Для посилення захисту облікових записів ми радимо використовувати апаратні ключі безпеки, такі як YubiKeys від Yubico і Titan Security Key від Google. Проте, недавні відкликання цих пристроїв через виявлені апаратні дефекти викликають певне занепокоєння. Тож, в чому саме полягає проблема? Чи є ці ключі все ще надійними?
Що ж являють собою апаратні ключі безпеки?
Апаратні ключі, наприклад, Google Titan Security Key та YubiKeys від Yubico, застосовують стандарт WebAuthn, наступника U2F, для гарантування безпеки ваших облікових записів. Вони діють як окремий метод двофакторної автентифікації. Замість введення коду, ви використовуєте фізичний ключ, який підключаєте через USB, або він взаємодіє бездротовим шляхом через NFC (зв’язок ближнього поля) чи Bluetooth.
Ви можете використовувати свій ключ як апаратний ідентифікатор для авторизації в таких сервісах, як Google, Facebook, Dropbox та GitHub. Завдяки програмі додаткового захисту від Google, можна навіть встановити обов’язкове застосування фізичного ключа безпеки для входу у свій обліковий запис.
Чому Google і Yubico відкликали свої ключі?
Останнім часом компанії Yubico та Google опинились в центрі уваги через відкликання деяких партій своїх ключів безпеки внаслідок виявлення дефектів апаратного забезпечення.
Проблема Yubico стосується лише пристроїв серії YubiKey FIPS, а не споживчих моделей. Згідно з повідомленням Yubico про безпеку, ці ключі мають недостатній рівень випадковості після запуску, що може зробити їхнє шифрування вразливим. Ці пристрої орієнтовані на державні установи та підрядників, і використання FIPS не є обов’язковим для звичайних користувачів. Yubico зазначає, що наразі немає відомостей про атаки, що використовували цю вразливість, проте компанія активно займається заміною дефектних пристроїв.
Ситуація з ключами безпеки Titan від Google, що призвела до відкликання та заміни, була серйознішою. Bluetooth-версія ключа Titan, що використовує Bluetooth Low Energy для бездротового зв’язку, виявилася вразливою через “неправильну конфігурацію”, як заявила Google. Зловмисник у радіусі близько 10 метрів від користувача міг перехопити сигнал для входу в обліковий запис або підмінити з’єднання з комп’ютером користувача, підключивши його до іншого Bluetooth-ключа. Ця вразливість також торкнулася ключів безпеки Feitan, оскільки саме Feitan виробляє ключі Titan для Google.
Microsoft також випустила оновлення для Windows, що блокує підключення цих вразливих ключів Google Titan і Feitan до Windows 10 та Windows 8.1 через Bluetooth.
Yubico ніколи не пропонувала ключів Bluetooth. Коли Google представила свій ключ Titan, Yubico заявила, що раніше розглядала випуск власного ключа Bluetooth Low Energy (BLE), однак “BLE не гарантує такий рівень безпеки, як NFC та USB”. Проблеми Google, здається, підтвердили правильність підходу Yubico, що робить акцент на USB та NFC, а не на Bluetooth.
І Google, і Yubico провели безкоштовне відкликання та заміну дефектних ключів.
Чи варто все ще використовувати ці ключі?
Незважаючи на виявлені недоліки та відкликання, ми продовжуємо рекомендувати застосування фізичних ключів безпеки. Yubico зіткнулася з проблемою випадковості в окремій лінійці продуктів, розробленій для державних установ, і оперативно її виправила. Проблема Google стосувалася Bluetooth, однак навіть у цьому випадку зловмисники могли скористатися нею лише в радіусі 10 метрів від користувача. Навіть дефектний Bluetooth-ключ Titan гарантував захист від віддалених зловмисників.
Ці ключі й досі відповідають високим стандартам безпеки. Той факт, що і Yubico, і Google активно інформують про виявлені недоліки та пропонують безкоштовну заміну дефектних пристроїв, є позитивним сигналом. Ці проблеми не торкнулися жодних стандартних ключів безпеки для звичайних користувачів, що використовують USB або NFC.
Найбільшою проблемою цих ключів є загальна проблема двофакторної автентифікації. Більшість онлайн-сервісів дозволяють використовувати менш безпечний метод, наприклад SMS, для скасування використання ключа безпеки. Зловмисник, що застосовує шахрайство з портуванням телефонного номера, може отримати доступ до вашого облікового запису, навіть якщо у вас є фізичний ключ. Лише служби з підвищеним рівнем безпеки, як-от програма додаткового захисту Google, можуть забезпечити надійний захист у таких випадках.