Препоручујемо хардверске безбедносне кључеве као што су Иубицо’с ИубиКеис и Гоогле-ов Титан безбедносни кључ. Али оба произвођача су недавно повукла кључеве због хардверских недостатака, и то звучи помало забрињавајуће. У чему је проблем? Да ли су ови кључеви још сигурни?
Преглед садржаја
Шта су хардверски безбедносни кључеви?
Физички безбедносни кључеви као што су Гоогле-ов Титан безбедносни кључ и Иубицо-ов ИубиКеис користе ВебАутхн стандард, наследник У2Ф-а, како би заштитили ваше налоге. Они функционишу као још један тип двофакторске аутентификације: уместо кода који унесете, то је физички безбедносни кључ који убацујете у УСБ порт — или може да комуницира бежично путем НФЦ-а (комуникација блиског поља) или Блуетоотх-а.
Можете да користите свој кључ као хардверски безбедносни токен за пријаву на налоге као што су Гоогле, Фацебоок, Дропбок и ГитХуб налози. Уз Гоогле-ов опциони програм напредне заштите, чак можете да захтевате физички безбедносни кључ да бисте се пријавили на налог.
Зашто су Гоогле и Иубицо опозвали кључеве?
И Иубицо и Гоогле су у последње време у вестима. Свако је морао да опозове неке безбедносне кључеве због хардверских недостатака.
Иубицо-ов проблем утиче само на уређаје серије ИубиКеи ФИПС — не на било које потрошачке уређаје. Као што Иубицо-ов саветник за безбедност објашњава, ови кључеви немају довољну насумичност након укључивања уређаја, што би њихово шифровање могло учинити рањивим. Ови уређаји су само за владине агенције и извођаче – не препоручујемо ФИПС осим ако сте законски обавезни да га користите. Иубицо није упознат са нападима који су ово злоупотребили, али компанија проактивно замењује погођене уређаје.
Гоогле-ов проблем са сигурносним кључем Титан, који је довео до опозива и замене захваћених кључева, био је још гори. Блуетоотх верзија Титан безбедносног кључа, која користи Блуетоотх Лов Енерги за бежичну комуникацију, била је подложна нападима због онога што је Гоогле назвао „погрешна конфигурација.” Нападач у кругу од 30 стопа од некога ко користи безбедносни кључ за пријаву могао би да искористи грешку да се пријави на свој налог. Или, нападач може преварити рачунар особе да упари са другим Блуетоотх кључем уместо безбедносним кључем. Рањивост такође утиче на Феитан безбедносне кључеве—Феитан је компанија која производи Титан кључеве за Гоогле.
Мицрософт је такође представио а Виндовс ажурирање то ће спречити ове рањиве тастере Гоогле Титан и Феитан да се упаре са Виндовс 10 и Виндовс 8.1 преко Блуетоотх-а.
Иубицо никада није понудио Блуетоотх кључ. Када је Гоогле објавио свој кључ Титан, Иубицо је рекао да је раније истраживао лансирање сопственог Блуетоотх кључа са ниском потрошњом енергије (БЛЕ), али да „БЛЕ не пружа нивое сигурности НФЦ-а и УСБ-а“. Гуглове борбе су наизглед потврдиле Иубицоов приступ фокусирању на УСБ и НФЦ уместо на Блуетоотх.
И Гоогле и Иубицо су бесплатно повукли и заменили оштећене кључеве.
Да ли још увек препоручујемо ове кључеве?
Упркос недостацима и опозивима, и даље препоручујемо физичке безбедносне кључеве. Иубицо је доживео проблем са насумичношћу у једној линији производа посебно за владу и заменио га. Гоогле је наишао на проблеме са Блуетоотх-ом, али чак и тај проблем могу да искористе само нападачи на удаљености од 30 стопа од вас. Чак вас је и неисправан Блуетоотх Титан кључ дефинитивно заштитио од удаљених нападача.
Ови кључеви и даље испуњавају високе стандарде безбедности. Чињеница да и Иубицо и Гоогле проактивно откривају недостатке и нуде бесплатне замене захваћеног хардвера је охрабрујућа. Проблеми никада нису утицали на стандардне УСБ или НФЦ сигурносне кључеве за обичне потрошаче.
Највећи проблем са овим кључевима је проблем са свим двофакторским аутентификацијом. Код већине онлајн услуга можете једноставно користити мање безбедан метод као што је СМС да бисте уклонили безбедносни кључ. Нападач који је извео превару са порт-оутом телефона могао би да добије приступ вашем налогу чак и ако имате приложен физички кључ. Само високобезбедне услуге — попут Гоогле-овог програма напредне заштите — могу да вас заштите од тога.