硬件安全密钥继续召回;他们安全吗?

谷歌泰坦安全密钥卡梅伦萨默森

我们推荐硬件安全密钥,如Yubico的YubiKeys和Google的Titan Security Key。但是由于硬件缺陷,两家制造商最近都召回了密钥,这听起来有点令人担忧。有什么问题?这些钥匙还安全吗?

什么是硬件安全密钥?

Google的Titan Security Key和Yubico的YubiKeys等物理安全密钥使用WebAuthn标准(U2F的继承者)来帮助保护您的帐户。它们可以作为另一种双因素身份验证:它不是您键入的代码,而是插入USB端口的物理安全密钥 – 或者它可以通过NFC(近场通信)或蓝牙进行无线通信。

您可以使用密钥作为硬件安全令牌来登录Google,Facebook,Dropbox和GitHub帐户等帐户。借助Google的可选高级保护计划,您甚至可以要求使用物理安全密钥登录您的帐户。

有关: 如何使用U2F密钥或YubiKey保护您的帐户

为什么Google和Yubico会召回密钥?

Yubico FIPS键Yubico

Yubico和谷歌最近都在新闻中。由于硬件缺陷,每个人都必须回忆一些安全密钥。

Yubico的问题仅影响YubiKey FIPS系列设备 – 而不是任何消费设备。正如Yubico的安全公告所解释的那样,这些密钥在设备上电后的随机性不足,这可能使其加密容易受到攻击。这些设备仅适用于政府机构和承包商 – 除非法律要求您使用,否则我们不建议使用FIPS。 Yubico并不知道任何滥用此攻击的攻击,但该公司正在主动更换受影响的设备。

谷歌的泰坦安全密钥问题,导致召回和更换受影响的密钥,更糟糕。使用蓝牙低功耗进行无线通信的Titan安全密钥的蓝牙版本容易受到谷歌称之为“配置错误”的攻击。使用安全密钥登录的某人30英尺范围内的攻击者可以利用该漏洞登录他们的帐户。或者,攻击者可以欺骗该人的计算机与不同的蓝牙适配器而不是安全密钥配对。该漏洞还影响了飞潭的安全密钥 – 飞潭是为谷歌制造Titan密钥的公司。

微软还推出了一项Windows更新,可以防止这些易受攻击的Google Titan和Feitan密钥通过蓝牙与Windows 10和Windows 8.1配对。

Yubico从未提供过蓝牙键。当谷歌宣布其Titan钥匙时,Yubico表示它之前曾探索推出自己的蓝牙低功耗(BLE)密钥,但“BLE不提供NFC和USB的安全保障级别。”谷歌的挣扎似乎证明了Yubico关注的方法USB和NFC而不是蓝牙。

Google和Yubico都召回并免费更换受影响的密钥。

我们还推荐这些钥匙吗?

尽管存在缺陷和召回,我们仍然建议使用物理安全密钥。 Yubico经历了一个专门针对政府的一系列产品的随机性问题并取而代之。谷歌在蓝牙方面遇到了麻烦,但即便是这个问题也只能被30英尺以内的攻击者利用。即使是有缺陷的蓝牙Titan键也能保护您远离攻击者。

这些密钥仍然符合高标准的安全性。事实上,Yubico和谷歌都在主动披露缺陷并提供免费替换受影响的硬件,这一事实令人鼓舞。这些问题从未影响普通消费者的任何标准USB或基于NFC的安全密钥。

这些密钥的最大问题是所有双因素身份验证的问题。对于大多数在线服务,您只需使用安全性较低的方法(如SMS)即可删除安全密钥。即使您连接了物理密钥,攻击者也可以访问您的帐户。只有非常高安全性的服务(如Google的高级保护计划)才能保护您免受此类攻击。

有关: 什么是双因素身份验证,为什么需要它?

body #primary .entry-content ul#nextuplist list-style-type:none; margin-left:0px; padding-left:0px;
body #primary .entry-content ul#nextuplist li a text-decoration:none; color:#1d55a9;

请阅读下一步

  • > Google云端硬盘和照片分裂:您需要了解的内容
  • >这就是为什么iOS 13让我想要一部iPhone
  • >如何使用iPhone拍摄自己的绿色屏幕
  • >如何从Linux Shell创建和安装SSH密钥
  • >您可以在Outlook中撤消发送,就像Gmail一样
本文机器自动生成,不保证语句完整通顺和表达准确,亦不对内容真实有效性负责,请读者知悉。