Mes rekomenduojame aparatinės įrangos saugos raktus, tokius kaip „Yubico“„YubiKeys“ ir „Google“ „Titan“ saugos raktas. Bet abu gamintojai neseniai atsiėmė raktus dėl aparatūros trūkumų, ir tai skamba šiek tiek nerimaudami. Kokia problema? Ar šie raktai vis dar saugūs?
Kas yra aparatūros saugos raktai?
Fizinės saugos raktai, tokie kaip „Google“ „Titan“Saugos raktas ir „Yubico“ „YubiKeys“ naudoja „WebAuthn“ standartą, kuris yra U2F įpėdinis, kad padėtų apsaugoti jūsų paskyras. Jie veikia kaip dar vienas dviejų faktorių autentifikavimo tipas: užuot įvedę kodą, tai fizinis saugos raktas, kurį įdedate į USB jungtį, arba jis gali belaidžiu ryšiu susisiekti naudodamas NFC (artimo lauko ryšys) arba „Bluetooth“.
Raktą galite naudoti kaip aparatinės įrangos saugos ženkląprisijungti prie tokių paskyrų kaip „Google“, „Facebook“, „Dropbox“ ir „GitHub“ paskyros. Naudodamiesi pasirinktine „Google“ išplėstinės apsaugos programa, jūs netgi galite reikalauti fizinės saugos rakto, kad prisijungtumėte prie savo paskyros.
SUSIJĘS: Kaip apsaugoti savo sąskaitas naudojant U2F raktą arba
Kodėl „Google“ ir „Yubico“ atšaukė raktus?
Tiek „Yubico“, tiek „Google“ pastaruoju metu yra naujienose. Dėl techninės įrangos trūkumų kiekvienas turėjo prisiminti kai kuriuos saugos raktus.
„Yubico“ leidimas turi įtakos tik „YubiKey FIPS“ serijaiįrenginiai - ne bet kokie vartotojui skirti įrenginiai. Kaip paaiškinta „Yubico“ saugos patarime, šie raktai nėra pakankamai atsitiktiniai po įrenginio maitinimo, todėl jų kodavimas gali būti pažeidžiamas. Šie įrenginiai yra skirti tik vyriausybinėms agentūroms ir rangovams - mes nerekomenduojame „FIPS“, nebent esate teisiškai įpareigoti juos naudoti. „Yubico“ nežino apie jokius išpuolius, kuriais buvo piktnaudžiaujama, tačiau įmonė aktyviai keičia paveiktus įrenginius.
„Google“ „Titan“ saugos rakto problema, dėl kurios kiloblogiau sekėsi paveiktų raktų atšaukimu ir pakeitimu. „Titan“ saugos rakto „Bluetooth“ versija, kurioje belaidžiam ryšiui naudojama „Bluetooth Low Energy“, buvo pažeidžiama dėl puolimo dėl to, ką „Google“ vadino „netinkama konfigūracija“. Užpuolikas, esantis 30 pėdų atstumu nuo to, kas naudojasi prisijungimo saugos raktu, gali išnaudoti trūkumą. prisijungti prie jų paskyros. Arba užpuolikas gali apgauti asmens kompiuterį suporuoti su kitu „Bluetooth“ raktu, o ne su saugos raktu. Šis pažeidžiamumas taip pat turi įtakos „Feitan“ saugos raktams - „Feitan“ yra įmonė, gaminanti „Titan“ raktus „Google“.
„Microsoft“ taip pat išleido „Windows“ naujinį, kuris neleis šiems pažeidžiamiems „Google Titan“ ir „Feitan“ raktams susieti su „Windows 10“ ir „Windows 8.1“ per „Bluetooth“.
„Yubico“ niekada nesiūlė „Bluetooth“ klavišo. Kai „Google“ paskelbė apie savo „Titan“ raktą, „Yubico“ teigė anksčiau ištyrusi paleisti savo „Bluetooth Low Energy“ (BLE) raktą, tačiau „BLE nesuteikia NFC ir USB saugumo užtikrinimo lygio“. „Google“ kova, atrodo, patvirtino „Yubico“ požiūrį į USB ir NFC, o ne „Bluetooth“.
„Google“ ir „Yubico“ nemokamai prisiminė ir pakeitė paveiktus raktus.
Ar mes vis dar rekomenduojame šiuos raktus?
Nepaisant trūkumų ir atšaukimų, mes vis dar to daromerekomenduoti fizinius saugos raktus. „Yubico“ susidūrė su atsitiktinumų problema vienoje vyriausybės produktų grupėje ir ją pakeitė. „Google“ kilo problemų dėl „Bluetooth“ ryšio, tačiau net šia problema galėjo pasinaudoti tik užpuolikai, esantys 30 pėdų atstumu nuo jūsų. Net klaidingas „Bluetooth Titan“ raktas tikrai apsaugojo jus nuo nuotolinių užpuolikų.
Šie raktai vis dar atitinka aukštus saugumo standartus. Džiugina tai, kad tiek „Yubico“, tiek „Google“ aktyviai atskleidžia trūkumus ir siūlo nemokamą paveiktos aparatūros pakeitimą. Šios problemos niekada neturėjo įtakos jokiems standartiniams USB ar NFC pagrįstiems saugos raktams įprastiems vartotojams.
Didžiausia šių klavišų problema yravisų dviejų veiksnių autentifikavimo problema. Naudodamiesi daugeliu internetinių paslaugų, saugos klavišui pašalinti galite tiesiog naudoti mažiau saugų metodą, pavyzdžiui, SMS. Užpuolikas, kuris pašalino sukčiavimą iš telefono, galėjo gauti prieigą prie jūsų sąskaitos, net jei turite fizinį raktą. Tik labai saugios paslaugos, tokios kaip „Google“ išplėstinės apsaugos programa, gali jus nuo to apsaugoti.
SUSIJĘS: Kas yra dviejų veiksnių autentifikavimas ir kodėl man jo reikia?
