Wir empfehlen die hardware-Sicherheitsschlüssel, wie Yubico ist YubiKeys und Google ‘ s Titan Security Key. Aber beide Hersteller haben vor kurzem zurückgerufenen Schlüsseln durch hardware-Fehler, und das klingt ein wenig beunruhigend. Was ist das problem? Sind diese Tasten noch sicher?
Was Sind Hardware-Security-Keys?
Physische Sicherheit-Tasten wie Google Titan Security Key und Yubico ist YubiKeys verwenden Sie die WebAuthn standard, dem Nachfolger von U2F, zu helfen, schützen Sie Ihre Konten. Sie fungieren als eine andere Art von zwei-Faktor-Authentifizierung: statt einen code, den Sie geben, ist es eine physische Sicherheits-Taste, die Sie einfügen in einen USB-port, oder es kann drahtlos kommunizieren per NFC (near-field-communication) oder Bluetooth.
Sie können Ihren Schlüssel eines hardware security Tokens zum anmelden bei Konten wie Google, Facebook, Dropbox und GitHub-accounts. Mit Google ist optional, Erweiterte Schutz-Programm, Sie können sogar erfordern eine physische Sicherheitsschlüssel zum einloggen in Ihr Konto.
VERWANDTE: Wie man Sicher Ihre Konten Mit U2F-Key oder YubiKey
Warum Haben Google und Yubico Erinnerte Schlüssel?
YubicoBeide Yubico und Google wurden in den Nachrichten in letzter Zeit. Jeder hat zurückrufen musste einige Sicherheits-Schlüssel durch hardware-Fehler.
Yubico das Problem betrifft nur YubiKey Series FIPS-Geräte—keine consumer-Geräte. Wie Yubico security advisory erläutert, sind diese Tasten nicht genügend Zufälligkeit nach Gerät einschalten, die machen könnte Ihre Verschlüsselung anfällig. Diese Geräte sind nur für Behörden und Subunternehmer—wir empfehlen nicht, FIPS, es sei denn, Sie sind gesetzlich verpflichtet, es zu benutzen. Yubico ist nicht bewusst, dass jegliche Angriffe, die missbraucht haben, aber das Unternehmen proaktiv Austausch betroffener Geräte.
Google-Titan, Sicherheits-Schlüssel-problem, und das führte zum Rückruf und Austausch der betroffenen Tasten, war noch schlimmer. Der Bluetooth-version des Titan-Sicherheits-Taste, die verwendet Bluetooth Low Energy kabellose Kommunikation, war anfällig für Angriffe durch, was Google genannt “Fehlkonfiguration.” Ein Angreifer innerhalb von 30 Fuß von jemand mit einem Sicherheitsschlüssel anmelden könnte diese Fehler zu melden Sie sich in Ihrem Konto. Oder der Angreifer trick, die person, die computer in den pairing mit einem anderen Bluetooth-dongle anstatt die security-Taste. Die Schwachstelle betrifft auch Feitan Sicherheits-Schlüssel—Feitan ist das Unternehmen für die Herstellung der Titan-Tasten für Google.
Microsoft hat auch ausgerollt ein Windows-update, das verhindert, dass diese gefährdeten Google Titan und Feitan Schlüssel von der Paarung mit Windows 10 und Windows 8.1 über Bluetooth.
Yubico nie angeboten, eine Bluetooth-Taste. Wenn Google angekündigt, seine Titan-Schlüssel, Yubico sagte, dass es hatte zuvor erforscht mit der eigenen Bluetooth-Low-Energy (BLE) – Taste, sondern die “BLE nicht aus, um den security assurance Level von NFC und USB.” Google kämpft scheinbar bestätigt Yubico Ansatz der Fokussierung auf USB und NFC statt Bluetooth.
Google und Yubico abgerufen und ersetzt die betroffenen keys kostenlos.
Wir Empfehlen Dennoch, Diese Schlüssel?
Trotz der Mängel und Rückrufe, wir empfehlen immer noch die physische Sicherheit Schlüssel. Yubico erlebt ein Problem mit der Zufälligkeit in eine Linie von Produkten, die speziell für die Regierung und ersetzte Sie. Google lief in Probleme mit Bluetooth, aber auch das problem konnte nur von Angreifern ausgenutzt werden innerhalb von 30 Fuß von Euch. Auch eine fehlerhafte Bluetooth-Titan-Taste definitiv geschützt, die Sie von Angreifern.
Diese Tasten noch erfüllen hohe Sicherheitsstandards. Die Tatsache, dass beide Yubico und Google sind proaktiv offenbarenden Schwächen und bietet kostenlosen Ersatz der betroffenen hardware ist ermutigend. Die Probleme sind nie betroffen beliebigen standard-USB-oder NFC-basierte security-keys für normale Verbraucher.
Das größte problem mit diesen keys ist das problem mit allen zwei-Faktor-Authentifizierung. Bei den meisten online-Dienste, können Sie einfach eine weniger sichere Methode wie SMS, entfernen Sie die security-Taste. Ein Angreifer, zog ein Telefon port-out-Betrug könnte den Zugang zu Ihrem Konto, auch wenn Sie eine physische Taste angebracht. Nur sehr high-security-Dienste—wie Google Erweiterte Schutz-Programm—schützen können Sie sich dagegen.
RELATED: Was Ist die Zwei-Faktor-Authentifizierung, und Warum Brauche ich Es?
LESEN SIE WEITER
- › Google Drive und Fotos Aufteilen: Was Sie Wissen Müssen
- › Hier ist der Grund, Warum iOS-13 Macht Mich Wollen ein iPhone
- › How to Film Mit Eigenen Green-Screen-Mit Ihrem iPhone
- › So Erstellen und Installieren Sie SSH-Schlüssel Aus der Linux-Shell
- › Sie Rückgängig machen Können, Senden Sie In Outlook wie Gmail