Hardveres biztonsági kulcsokat ajánlunk, mint pl Yubico YubiKeys és A Google Titan biztonsági kulcsa. De mindkét gyártó nemrégiben visszahívta a kulcsokat hardverhibák miatt, és ez kissé aggasztónak tűnik. Mi a baj? Biztonságban vannak még ezek a kulcsok?
Tartalomjegyzék
Mik azok a hardveres biztonsági kulcsok?
Az olyan fizikai biztonsági kulcsok, mint a Google Titan biztonsági kulcsa és a Yubico YubiKeys-ei, a WebAuthn szabványt, az U2F utódját használják fiókjai védelmében. A kéttényezős hitelesítés egy másik típusaként működnek: a beírt kód helyett ez egy fizikai biztonsági kulcs, amelyet egy USB-portba helyezünk – vagy vezeték nélkül kommunikálhat NFC-n (közeli hatótávolságú kommunikáció) vagy Bluetooth-on keresztül.
Kulcsát hardveres biztonsági tokenként használhatja olyan fiókokba való bejelentkezéshez, mint a Google-, Facebook-, Dropbox- és GitHub-fiókok. A Google opcionális Speciális védelem programjával akár fizikai biztonsági kulcsra is szükség lehet a fiókjába való bejelentkezéshez.
Miért hívta vissza a Google és a Yubico a kulcsokat?
Yubico és a Google is szerepelt a hírekben az utóbbi időben. Mindegyiknek vissza kellett hívnia néhány biztonsági kulcsot hardverhibák miatt.
A Yubico problémája csak a YubiKey FIPS sorozatú eszközöket érinti, a fogyasztói eszközöket nem. Mint Yubico biztonsági tanácsa kifejti, ezek a kulcsok nem rendelkeznek kellő véletlenszerűséggel az eszköz bekapcsolása után, ami sebezhetővé teheti a titkosításukat. Ezeket az eszközöket csak kormányzati szervek és vállalkozók használhatják – a FIPS használatát nem ajánljuk, hacsak nem törvény kötelezi a használatát. A Yubico nem tud olyan támadásokról, amelyek visszaéltek ezzel, de a vállalat proaktívan lecseréli az érintett eszközöket.
A Google Titan biztonsági kulcsának problémája, amely az érintett kulcsok visszahívásához és cseréjéhez vezetett, még rosszabb volt. A Titan biztonsági kulcs Bluetooth-verziója, amely Bluetooth Low Energy-t használ a vezeték nélküli kommunikációhoz, sebezhető volt a támadásokkal szemben a Google által „rossz konfiguráció.” A biztonsági kulcsot használó támadó 30 méteres körzetén belül kihasználhatja a hibát a fiókjába való bejelentkezéshez. Vagy a támadó ráveheti a személy számítógépét, hogy a biztonsági kulcs helyett egy másik Bluetooth-kulcsot hozzon létre. A sérülékenység a Feitan biztonsági kulcsait is érinti – a Feitan a Google számára a Titan kulcsokat gyártó cég.
A Microsoft ki is dobta a Windows Update amely megakadályozza, hogy ezek a sebezhető Google Titan és Feitan kulcsok Bluetoothon keresztül párosuljanak a Windows 10 és a Windows 8.1 rendszerrel.
Yubico soha nem ajánlott fel Bluetooth kulcsot. Amikor a Google bejelentette a Titan kulcsát, Yubico azt mondta, hogy korábban megvizsgálta saját Bluetooth Low Energy (BLE) kulcsának elindítását, de „a BLE nem biztosítja az NFC és az USB biztonsági szintjeit”. A Google küzdelmei látszólag igazolták Yubico megközelítését, amely az USB-re és az NFC-re összpontosít a Bluetooth helyett.
A Google és a Yubico is ingyenesen visszahívta és kicserélte az érintett kulcsokat.
Még mindig ajánljuk ezeket a kulcsokat?
A hibák és a visszahívások ellenére továbbra is javasoljuk a fizikai biztonsági kulcsok használatát. A Yubico véletlenszerűségi problémát tapasztalt egy kifejezetten a kormánynak szánt termékcsaládban, és kicserélte. A Google-nak gondjai támadtak a Bluetooth-szal, de ezt a problémát is csak az Öntől 30 méteren belüli támadók tudták kihasználni. Még egy hibás Bluetooth Titan kulcs is határozottan megvédte Önt a távoli támadóktól.
Ezek a kulcsok továbbra is megfelelnek a magas szintű biztonsági követelményeknek. Biztató az a tény, hogy a Yubico és a Google is proaktívan feltárja a hibákat, és ingyenes cserét kínál az érintett hardverekhez. A problémák soha nem érintették a hagyományos fogyasztók szabványos USB- vagy NFC-alapú biztonsági kulcsait.
Ezekkel a kulcsokkal a legnagyobb probléma a kéttényezős hitelesítés problémája. A legtöbb online szolgáltatásnál egyszerűen használhat egy kevésbé biztonságos módszert, például SMS-t a biztonsági kulcs eltávolításához. Egy támadó, aki egy telefonkihelyezési csalást hajtott végre, akkor is hozzáférhet fiókjához, ha fizikai kulcsot csatolt hozzá. Ez ellen csak a nagyon magas szintű biztonsági szolgáltatások – például a Google Speciális védelem programja – képesek megvédeni.