto ricordare alcune chiavi di sicurezza a causa di difetti hardware.
Yubico il problema riguarda solo YubiKey FIPS dispositivi della Serie—non di eventuali dispositivi di elettronica di consumo. Come Yubico sicurezza consulenza spiega, questi tasti hanno casualità insufficiente dopo il dispositivo di accensione, che potrebbero rendere la loro codifica vulnerabili. Questi dispositivi sono solo per le agenzie governative e i collaboratori esterni, si consiglia di non FIPS meno che non sei legalmente necessario per il suo utilizzo. Yubico non è a conoscenza di attacchi che hanno abusato di questo, ma la società ha deciso di sostituzione dei dispositivi interessati.
Google Titan Chiave di Sicurezza di problema, che ha portato ad un richiamo e la sostituzione di chiavi coinvolte, è stato peggio. La versione del Bluetooth del Titan, Chiave di Sicurezza, che utilizza Energia Bassa di Bluetooth per comunicare in modalità wireless, è vulnerabile agli attacchi a causa di quello che Google chiama “errore di configurazione.” Un utente malintenzionato entro 30 piedi di qualcuno che utilizza una chiave di sicurezza per accedere potrebbe sfruttare la falla di accedere al loro account. O, l’utente malintenzionato può ingannare la persona del computer in accoppiamento con un altro dispositivo Bluetooth, piuttosto che la chiave di sicurezza. La vulnerabilità interessa anche Feitan chiavi di sicurezza—Feitan è la società che produce il Titan chiavi per Google.
Microsoft ha anche lanciato un aggiornamento di Windows che consentirà di evitare questi vulnerabile Google Titan e Feitan chiavi dall’abbinamento con Windows 10 e Windows 8.1 tramite Bluetooth.
Yubico mai offerto un tasto Bluetooth. Quando Google ha annunciato il suo Titan chiave, Yubico ha detto che aveva precedentemente esplorato lanciando la propria Bluetooth Low Energy (BLE) ma che “BLE non fornire la sicurezza che i livelli di NFC e USB.” Google lotte apparentemente giustificato Yubico approccio di messa a fuoco su USB e NFC, piuttosto che Bluetooth.
Sia Google e Yubico richiamato e sostituito interessati chiavi per libero.
Non Abbiamo Ancora Consigliamo Di Queste Chiavi?
Nonostante i difetti e ricorda, noi comunque consigliamo di fisica chiavi di sicurezza. Yubico sperimentato un problema con la casualità in una linea di prodotti appositamente per il governo e lo ha sostituito. Google ha avuto problemi con il Bluetooth, ma anche che il problema potrebbe essere sfruttata da malintenzionati entro 30 metri di voi. Anche un imperfetto Bluetooth Titan chiave sicuramente protetto da aggressori remoti.
Queste chiavi di soddisfare elevati standard di sicurezza. Il fatto che sia Yubico e Google sono in modo proattivo rivelare difetti e offre la connessione sostituzioni di hardware interessato è incoraggiante. I problemi non sono mai interessata a qualsiasi porta USB standard, o basate su NFC chiavi di sicurezza per i consumatori normali.
Il problema più grande con questi tasti è il problema con l’autenticazione a due fattori. Con la maggior parte dei servizi online, si può semplicemente utilizzare un metodo sicuro come SMS per rimuovere la chiave di sicurezza. Un utente malintenzionato che ha tirato fuori un telefono port-out truffa potrebbe ottenere l’accesso al tuo account, anche se si dispone di un tasto fisico in allegato. Solo molto alta-servizi di sicurezza—come Google Avanzato programma di Protezione—in grado di proteggere contro.
CORRELATI: che Cos’È l’Autenticazione a Due fattori, e Perché Ne ho Bisogno?
CONTINUA A LEGGERE
- “Google Drive e le Foto Sono di Scissione: che Cosa È Necessario Sapere
- “Ecco Perché iOS 13 Mi Fa venire Voglia di un iPhone
- “Come Film Con il Vostro Schermo Verde con il Tuo iPhone
- “Come Creare e Installare le Chiavi SSH Dalla Shell di Linux
- “Si Può Annullare Inviare In Outlook, come Gmail