Κλειδιά ασφαλείας Google Titan

Συνιστούμε κλειδιά ασφαλείας υλικού όπως το Yubico's YubiKeys και το κλειδί ασφαλείας Titan της Google. Αλλά και οι δύο κατασκευαστές έχουν ανακαλέσει πρόσφατα κλειδιά λόγω ελαττωμάτων υλικού και αυτό ακούγεται λίγο ανησυχητικό. Ποιο είναι το πρόβλημα? Είναι ακόμα αυτά τα κλειδιά ασφαλή;

Τι είναι τα κλειδιά ασφαλείας υλικού;

Τα κλειδιά φυσικής ασφάλειας, όπως το κλειδί ασφαλείας Titan της Google και τα YubiKeys του Yubico χρησιμοποιούν το πρότυπο WebAuthn, το διάδοχο του U2F, για την προστασία των λογαριασμών σας. Λειτουργούν ως ένας άλλος τύπος ελέγχου ταυτότητας δύο παραγόντων: Αντί για έναν κωδικό που πληκτρολογείτε, είναι ένα κλειδί φυσικής ασφάλειας που εισάγετε σε μια θύρα USB ή μπορεί να επικοινωνεί ασύρματα μέσω NFC (επικοινωνία κοντινού πεδίου) ή Bluetooth.

Μπορείτε να χρησιμοποιήσετε το κλειδί σας ως διακριτικό ασφαλείας υλικού για να συνδεθείτε σε λογαριασμούς όπως οι λογαριασμοί σας Google, Facebook, Dropbox και GitHub. Με το προαιρετικό πρόγραμμα Advanced Protection της Google, μπορείτε ακόμη και να απαιτήσετε ένα φυσικό κλειδί ασφαλείας για να συνδεθείτε στον λογαριασμό σας.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς να ασφαλίσετε τους λογαριασμούς σας με ένα κλειδί U2F ή YubiKey

Γιατί η Google και η Yubico έχουν ανακαλέσει τα κλειδιά;

Πλήκτρα Yubico FIPS

Τόσο η Yubico όσο και η Google ήταν πρόσφατα στα νέα. Ο καθένας έπρεπε να ανακαλέσει ορισμένα κλειδιά ασφαλείας λόγω ελαττωμάτων υλικού.

Το ζήτημα της Yubico επηρεάζει μόνο τις συσκευές της σειράς YubiKey FIPS - όχι τις καταναλωτικές συσκευές. Όπως εξηγεί η συμβουλή ασφαλείας του Yubico, αυτά τα κλειδιά έχουν ανεπαρκή τυχαιότητα μετά την ενεργοποίηση της συσκευής, γεγονός που θα μπορούσε να κάνει την κρυπτογράφηση τους ευάλωτη. Αυτές οι συσκευές προορίζονται μόνο για κυβερνητικές υπηρεσίες και εργολάβους. Δεν συνιστούμε το FIPS, εκτός εάν απαιτείται από το νόμο να το χρησιμοποιήσετε. Η Yubico δεν γνωρίζει τυχόν επιθέσεις που το έχουν κάνει κατάχρηση, αλλά η εταιρεία αντικαθιστά προληπτικά τις επηρεαζόμενες συσκευές.

Το πρόβλημα Titan Security Key της Google, το οποίο οδήγησε σε ανάκληση και αντικατάσταση των πλήκτρων που επηρεάστηκαν, ήταν χειρότερο. Η έκδοση Bluetooth του κλειδιού ασφαλείας Titan, η οποία χρησιμοποιεί Bluetooth χαμηλής ενέργειας για ασύρματη επικοινωνία, ήταν ευάλωτη σε επίθεση λόγω αυτού που η Google ονόμασε «εσφαλμένη διαμόρφωση». Ένας εισβολέας σε απόσταση 30 μέτρων από κάποιον που χρησιμοποιεί ένα κλειδί ασφαλείας για να συνδεθεί θα μπορούσε να εκμεταλλευτεί το ελάττωμα για να συνδεθεί στον λογαριασμό του. Εναλλακτικά, ο εισβολέας θα μπορούσε να εξαπατήσει τον υπολογιστή του ατόμου να ζευγαρώσει με διαφορετικό dongle Bluetooth και όχι με το κλειδί ασφαλείας. Η ευπάθεια επηρεάζει επίσης τα κλειδιά ασφαλείας του Feitan - η Feitan είναι η εταιρεία που κατασκευάζει τα κλειδιά Titan για το Google.

Η Microsoft κυκλοφόρησε επίσης μια ενημέρωση των Windows που θα αποτρέψει την αντιστοίχιση αυτών των ευπαθών κλειδιών Google Titan και Feitan με τα Windows 10 και τα Windows 8.1 μέσω Bluetooth.

Η Yubico δεν προσέφερε ποτέ κλειδί Bluetooth. Όταν η Google ανακοίνωσε το κλειδί Titan, η Yubico είπε ότι είχε προηγουμένως διερευνήσει την κυκλοφορία του δικού της κλειδιού Bluetooth χαμηλής ενέργειας (BLE), αλλά ότι «η BLE δεν παρέχει τα επίπεδα ασφάλειας NFC και USB.» Οι αγώνες της Google δικαιολογούν φαινομενικά την προσέγγιση της Yubico να εστιάζει σε USB και NFC και όχι στο Bluetooth.

Τόσο η Google όσο και η Yubico υπενθύμισαν και αντικατέστησαν τα επηρεαζόμενα κλειδιά δωρεάν.

Εξακολουθούμε να προτείνουμε αυτά τα κλειδιά;

Παρά τα ελαττώματα και τις υπενθυμίσεις, εξακολουθούμε να προτείνουμε φυσικά κλειδιά ασφαλείας. Η Yubico αντιμετώπισε ένα πρόβλημα με τυχαιότητα σε μια σειρά προϊόντων ειδικά για την κυβέρνηση και το αντικατέστησε. Η Google αντιμετώπισε πρόβλημα με το Bluetooth, αλλά ακόμη και αυτό το πρόβλημα μπορούσε να αξιοποιηθεί μόνο από επιτιθέμενους σε απόσταση 30 μέτρων από εσάς. Ακόμη και ένα ελαττωματικό κλειδί Bluetooth Titan σίγουρα σας προστάτευε από απομακρυσμένους εισβολείς.

Αυτά τα κλειδιά εξακολουθούν να πληρούν υψηλά πρότυπα ασφαλείας. Το γεγονός ότι τόσο η Yubico όσο και η Google αποκαλύπτουν προληπτικά ελαττώματα και προσφέρουν δωρεάν αντικατάσταση υλικού που επηρεάζεται είναι ενθαρρυντικό. Τα προβλήματα δεν επηρέασαν ποτέ κανένα τυπικό κλειδί ασφαλείας που βασίζεται σε USB ή NFC για τους τακτικούς καταναλωτές.

Το μεγαλύτερο πρόβλημα με αυτά τα κλειδιά είναι το πρόβλημα με τον έλεγχο ταυτότητας δύο παραγόντων. Με τις περισσότερες διαδικτυακές υπηρεσίες, μπορείτε απλά να χρησιμοποιήσετε μια λιγότερο ασφαλή μέθοδο όπως SMS για να καταργήσετε το κλειδί ασφαλείας. Ένας εισβολέας που απέρριψε μια απάτη θύρας τηλεφώνου θα μπορούσε να αποκτήσει πρόσβαση στον λογαριασμό σας ακόμα κι αν έχετε συνημμένο ένα φυσικό κλειδί. Μόνο υπηρεσίες πολύ υψηλής ασφάλειας - όπως το πρόγραμμα Προστασίας Προστασίας της Google - μπορούν να σας προστατεύσουν από αυτό.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί το χρειάζομαι;