Апаратні ключі безпеки постійно відкликаються; Чи безпечні вони?

Ми рекомендуємо апаратні ключі безпеки, наприклад Yubico’s YubiKeys і Ключ безпеки Titan від Google. Але обидва виробники нещодавно відкликали ключі через апаратні недоліки, і це звучить трохи тривожно. В чому проблема? Ці ключі ще в безпеці?

Що таке апаратні ключі безпеки?

Фізичні ключі безпеки, як-от Google Titan Security Key і YubiKeys від Yubico, використовують стандарт WebAuthn, наступник U2F, для захисту ваших облікових записів. Вони функціонують як інший тип двофакторної аутентифікації: замість коду, який ви вводите, це фізичний ключ безпеки, який ви вставляєте в USB-порт, або він може спілкуватися бездротовим способом через NFC (зв’язок ближнього поля) або Bluetooth.

Ви можете використовувати свій ключ як апаратний маркер безпеки для входу в облікові записи, як-от Google, Facebook, Dropbox і GitHub. За допомогою додаткової програми додаткового захисту від Google ви навіть можете вимагати фізичного ключа безпеки для входу у свій обліковий запис.

Чому Google і Yubico відкликали ключі?

Останнім часом і Yubico, і Google були в новинах. Кожному довелося відкликати деякі ключі безпеки через дефекти обладнання.

Проблема Yubico стосується лише пристроїв серії YubiKey FIPS, а не споживчих пристроїв. Як Консультація з безпеки Юбіко пояснює, ці ключі мають недостатню випадковість після включення пристрою, що може зробити їхнє шифрування вразливим. Ці пристрої призначені лише для державних установ і підрядників — ми не рекомендуємо FIPS, якщо ви не зобов’язані ним користуватися. Yubico не знає про жодні атаки, які б зловживали цим, але компанія активно замінює уражені пристрої.

Проблема ключа безпеки Titan від Google, яка призвела до відкликання та заміни уражених ключів, була гіршою. Версія Bluetooth ключа безпеки Titan, яка використовує Bluetooth Low Energy для бездротового зв’язку, була вразлива для атак через те, що Google назвав «неправильна конфігурація». Зловмисник у радіусі 30 футів від того, хто використовує ключ безпеки для входу, може скористатись недоліком, щоб увійти у свій обліковий запис. Або зловмисник може обманом підключити комп’ютер користувача до іншого ключа Bluetooth, а не ключа безпеки. Уразливість також впливає на ключі безпеки Feitan — Feitan є компанією, що виробляє ключі Titan для Google.

Microsoft також випустила a Оновлення Windows це не дозволить цим вразливим ключам Google Titan і Feitan з’єднатися з Windows 10 і Windows 8.1 через Bluetooth.

Yubico ніколи не пропонував ключ Bluetooth. Коли Google оголосив про свій ключ Титан, Юбіко сказав, що раніше розглядав можливість запуску власного ключа Bluetooth Low Energy (BLE), але що «BLE не забезпечує рівні гарантії безпеки NFC та USB». Труднощі Google, здавалося б, підтвердили підхід Yubico щодо зосередження уваги на USB та NFC, а не на Bluetooth.

І Google, і Yubico безкоштовно відкликали та замінили пошкоджені ключі.

Ми все ще рекомендуємо ці ключі?

Незважаючи на недоліки та відкликання, ми все ще рекомендуємо фізичні ключі безпеки. Yubico зіткнувся з проблемою випадковості в одній лінійці продуктів спеціально для уряду і замінив її. Google зіткнувся з проблемою Bluetooth, але навіть цією проблемою могли скористатися лише зловмисники в межах 30 футів від вас. Навіть дефектний ключ Bluetooth Titan точно захистив вас від віддалених зловмисників.

Ці ключі досі відповідають високим стандартам безпеки. Той факт, що і Yubico, і Google активно розкривають недоліки та пропонують безкоштовну заміну пошкодженого обладнання, є обнадійливим. Проблеми ніколи не торкнулися жодних стандартних ключів безпеки на основі USB або NFC для звичайних споживачів.

Найбільшою проблемою цих ключів є проблема з усією двофакторною аутентифікацією. У більшості онлайн-сервісів ви можете просто використовувати менш безпечний метод, як-от SMS, щоб видалити ключ безпеки. Зловмисник, який здійснив шахрайство з портуванням телефону, може отримати доступ до вашого облікового запису, навіть якщо до вас приєднано фізичний ключ. Лише служби високого рівня безпеки, як-от програма додаткового захисту Google, можуть захистити вас від цього.