Hardware-Sicherheitsschlüssel werden immer wieder abgerufen; Sind sie sicher?

Hardware-Sicherheitsschlüssel werden immer wieder abgerufen; Sind sie sicher?

Hardware-Sicherheitsschlüssel werden immer wieder abgerufen; Sind sie sicher? Cameron Summerson

Wir empfehlen Hardware-Sicherheitsschlüssel wie Yubicos YubiKeys und Googles Titan-Sicherheitsschlüssel. Beide Hersteller haben sich kürzlich aufgrund von Hardwarefehlern an Schlüssel erinnert, und das klingt ein wenig besorgniserregend. Was ist das Problem? Sind diese Schlüssel noch sicher?

Was sind Hardware-Sicherheitsschlüssel?

Physische Sicherheitsschlüssel wie der Titan-Sicherheitsschlüssel von Google und die YubiKeys von Yubico verwenden den WebAuthn-Standard, den Nachfolger von U2F , um Ihre Konten zu schützen. Sie fungieren als eine andere Art der Zwei-Faktor-Authentifizierung: Anstelle eines von Ihnen eingegebenen Codes handelt es sich um einen physischen Sicherheitsschlüssel, den Sie in einen USB-Anschluss einstecken, oder sie können drahtlos über NFC (Nahfeldkommunikation) oder Bluetooth kommunizieren.

Sie können Ihren Schlüssel als Hardware-Sicherheitstoken verwenden, um sich in Konten wie Ihren Google-, Facebook-, Dropbox- und GitHub-Konten anzumelden. Mit dem optionalen erweiterten Schutzprogramm von Google können Sie sogar einen physischen Sicherheitsschlüssel anfordern, um sich in Ihrem Konto anzumelden.

RELATED: So sichern Sie Ihre Konten mit einem U2F-Schlüssel oder YubiKey

Warum haben Google und Yubico Schlüssel zurückgerufen?

Hardware-Sicherheitsschlüssel werden immer wieder abgerufen; Sind sie sicher? Yubico

Sowohl Yubico als auch Google waren in letzter Zeit in den Nachrichten. Jeder musste aufgrund von Hardwarefehlern einige Sicherheitsschlüssel zurückrufen.

Das Problem mit Yubico betrifft nur Geräte der YubiKey FIPS-Serie und keine Consumer-Geräte. Wie aus der Sicherheitshinweise von Yubico hervorgeht, weisen diese Schlüssel nach dem Einschalten des Geräts eine unzureichende Zufälligkeit auf, die ihre Verschlüsselung anfällig machen kann. Diese Geräte sind nur für Regierungsbehörden und Auftragnehmer bestimmt. Wir empfehlen FIPS nur, wenn Sie gesetzlich dazu verpflichtet sind. Yubico ist sich keiner Angriffe bewusst, die dies missbraucht haben, aber das Unternehmen tauscht betroffene Geräte proaktiv aus.

Das Problem mit dem Titan-Sicherheitsschlüssel von Google, das zum Abrufen und Ersetzen der betroffenen Schlüssel führte, war schlimmer. Die Bluetooth-Version des Titan-Sicherheitsschlüssels, der Bluetooth Low Energy für die drahtlose Kommunikation verwendet, war aufgrund einer von Google als “ Fehlkonfiguration ” bezeichneten Attacke anfällig. Ein Angreifer, der sich nicht weiter als 30 Fuß von jemandem entfernt befindet, der sich mit einem Sicherheitsschlüssel anmeldet, kann den Fehler ausnutzen, um sich in seinem Konto anzumelden. Oder der Angreifer könnte den Computer der Person dazu verleiten, sich mit einem anderen Bluetooth-Dongle als dem Sicherheitsschlüssel zu paaren. Die Sicherheitsanfälligkeit betrifft auch Feitan-Sicherheitsschlüssel. Feitan ist das Unternehmen, das die Titan-Schlüssel für Google herstellt.

Microsoft hat außerdem ein Windows-Update herausgebracht, mit dem verhindert wird, dass diese anfälligen Schlüssel von Google Titan und Feitan über Bluetooth mit Windows 10 und Windows 8.1 gekoppelt werden.

Yubico hat nie einen Bluetooth-Schlüssel angeboten. Als Google seinen Titan-Schlüssel ankündigte, teilte Yubico mit, dass das Unternehmen bereits die Einführung seines eigenen Bluetooth-Low-Energy-Schlüssels (BLE) untersucht habe, dass BLE jedoch nicht die Sicherheitsstandards von NFC und USB bietet. Die Kämpfe von Google haben anscheinend den Ansatz von Yubico bestätigt, sich auf USB und NFC anstatt auf Bluetooth zu konzentrieren.

Sowohl Google als auch Yubico haben betroffene Schlüssel kostenlos zurückgerufen und ersetzt.

Empfehlen wir diese Schlüssel weiterhin?

Trotz der Mängel und Rückrufe empfehlen wir weiterhin physische Sicherheitsschlüssel. Yubico hat ein Problem mit der Zufälligkeit in einer Produktlinie speziell für die Regierung festgestellt und diese ersetzt. Google hatte Probleme mit Bluetooth, aber selbst dieses Problem konnte nur von Angreifern innerhalb von 30 Fuß von Ihnen ausgenutzt werden. Sogar ein fehlerhafter Bluetooth-Titan-Schlüssel hat Sie definitiv vor Angreifern aus der Ferne geschützt.

Diese Schlüssel erfüllen immer noch hohe Sicherheitsstandards. Die Tatsache, dass sowohl Yubico als auch Google proaktiv Fehler aufdecken und kostenlosen Ersatz für betroffene Hardware anbieten, ist ermutigend. Die Probleme betrafen nie Standard-USB- oder NFC-basierte Sicherheitsschlüssel für normale Verbraucher.

Das größte Problem bei diesen Schlüsseln ist das Problem bei der Zwei-Faktor-Authentifizierung. Bei den meisten Onlinediensten können Sie einfach eine weniger sichere Methode wie SMS verwenden, um den Sicherheitsschlüssel zu entfernen. Ein Angreifer, der einen Telefon-Port-Out-Betrug begangen hat, kann auch dann auf Ihr Konto zugreifen, wenn Sie einen physischen Schlüssel haben. Nur sehr hochsichere Dienste wie das Advanced Protection-Programm von Google können Sie davor schützen.

RELATED: Was ist die Zwei-Faktor-Authentifizierung und warum benötige ich sie?

body #primary .entry-content ul # nextuplist {list-style-type: none; margin-left: 0px; links auffüllen: 0px;} body #primary .entry-content ul # nextuplist li a {Textdekoration: keine; Farbe: # 1d55a9;} WEITERLESEN

  • › Google Drive und Fotos teilen sich: Was Sie wissen müssen
  • › Warum ich unter iOS 13 Lust auf ein iPhone bekomme
  • › So filmen Sie mit Ihrem iPhone auf Ihrem eigenen Green Screen
  • › So erstellen und installieren Sie SSH-Schlüssel über die Linux-Shell
  • › Sie können das Senden in Outlook wie bei Google Mail

rückgängig machen

q , quelle

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.