Vi rekommenderar hårdvara säkerhet nycklar som Yubico är YubiKeys och Googles Titan säkerhetsnyckel. Men båda tillverkarna har nyligen påminde nycklar på grund av hårdvara brister, och det låter lite oroväckande. Vad är problemet? Är dessa tangenter fortfarande säker?
Vad Är Hårdvara Säkerhet Nycklar?
Fysisk säkerhet nycklar som Google ‘ s Titan säkerhetsnyckel och Yubico är YubiKeys använda WebAuthn standard, efterföljaren till U2F, för att hjälpa till att skydda dina konton. De fungerar som en annan typ av två-faktor autentisering: Snarare än en kod som du skriver, det är en fysisk säkerhetsnyckel som du sätter i en USB-port—eller att den kan kommunicera trådlöst via NFC (near field communication) eller Bluetooth.
Du kan använda din nyckel som en maskin säkerhetstoken för att logga in på konton som Google, Facebook, Dropbox och GitHub-konton. Med Googles valfri Avancerad Skydd program, du kan till och med kräva en fysisk säkerhet-tangenten för att logga in på ditt konto.
RELATERAT: Hur Säkra Dina Konton Med en U2F Nyckel eller YubiKey
Varför Har Google och Yubico Erinras om Nycklar?
YubicoBåde Yubico och Google har varit i nyheterna nyligen. Alla har varit tvungen att påminna om några nycklar säkerhet på grund av hårdvara brister.
Yubico är problemet påverkar bara YubiKey FIPS-Serien enheter—inte någon annan konsumentelektronik. Som Yubico säkerhet rådgivande förklarar dessa nycklar har tillräckligt med slumpmässighet efter att enheten startas, vilket kan göra att deras kryptering utsatta. Dessa enheter är bara för myndigheter och entreprenörer—vi rekommenderar inte FIPS om du inte är juridiskt skyldiga att använda den. Yubico är inte medvetna om alla angrepp som har missbrukat detta, men bolaget är aktivt byta ut berörda enheter.
Googles Titan säkerhetsnyckel problem, vilket ledde till ett återkallande och utbyte av nycklar som påverkas, var värre. Bluetooth-version av Titan säkerhetsnyckel, som använder Bluetooth Low Energy för att kommunicera trådlöst, var sårbara för angrepp på grund av vad som kallas Google en “felaktig konfiguration.” En angripare inom 30 meter av någon som använder en säkerhetsnyckel för att logga in kunde utnyttja fel att logga in på sitt konto. Angriparen kan lura persons dator i para ihop med en annan Bluetooth dongle snarare än en säkerhetsnyckel. Sårbarheten påverkar också Feitan nycklar säkerhet—Feitan är företaget som tillverkar Titan knappar för Google.
Microsoft har också rullat ut en Windows-uppdatering som kommer att förhindra att dessa utsatta Google Titan och Feitan nycklar från parning med Windows 10 och Windows 8.1 via Bluetooth.
Yubico aldrig erbjuds en Bluetooth-knappen. När Google meddelade sitt Titan nyckel, Yubico sade att det hade tidigare utforskat att lansera sin egen BLE (Bluetooth Low Energy) avgörande, men att “BLE inte ger säkerhet försäkra nivåer av NFC och USB”. Googles kamp till synes stämma Yubico: s strategi att fokusera på USB-och NFC-snarare än Bluetooth.
Både Google och Yubico återkallas och ersättas nycklar som påverkas är gratis.
Vi Rekommenderar Ändå Dessa Nycklar?
Trots de brister och påminner om, vi vill ändå rekommendera fysisk säkerhet nycklar. Yubico har upplevt ett problem med slumpmässighet i en linje av produkter som är speciellt för regeringen och ersatt det. Google fick problem med Bluetooth, men även att problemet kan endast utnyttjas av angripare inom 30 meter av dig. Även en bristfällig Bluetooth-Titan definitivt nyckeln skyddas du från angripare utifrån.
Dessa tangenter fortfarande uppfyller höga krav på säkerhet. Det faktum att både Yubico och Google är aktivt avslöja brister och erbjuder gratis ersättare av berörd hårdvara är uppmuntrande. Problemen har aldrig påverkat alla standard USB-eller NFC-baserade nycklar säkerhet för vanliga konsumenter.
Det största problemet med dessa nycklar är problemet med alla två-faktor autentisering. Med de flesta online-tjänster, kan du helt enkelt använda en mindre säker metod som SMS för att ta bort säkerhetsnyckeln. En angripare som dras av en phone-port-ut bluff kan få tillgång till ditt konto även om du har en fysisk nyckel som bifogas. Endast mycket hög säkerhetsnivå tjänster som Google ‘ s Advanced Protection program—som kan skydda dig mot det.
RELATERAT: Vad Är Två-Faktor Autentisering, och Varför Behöver jag Det?
LÄS NÄSTA
- “Google Drive och Bilder Är att Dela: Vad Du Behöver Veta
- “Här är Varför iOS 13 Gör att jag Vill ha en iPhone
- “Hur Film Med Din Egen Gröna Skärmen med Hjälp av Din iPhone
- “Hur till Skapa och Installera en SSH-Nycklar Från Linux Shell
- “Du Kan Ångra Skickar I Outlook, Precis som i Gmail