Connect with us

Wie man

Hardware-Sicherheitsschlüssel werden immer wieder abgerufen. Sind sie sicher?

Hardware-Sicherheitsschlüssel werden immer wieder abgerufen.  Sind sie sicher?

Cameron Summerson

Wir empfehlen Hardware-Sicherheitsschlüssel wie Yubicos YubiKeys und Googles Titan-Sicherheitsschlüssel. Aber beide Hersteller haben kürzlich Schlüssel aufgrund von Hardwarefehlern zurückgerufen, und das klingt ein wenig besorgniserregend. Was ist das Problem? Sind diese Schlüssel noch sicher?

Was sind Hardware-Sicherheitsschlüssel?

Physische Sicherheitsschlüssel wie der Titan Security Key von Google und die YubiKeys von Yubico verwenden den WebAuthn-Standard, den Nachfolger von U2F, um Ihre Konten zu schützen. Sie fungieren als eine andere Art der Zwei-Faktor-Authentifizierung: Anstelle eines eingegebenen Codes handelt es sich um einen physischen Sicherheitsschlüssel, den Sie in einen USB-Anschluss einstecken – oder er kann drahtlos über NFC (Nahfeldkommunikation) oder Bluetooth kommunizieren.

Sie können Ihren Schlüssel als Hardware-Sicherheitstoken verwenden, um sich bei Konten wie Ihren Google-, Facebook-, Dropbox- und GitHub-Konten anzumelden. Mit dem optionalen erweiterten Schutzprogramm von Google können Sie sogar einen physischen Sicherheitsschlüssel benötigen, um sich bei Ihrem Konto anzumelden.

Warum haben Google und Yubico Schlüssel zurückgerufen?

Yubico FIPS-SchlüsselYubico

Sowohl Yubico als auch Google waren in letzter Zeit in den Nachrichten. Jeder musste aufgrund von Hardwarefehlern einige Sicherheitsschlüssel zurückrufen.

Das Problem von Yubico betrifft nur Geräte der YubiKey FIPS-Serie – keine Consumer-Geräte. Wie Yubicos Sicherheitshinweis erklärt, dass diese Schlüssel nach dem Einschalten des Geräts nicht genügend zufällig sind, was ihre Verschlüsselung anfällig machen könnte. Diese Geräte sind nur für Regierungsbehörden und Auftragnehmer bestimmt. Wir empfehlen FIPS nur, wenn Sie gesetzlich dazu verpflichtet sind. Yubico sind keine Angriffe bekannt, die dies missbraucht haben, aber das Unternehmen ersetzt proaktiv betroffene Geräte.

Das Titan-Sicherheitsschlüsselproblem von Google, das zum Rückruf und Ersetzen betroffener Schlüssel führte, war schlimmer. Die Bluetooth-Version des Titan-Sicherheitsschlüssels, bei der Bluetooth Low Energy für die drahtlose Kommunikation verwendet wird, war aufgrund der von Google als „Fehlkonfiguration. ” Ein Angreifer in einem Umkreis von 30 Fuß um jemanden, der einen Sicherheitsschlüssel zum Anmelden verwendet, kann den Fehler ausnutzen, um sich in seinem Konto anzumelden. Oder der Angreifer könnte den Computer der Person dazu verleiten, sich mit einem anderen Bluetooth-Dongle anstelle des Sicherheitsschlüssels zu paaren. Die Sicherheitsanfälligkeit betrifft auch Feitan-Sicherheitsschlüssel. Feitan ist das Unternehmen, das die Titan-Schlüssel für Google herstellt.

Microsoft hat auch eine eingeführt Windows Update Dadurch wird verhindert, dass diese anfälligen Google Titan- und Feitan-Schlüssel über Bluetooth mit Windows 10 und Windows 8.1 gekoppelt werden.

Yubico hat nie einen Bluetooth-Schlüssel angeboten. Als Google seinen Titan-Schlüssel ankündigte, Yubico sagte, dass es zuvor die Einführung eines eigenen Bluetooth Low Energy (BLE) -Schlüssels untersucht hatte, aber dass „BLE nicht die Sicherheitsstufen von NFC und USB bietet“. Googles Kämpfe bestätigten anscheinend Yubicos Ansatz, sich eher auf USB und NFC als auf Bluetooth zu konzentrieren.

Sowohl Google als auch Yubico haben betroffene Schlüssel kostenlos zurückgerufen und ersetzt.

Empfehlen wir diese Schlüssel immer noch?

Trotz der Mängel und Rückrufe empfehlen wir weiterhin physische Sicherheitsschlüssel. Yubico hatte ein Problem mit der Zufälligkeit in einer Produktlinie speziell für die Regierung und ersetzte es. Google hatte Probleme mit Bluetooth, aber selbst dieses Problem konnte nur von Angreifern in einem Umkreis von 30 Fuß um Sie ausgenutzt werden. Selbst ein fehlerhafter Bluetooth Titan-Schlüssel hat Sie definitiv vor entfernten Angreifern geschützt.

Diese Schlüssel erfüllen immer noch hohe Sicherheitsstandards. Die Tatsache, dass sowohl Yubico als auch Google Fehler proaktiv aufdecken und kostenlosen Ersatz für betroffene Hardware anbieten, ist ermutigend. Die Probleme haben noch nie einen Standard-USB- oder NFC-basierten Sicherheitsschlüssel für normale Verbraucher betroffen.

Das größte Problem bei diesen Schlüsseln ist das Problem bei der Zwei-Faktor-Authentifizierung. Bei den meisten Onlinediensten können Sie einfach eine weniger sichere Methode wie SMS verwenden, um den Sicherheitsschlüssel zu entfernen. Ein Angreifer, der einen Telefon-Port-Out-Betrug ausgeführt hat, kann auch dann auf Ihr Konto zugreifen, wenn Sie einen physischen Schlüssel haben. Nur sehr hochsichere Dienste wie das Advanced Protection-Programm von Google können Sie davor schützen.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia