Vi rekommenderar hårdvarusäkerhetsnycklar som Yubicos YubiKeys och Googles Titan-säkerhetsnyckel. Men båda tillverkarna har nyligen återkallat nycklar på grund av hårdvarubrister, och det låter lite oroande. Vad är problemet? Är dessa nycklar fortfarande säkra?
Innehållsförteckning
Vad är säkerhetsnycklar för maskinvara?
Fysiska säkerhetsnycklar som Googles Titan Security Key och Yubicos YubiKeys använder WebAuthn-standarden, efterföljaren till U2F, för att skydda dina konton. De fungerar som en annan typ av tvåfaktorsautentisering: Snarare än en kod du skriver in, är det en fysisk säkerhetsnyckel du sätter in i en USB-port – eller så kan den kommunicera trådlöst via NFC (near-field communication) eller Bluetooth.
Du kan använda din nyckel som en maskinvarusäkerhetstoken för att logga in på konton som dina Google-, Facebook-, Dropbox- och GitHub-konton. Med Googles valfria program Avancerat skydd kan du till och med kräva en fysisk säkerhetsnyckel för att logga in på ditt konto.
Varför har Google och Yubico återkallat nycklar?
Både Yubico och Google har varit i nyheterna på sistone. Var och en har varit tvungen att återkalla några säkerhetsnycklar på grund av hårdvarubrister.
Yubicos problem påverkar endast enheter i YubiKey FIPS-serien – inte några konsumentenheter. Som Yubicos säkerhetsrådgivning förklarar, dessa nycklar har otillräcklig slumpmässighet efter uppstart av enheten, vilket kan göra deras kryptering sårbar. Dessa enheter är bara för statliga myndigheter och entreprenörer – vi rekommenderar inte FIPS om du inte är lagligt skyldig att använda den. Yubico är inte medveten om några attacker som har missbrukat detta, men företaget byter proaktivt ut berörda enheter.
Googles problem med Titan Security Key, som ledde till ett återkallande och utbyte av berörda nycklar, var värre. Bluetooth-versionen av Titan Security Key, som använder Bluetooth Low Energy för att kommunicera trådlöst, var sårbar för attacker på grund av vad Google kallade en ”felkonfiguration.” En angripare inom 30 fot från någon som använder en säkerhetsnyckel för att logga in kan utnyttja felet för att logga in på sitt konto. Eller så kan angriparen lura personens dator att para ihop med en annan Bluetooth-dongel istället för säkerhetsnyckeln. Sårbarheten påverkar också Feitans säkerhetsnycklar – Feitan är företaget som tillverkar Titan-nycklarna åt Google.
Microsoft har också rullat ut en Windows uppdatering som kommer att förhindra dessa sårbara Google Titan- och Feitan-nycklar från att paras ihop med Windows 10 och Windows 8.1 via Bluetooth.
Yubico erbjöd aldrig en Bluetooth-nyckel. När Google tillkännagav sin Titan-nyckel, Yubico sa att de tidigare hade utforskat lanseringen av sin egen Bluetooth Low Energy-nyckel (BLE) men att ”BLE inte tillhandahåller säkerhetsnivåerna för NFC och USB.” Googles kamp tycks rättfärdiga Yubicos strategi att fokusera på USB och NFC snarare än Bluetooth.
Både Google och Yubico återkallade och ersatte berörda nycklar gratis.
Rekommenderar vi fortfarande dessa nycklar?
Trots bristerna och återkallelserna rekommenderar vi fortfarande fysiska säkerhetsnycklar. Yubico upplevde ett problem med slumpmässighet i en produktlinje specifikt för regeringen och ersatte den. Google stötte på problem med Bluetooth, men även det problemet kunde bara utnyttjas av angripare inom 30 fot från dig. Även en defekt Bluetooth Titan-nyckel skyddade dig definitivt från angripare på avstånd.
Dessa nycklar uppfyller fortfarande höga säkerhetsstandarder. Det faktum att både Yubico och Google proaktivt avslöjar brister och erbjuder gratis ersättningar av drabbad hårdvara är uppmuntrande. Problemen har aldrig påverkat några vanliga USB- eller NFC-baserade säkerhetsnycklar för vanliga konsumenter.
Det största problemet med dessa nycklar är problemet med all tvåfaktorsautentisering. Med de flesta onlinetjänster kan du helt enkelt använda en mindre säker metod som SMS för att ta bort säkerhetsnyckeln. En angripare som genomförde en bedrägeri med port-out kan få tillgång till ditt konto även om du har en fysisk nyckel bifogad. Endast tjänster med mycket hög säkerhet – som Googles program för avancerad skydd – kan skydda dig mot det.