Препоръчваме хардуерни ключове за сигурност като YubiKeys на Yubico и Ключът за сигурност Titan на Google. Но и двамата производители наскоро изтекоха ключовете поради дефекти в хардуера и това звучи малко притеснително. Какъв е проблема? Тези ключове все още ли са безопасни?
Съдържание
Какво представляват хардуерните ключове за сигурност?
Физическите ключове за сигурност, като ключ за сигурност Titan на Google и YubiKeys на Yubico, използват стандарта WebAuthn, наследник на U2F, за да помогнат за защитата на вашите акаунти. Те функционират като друг тип двуфакторно удостоверяване: вместо код, който въвеждате, това е физически ключ за сигурност, който вмъквате в USB порт – или може да комуникира безжично чрез NFC (комуникация в близко поле) или Bluetooth.
Можете да използвате своя ключ като хардуерен токен за сигурност, за да влезете в акаунти като вашите акаунти в Google, Facebook, Dropbox и GitHub. С допълнителната програма за разширена защита на Google, можете дори да изисквате физически ключ за сигурност, за да влезете в акаунта си.
Защо Google и Yubico са изтеглили ключове?
И Yubico, и Google са в новините напоследък. Всеки трябваше да извика някои ключове за сигурност поради дефекти в хардуера.
Проблемът на Yubico засяга само устройствата от серия YubiKey FIPS, но не и потребителските устройства. Като Съветът за сигурност на Yubico обяснява, че тези ключове имат недостатъчна произволност след включване на устройството, което може да направи криптирането им уязвимо. Тези устройства са само за правителствени агенции и изпълнители – не препоръчваме FIPS, освен ако не сте задължени по закон да го използвате. Yubico не е наясно с атаки, които са злоупотребявали с това, но компанията активно заменя засегнатите устройства.
Проблемът с Titan Security Key на Google, който доведе до изтегляне и подмяна на засегнатите ключове, беше по-лош. Bluetooth версията на ключа за сигурност Titan, който използва Bluetooth Low Energy за безжична комуникация, беше уязвима за атака поради това, което Google нарече „неправилна конфигурация” Нападател в рамките на 30 фута от някой, използващ ключ за сигурност за влизане, може да използва недостатъка, за да влезе в акаунта си. Или пък нападателят може да подмами компютъра на лицето да се сдвои с различен Bluetooth ключ, а не с ключа за сигурност. Уязвимостта засяга и ключовете за сигурност на Feitan – Feitan е компанията, която произвежда ключовете Titan за Google.
Microsoft също пусна a Актуализация на Windows това ще попречи на тези уязвими ключове Google Titan и Feitan да се сдвоят с Windows 10 и Windows 8.1 чрез Bluetooth.
Yubico никога не е предлагал Bluetooth ключ. Когато Google обяви своя ключ Титан, Юбико каза, че преди това е проучила пускането на свой собствен Bluetooth с ниска енергия (BLE), но че „BLE не осигурява нивата на сигурност за NFC и USB“. Борбите на Google привидно оправдаха подхода на Yubico да се фокусира върху USB и NFC, а не върху Bluetooth.
И Google, и Yubico изтекоха и замениха засегнатите ключове безплатно.
Все още ли препоръчваме тези ключове?
Въпреки недостатъците и изтеглянията, ние все още препоръчваме физически ключове за сигурност. Yubico изпита проблем с произволността в една линия продукти специално за правителството и го замени. Google се сблъска с проблеми с Bluetooth, но дори този проблем може да бъде използван само от нападатели в рамките на 30 фута от вас. Дори дефектен ключ Bluetooth Titan определено ви предпази от отдалечени нападатели.
Тези ключове все още отговарят на високи стандарти за сигурност. Фактът, че и Yubico, и Google проактивно разкриват недостатъци и предлагат безплатни замени на засегнатия хардуер, е окуражаващ. Проблемите никога не са засягали стандартни USB или NFC-базирани ключове за сигурност за редовни потребители.
Най-големият проблем с тези ключове е проблемът с всички двуфакторни удостоверения. С повечето онлайн услуги можете просто да използвате по-малко сигурен метод като SMS, за да премахнете ключа за сигурност. Нападател, който извади измама за портиране на телефон, може да получи достъп до вашия акаунт, дори ако имате прикачен физически ключ. Само услугите с много висока сигурност – като програмата за разширена защита на Google – могат да ви предпазят от това.