Hardware Security Sleutels Steeds Herinnerd; Zijn Ze Veilig?

0
67
Cameron Summerson

Wij raden hardware security keys als Yubico de YubiKeys en Google ‘ s Titan-beveiligingssleutel. Maar beide fabrikanten hebben onlangs aan herinnerd toetsen als gevolg van een hardware fouten, en dat klinkt een beetje zorgen te maken. Wat is het probleem? Zijn deze sleutels nog veilig?

Wat Zijn Hardware Security Sleutels?

Fysieke beveiliging toetsen als Google ‘ s Titan beveiligingssleutel en de Yubico de YubiKeys gebruik de WebAuthn standaard, de opvolger van de U2F, om te helpen bij de bescherming van uw accounts. Zij functioneren als een ander soort van twee-factor authenticatie: in Plaats van een code die u kunt typen, het is een fysieke veiligheid sleutel die u invoegt in een USB-poort of het kan draadloos communiceren via NFC (near-field communication) of Bluetooth.

U kunt uw sleutel als een hardware security token inloggen op accounts zoals Google, Facebook, Dropbox, en GitHub accounts. Met Google ‘ s optionele Geavanceerde Bescherming van het programma, je kan het zelfs nodig een fysieke veiligheid-toets om in te loggen op uw account.

GERELATEERD: Hoe Veilig is Uw Accounts Met een U2F Toets of YubiKey

Waarom Hebben Google en Yubico Opgeroepen Toetsen?

Yubico

Zowel Yubico en Google hebben in het nieuws geweest de laatste tijd. Elk heeft gehad om te herinneren wat de beveiligingssleutels als gevolg van een hardware fouten.

Yubico uitgave is alleen van invloed op de YubiKey FIPS-Serie apparaten niet de apparaten van de consument. Als Yubico de security advisory legt, deze toetsen zijn onvoldoende willekeur nadat u het apparaat powerup, die kunnen hun codering kwetsbaar. Deze apparaten zijn alleen voor overheidsinstellingen en aannemers—we raden het niet aan FIPS tenzij u bent wettelijk verplicht om het te gebruiken. Yubico niet op de hoogte van enige aanvallen die misbruik hebben gemaakt van deze, maar het bedrijf is proactief vervangen van de betreffende apparaten.

Google ‘ s Titan beveiligingssleutel probleem, die hebben geleid tot een recall en de vervanging van de betrokken toetsen, werd het erger. De Bluetooth versie van de Titan beveiligingssleutel, die gebruik maakt van Bluetooth Low Energy draadloos met elkaar kunnen communiceren, was kwetsbaar voor aanvallen door wat Google heet een “verkeerde instelling.” Een aanvaller binnen 30 voeten van iemand met behulp van een beveiligingssleutel aanmelden kan maken de fout om in te loggen op hun account. Of de aanvaller kan de truc van de persoon computer in het koppelen met een ander Bluetooth-dongle plaats de veiligheid sleutel. De kwetsbaarheid is ook van invloed op Feitan security keys—Feitan is het bedrijf de productie van de Titan-toetsen voor Google.

Microsoft heeft ook uitgerold een Windows update om te voorkomen dat deze kwetsbare Google Titan en Feitan toetsen van paren met Windows 10 en Windows 8.1 via Bluetooth.

Yubico nooit aangeboden een Bluetooth-toets. Wanneer Google heeft bekendgemaakt dat de Titan-toets, Yubico zei dat ik het eerder had onderzocht de lancering van zijn eigen Bluetooth Low Energy (BLE) sleutel, maar dat “BLE niet de security assurance niveaus van NFC en USB.” Google de strijd schijnbaar betuigde Yubico de aanpak van focus op USB en NFC plaats van Bluetooth.

Zowel Google en Yubico teruggeroepen en vervangen beïnvloed toetsen voor gratis.

Doen Raden We U Toch Aan Deze Toetsen?

Ondanks de fouten en herinnert eraan, we doen nog steeds raden fysieke beveiliging toetsen. Yubico ervaren een probleem met de willekeur in een lijn van producten die speciaal voor de overheid en vervangen. Google kwam in de problemen met Bluetooth, maar zelfs dat probleem kan alleen worden misbruikt door aanvallers binnen 30 meter van je. Zelfs een gebrekkig Bluetooth-Titan-toets zeker beschermd u tegen externe aanvallers.

Deze toetsen nog steeds voldoen aan de hoge normen van veiligheid. Het feit dat zowel Yubico en Google proactief de openbaarmaking van gebreken en biedt gratis vervangingen van de betreffende hardware is bemoedigend. De problemen hebben geen invloed op een standaard USB-of NFC-gebaseerde beveiliging sleutels voor de gewone consument.

Het grootste probleem met deze toetsen is het probleem met alle twee-factor authenticatie. Bij de meeste online diensten, dan kunt u gewoon gebruik maken van een minder veilige methode, zoals de SMS-te verwijderen van de security-toets. Een aanvaller die trok een telefoon port-out scam kan toegang krijgen tot uw account, zelfs als je een fysieke toets bevestigd. Alleen zeer high-security services—zoals Google ‘ s Advanced Protection programma—kan beschermen u tegen.

GERELATEERD: Wat Is de Twee-Factor Authenticatie, en Waarom Heb ik Het Nodig?

LEES VERDER

  • “Google Drive en Foto’ s Zijn te Splitsen: Wat U Moet Weten
  • “Hier is de reden Waarom iOS 13 Maakt Mij Wil een iPhone
  • “Hoe om te Filmen Met Uw Eigen Groene Scherm met Behulp van Je iPhone
  • “Het Maken en Installeren van SSH Sleutels Van de Linux-Shell
  • “U Kunt Ongedaan maken te Verzenden In Outlook, Net als Gmail