Συνιστούμε κλειδιά ασφαλείας υλικού όπως YubiKeys της Yubico και Κλειδί ασφαλείας Titan της Google. Αλλά και οι δύο κατασκευαστές έχουν ανακαλέσει πρόσφατα κλειδιά λόγω ελαττωμάτων υλικού και αυτό ακούγεται λίγο ανησυχητικό. Ποιο είναι το πρόβλημα? Είναι ακόμα ασφαλή αυτά τα κλειδιά;
Πίνακας περιεχομένων
Τι είναι τα κλειδιά ασφαλείας υλικού;
Φυσικά κλειδιά ασφαλείας, όπως το κλειδί ασφαλείας Titan της Google και το YubiKeys της Yubico, χρησιμοποιούν το πρότυπο WebAuthn, το διάδοχο του U2F, για να βοηθήσουν στην προστασία των λογαριασμών σας. Λειτουργούν ως ένας άλλος τύπος ελέγχου ταυτότητας δύο παραγόντων: Αντί για κωδικό που πληκτρολογείτε, είναι ένα φυσικό κλειδί ασφαλείας που εισάγετε σε μια θύρα USB—ή μπορεί να επικοινωνεί ασύρματα μέσω NFC (επικοινωνία κοντινού πεδίου) ή Bluetooth.
Μπορείτε να χρησιμοποιήσετε το κλειδί σας ως διακριτικό ασφαλείας υλικού για να συνδεθείτε σε λογαριασμούς όπως οι λογαριασμοί σας Google, Facebook, Dropbox και GitHub. Με το προαιρετικό πρόγραμμα Σύνθετης Προστασίας της Google, μπορείτε ακόμη και να ζητήσετε ένα φυσικό κλειδί ασφαλείας για να συνδεθείτε στο λογαριασμό σας.
Γιατί έχουν ανακαλέσει κλειδιά η Google και η Yubico;
Τόσο η Yubico όσο και η Google ήταν στις ειδήσεις τον τελευταίο καιρό. Καθένας χρειάστηκε να ανακαλέσει ορισμένα κλειδιά ασφαλείας λόγω ελαττωμάτων υλικού.
Το ζήτημα του Yubico επηρεάζει μόνο τις συσκευές της σειράς FIPS YubiKey—όχι οποιεσδήποτε συσκευές καταναλωτών. Οπως και Συμβουλή ασφαλείας της Yubico εξηγεί, αυτά τα κλειδιά έχουν ανεπαρκή τυχαιότητα μετά την ενεργοποίηση της συσκευής, γεγονός που θα μπορούσε να καταστήσει την κρυπτογράφηση ευάλωτη. Αυτές οι συσκευές προορίζονται μόνο για κρατικούς φορείς και εργολάβους—δεν συνιστούμε το FIPS εκτός εάν απαιτείται νομικά να το χρησιμοποιήσετε. Η Yubico δεν γνωρίζει τυχόν επιθέσεις που έχουν κάνει κατάχρηση, αλλά η εταιρεία αντικαθιστά προληπτικά συσκευές που επηρεάζονται.
Το πρόβλημα του κλειδιού ασφαλείας Titan της Google, το οποίο οδήγησε σε ανάκληση και αντικατάσταση κλειδιών που επηρεάστηκαν, ήταν χειρότερο. Η έκδοση Bluetooth του κλειδιού ασφαλείας Titan, η οποία χρησιμοποιεί Bluetooth Low Energy για ασύρματη επικοινωνία, ήταν ευάλωτη σε επιθέσεις λόγω αυτού που η Google αποκάλεσε “εσφαλμένη διαμόρφωση.» Ένας εισβολέας σε απόσταση 30 ποδιών από κάποιον που χρησιμοποιεί κλειδί ασφαλείας για να συνδεθεί θα μπορούσε να εκμεταλλευτεί το ελάττωμα για να συνδεθεί στον λογαριασμό του. Εναλλακτικά, ο εισβολέας θα μπορούσε να ξεγελάσει τον υπολογιστή του ατόμου για να αντιστοιχίσει ένα διαφορετικό dongle Bluetooth και όχι με το κλειδί ασφαλείας. Η ευπάθεια επηρεάζει επίσης τα κλειδιά ασφαλείας Feitan—Η Feitan είναι η εταιρεία που κατασκευάζει τα κλειδιά Titan για την Google.
Η Microsoft έχει επίσης αναπτύξει ένα Ενημερωμένη έκδοση για Windows που θα αποτρέψει τη σύζευξη αυτών των ευάλωτων κλειδιών Google Titan και Feitan με τα Windows 10 και τα Windows 8.1 μέσω Bluetooth.
Η Yubico δεν προσέφερε ποτέ κλειδί Bluetooth. Όταν η Google ανακοίνωσε το κλειδί Titan, Yubico είπε ότι είχε εξερευνήσει προηγουμένως την κυκλοφορία του δικού της κλειδιού Bluetooth χαμηλής ενέργειας (BLE), αλλά ότι «το BLE δεν παρέχει τα επίπεδα διασφάλισης ασφάλειας του NFC και του USB». Οι αγώνες της Google φαινομενικά δικαίωσαν την προσέγγιση της Yubico να εστιάζει στο USB και το NFC αντί στο Bluetooth.
Τόσο η Google όσο και η Yubico ανακάλεσαν και αντικατέστησαν τα επηρεαζόμενα κλειδιά δωρεάν.
Συνιστούμε ακόμα αυτά τα κλειδιά;
Παρά τις ατέλειες και τις ανακλήσεις, εξακολουθούμε να συνιστούμε φυσικά κλειδιά ασφαλείας. Η Yubico αντιμετώπισε ένα πρόβλημα με την τυχαιότητα σε μία σειρά προϊόντων ειδικά για την κυβέρνηση και την αντικατέστησε. Η Google αντιμετώπισε προβλήματα με το Bluetooth, αλλά ακόμη και αυτό το πρόβλημα θα μπορούσε να το εκμεταλλευτούν μόνο εισβολείς σε απόσταση 30 ποδιών από εσάς. Ακόμη και ένα ελαττωματικό κλειδί Bluetooth Titan σίγουρα σας προστάτευε από απομακρυσμένους εισβολείς.
Αυτά τα κλειδιά εξακολουθούν να πληρούν υψηλά πρότυπα ασφάλειας. Το γεγονός ότι τόσο η Yubico όσο και η Google αποκαλύπτουν προληπτικά ελαττώματα και προσφέρουν δωρεάν αντικαταστάσεις του επηρεαζόμενου υλικού είναι ενθαρρυντικό. Τα προβλήματα δεν επηρέασαν ποτέ κανένα τυπικό κλειδί ασφαλείας που βασίζεται σε USB ή NFC για τακτικούς καταναλωτές.
Το μεγαλύτερο πρόβλημα με αυτά τα κλειδιά είναι το πρόβλημα με όλους τους ελέγχους ταυτότητας δύο παραγόντων. Με τις περισσότερες διαδικτυακές υπηρεσίες, μπορείτε απλώς να χρησιμοποιήσετε μια λιγότερο ασφαλή μέθοδο όπως το SMS για να αφαιρέσετε το κλειδί ασφαλείας. Ένας εισβολέας που έκανε μια απάτη μέσω θύρας τηλεφώνου θα μπορούσε να αποκτήσει πρόσβαση στον λογαριασμό σας ακόμα κι αν έχετε συνδεδεμένο ένα φυσικό κλειδί. Μόνο υπηρεσίες πολύ υψηλής ασφάλειας—όπως το πρόγραμμα Προηγμένης Προστασίας της Google—μπορούν να σας προστατεύσουν από αυτό.