Chaves de Segurança de Hardware Continuam Sendo Lembradas; Eles são seguros?

Recomendamos chaves de segurança de hardware, como as YubiKeys de Yubico e a Chave de segurança Titan do Google. Mas ambos os fabricantes recentemente lembraram chaves devido a falhas de hardware, e isso parece um pouco preocupante. Qual é o problema? Essas chaves ainda são seguras?

O que são chaves de segurança de hardware?

Chaves de segurança física, como a Chave de segurança Titan do Google, e as YubiKeys do Yubico usam o padrão WebAuthn, o sucessor do U2F, para ajudar a proteger suas contas. Eles funcionam como outro tipo de autenticação de dois fatores: em vez de um código digitado, é uma chave de segurança física inserida em uma porta USB - ou pode se comunicar sem fio via NFC (comunicação de campo próximo) ou Bluetooth.

Você pode usar sua chave como um token de segurança de hardware para fazer login em contas como suas contas do Google, Facebook, Dropbox e GitHub. Com o programa de proteção avançada opcional do Google, você pode até mesmo exigir uma chave de segurança física para fazer login na sua conta.

RELACIONADO: Como proteger suas contas com uma chave U2F ou YubiKey

Google e Yubico recuperaram as chaves?

O Yubico e o Google estão nos noticiários ultimamente. Cada um precisou se lembrar de algumas chaves de segurança devido a falhas de hardware.

O problema do Yubico afeta apenas os dispositivos YubiKey FIPS Series, não os dispositivos do consumidor. Como explica o comunicado de segurança de Yubico, essas chaves têm aleatoriedade insuficiente após a inicialização do dispositivo, o que pode tornar sua criptografia vulnerável. Esses dispositivos são apenas para agências governamentais e contratados. Não recomendamos o FIPS, a menos que você seja legalmente obrigado a usá-lo. Yubico não tem conhecimento de ataques que abusaram disso, mas a empresa está substituindo de forma proativa os dispositivos afetados.

O problema da chave de segurança do Google Titan, que levou à retirada e substituição de chaves afetadas, foi pior. A versão Bluetooth da Titan Security Key, que usa Bluetooth Low Energy para se comunicar sem fio, era vulnerável a ataques devido ao que o Google chama de "configuração incorreta". Um invasor a 30 pés de alguém usando uma chave de segurança pode explorar a falha para entrar em sua conta. Ou o invasor pode enganar o computador da pessoa para que ela emparelhe com um dongle diferente do Bluetooth em vez da chave de segurança. A vulnerabilidade também afeta as chaves de segurança da Feitan - a Feitan é a empresa que fabrica as chaves Titan para o Google.

A Microsoft também lançou uma atualização do Windows que impedirá que essas vulneráveis ​​chaves do Google Titan e Feitan se unam ao Windows 10 e Windows 8.1 via Bluetooth.

Yubico nunca ofereceu uma chave Bluetooth. Quando o Google anunciou sua chave Titan, Yubico disse que já havia explorado o lançamento de sua própria chave Bluetooth Low Energy (BLE), mas que "o BLE não fornece os níveis de garantia de NFC e USB". As lutas do Google aparentemente justificaram a abordagem de Yubico USB e NFC em vez de Bluetooth.

Tanto o Google quanto o Yubico recuperaram e substituíram as chaves afetadas gratuitamente.

Ainda recomendamos essas chaves?

Apesar das falhas e recalls, ainda recomendamos chaves de segurança físicas. Yubico experimentou um problema com aleatoriedade em uma linha de produtos especificamente para o governo e substituiu-o. O Google teve problemas com o Bluetooth, mas mesmo esse problema só pode ser explorado por invasores a menos de nove metros de você. Até mesmo uma chave Bluetooth Titan com defeito protegeu você de ataques remotos.

Essas teclas ainda atendem a altos padrões de segurança. O fato de que Yubico e o Google estejam divulgando falhas de maneira proativa e oferecendo substituições gratuitas de hardware afetado é encorajador. Os problemas nunca afetaram nenhuma chave de segurança padrão baseada em USB ou NFC para consumidores comuns.

O maior problema com essas chaves é o problema com a autenticação de dois fatores. Com a maioria dos serviços on-line, você pode simplesmente usar um método menos seguro, como o SMS, para remover a chave de segurança. Um invasor que obteve um golpe de port-out de telefone pode obter acesso à sua conta mesmo que você tenha uma chave física anexada. Somente serviços de segurança muito alta, como o programa de proteção avançada do Google, podem protegê-lo contra isso. RELACIONADO: O que é autenticação de dois fatores e por que preciso disso?

PRÓXIMO & rsaquo; O Google Drive e as fotos estão divididas: o que você precisa saber & rsaquo; Por que o iOS 13 me faz querer um iPhone & rsaquo; Como filmar com sua própria tela verde usando seu iPhone & rsaquo; Como criar e instalar chaves SSH no shell do Linux & rsaquo; Você pode desfazer enviar no Outlook, assim como o Gmail

Via: How to Geek