Ключи безопасности оборудования продолжают отозваться; Они в безопасности?

4 февраля 2021 |

Ключи безопасности оборудования продолжают отозваться; Они в безопасности?

Google Titan security keys

Мы рекомендуем аппаратные ключи безопасности, такие как Yubico’s YubiKeys и Google Titan Security Key. Но оба производителя недавно отозвали ключи из-за недостатков оборудования, и это звучит немного тревожно. В чем проблема? Эти ключи все еще в безопасности?

Что такое аппаратные ключи безопасности?

В физических ключах безопасности, таких как Titan Security Key от Google и YubiKeys от Yubico, для защиты ваших учетных записей используется стандарт WebAuthn, преемник U2F. Они функционируют как другой тип двухфакторной аутентификации: вместо кода, который вы вводите, это физический ключ безопасности, который вы вставляете в порт USB, или он может связываться по беспроводной сети через NFC (связь ближнего поля) или Bluetooth.

Вы можете использовать свой ключ в качестве аппаратного токена безопасности для входа в такие учетные записи, как Google, Facebook, Dropbox и GitHub. С помощью дополнительной программы Advanced Protection от Google вам даже может потребоваться физический ключ безопасности для входа в свою учетную запись.

Почему Google и Yubico отозвали ключи? Yubico FIPS keys Yubico

В последнее время в новостях появлялись и Yubico, и Google. Каждому пришлось отозвать некоторые ключи безопасности из-за недостатков оборудования.

Проблема Yubico затрагивает только устройства YubiKey серии FIPS, а не потребительские устройства. Как поясняется в рекомендациях по безопасности Yubico, эти ключи имеют недостаточную случайность после включения устройства, что может сделать их шифрование уязвимым. Эти устройства предназначены только для государственных учреждений и подрядчиков. Мы не рекомендуем использовать FIPS, если это не требуется по закону. Yubico не знает ни о каких атаках, которые использовали бы это, но компания активно заменяет затронутые устройства.

Проблема с ключом безопасности Google Titan, которая привела к отзыву и замене поврежденных ключей, была еще хуже. Версия Bluetooth-ключа Titan Security Key, которая использует Bluetooth Low Energy для беспроводной связи, была уязвима для атак из-за того, что Google назвал «неправильной конфигурацией». Злоумышленник в пределах 30 футов от кого-то, использующего ключ безопасности для входа в систему, может использовать уязвимость для входа в свою учетную запись. Или злоумышленник может обманом заставить компьютер человека выполнить сопряжение с другим ключом Bluetooth, а не с ключом безопасности. Уязвимость также затрагивает ключи безопасности Feitan — Feitan — компания, производящая ключи Titan для Google.

Microsoft также выпустила обновление для Windows, которое предотвратит соединение этих уязвимых ключей Google Titan и Feitan с Windows 10 и Windows 8.1 через Bluetooth.

Yubico никогда не предлагал ключ Bluetooth. Когда Google анонсировал свой ключ Titan, Yubico заявила, что ранее рассматривала возможность запуска собственного ключа Bluetooth с низким энергопотреблением (BLE), но что «BLE не обеспечивает такие уровни безопасности, как NFC и USB». Проблемы Google, казалось бы, подтвердили подход Yubico, в котором основное внимание уделялось USB и NFC, а не Bluetooth.

И Google, и Yubico бесплатно отозвали и заменили затронутые ключи.

Мы по-прежнему рекомендуем эти ключи?

Несмотря на недостатки и отзывы, мы все же рекомендуем физические ключи безопасности. Yubico столкнулась с проблемой случайного выбора в одной линейке продуктов специально для правительства и заменила ее. У Google возникли проблемы с Bluetooth, но даже эту проблему могли использовать злоумышленники в пределах 30 футов от вас. Даже неисправный ключ Bluetooth Titan определенно защитил вас от удаленных злоумышленников.

Эти ключи по-прежнему соответствуют высоким стандартам безопасности. Тот факт, что и Yubico, и Google активно раскрывают недостатки и предлагают бесплатную замену неисправного оборудования, обнадеживает. Проблемы никогда не затрагивали стандартные ключи безопасности на основе USB или NFC для обычных потребителей.

Самая большая проблема с этими ключами — это проблема со всей двухфакторной аутентификацией. В большинстве онлайн-сервисов вы можете просто использовать менее безопасный метод, например SMS, для удаления ключа безопасности. Злоумышленник, совершивший мошенничество с переносом телефона, может получить доступ к вашей учетной записи, даже если к вам прикреплен физический ключ. Только службы с очень высоким уровнем безопасности, такие как программа Google Advanced Protection, могут защитить вас от этого.

Ключи безопасности оборудования продолжают отозваться; Они в безопасности?


Напишите пару строк: