yubicoのyubikeysやgoogleのtitan security keyなど、ハードウェアセキュリティキーをお勧めします。しかし、両メーカーとも最近、ハードウェアの不具合でキーをリコールしており、少し心配な気もします。何が問題なのか?この鍵はまだ安全なのでしょうか...。
YubicoのYubiKeysやGoogleのTitanセキュリティキーなど、ハードウェアセキュリティキーをお勧めします。しかし、最近、両ベンダー**がハードウェアの欠陥によりキーをリコールしており、少し心配な感じです。何が問題なのか?この鍵はまだ安全ですか?
ハードウェアセキュリティキーは何ですか?
GoogleのTitan Security KeyやYubicoのYubiKeysなどの物理的なセキュリティキーは、WebAuthn規格(U2Fの後継)を使用して、アカウントの保護に役立っています。USBポートのセキュリティキーを入力する代わりに、NFC(Near Field Communication)やBluetoothでワイヤレス通信を行うこともできます。
鍵はハードウェアセキュリティトークンとして、Google、Facebook、Dropbox、GitHubなどのアカウントにサインインする際に使用することができます。GoogleのオプションであるAdvanced Protection Programを利用すれば、アカウントにログインするための物理的なセキュリティキーを要求することも可能です。
関連:U2FキーやYubiKeyでアカウントを保護する方法
なぜ、GoogleとEubicoは鍵を回収したのか?
EubicoとGoogleは、ハードウェアの不具合により、セキュリティキーの一部を回収することになりました。
Yubicoの問題は、YubiKey FIPSシリーズのデバイスにのみ影響し、民生用デバイスには影響しない。Yubicoのセキュリティコンサルタントが説明したように、これらの鍵はデバイスの電源投入時に十分にランダムでないため、その暗号化は攻撃に対して脆弱になる可能性があります。これらのデバイスは、**機関および請負業者による使用のみを目的としており、法律で義務付けられている場合を除き、FIPSの使用を推奨していません。 Yubicoは、これを悪用した攻撃を認識していませんが、該当デバイスの交換を積極的に行っています。
GoogleのTitanセキュリティキー問題で、対象キーの回収・交換が行われ、さらに悪化しています。Bluetooth low energy無線通信を利用したBluetooth版Titanセキュリティキーに、Googleが言うところの「設定ミス」による脆弱性があることが判明しました。セキュリティキーでログインしている人の30フィート以内にいる攻撃者は、その脆弱性を利用してその人のアカウントにログインすることができます。また、攻撃者は、ユーザーのコンピュータを騙して、セキュリティキーではなく、別のBluetoothドングルとペアリングさせることも可能です。この脆弱性は、Google**にTitanキーを提供しているFlying Secure Key Flying社にも影響します。
また、マイクロソフトは、これらの脆弱なGoogle TitanおよびFeitanキーがWindows 10およびWindows 8.1とBluetoothでペアリングできないようにするWindowsアップデートを導入しています。
YubicoはBluetoothキーを提供することはありませんでした。GoogleがTitanキーを発表した際、Yubicoは以前、独自のBluetooth Low Energy(BLE)キーの発売を検討したが、「BLEはNFCやUSBのようなセキュリティ保証のレベルを提供できない」と述べている。Googleの取り組みは、YubicoがBluetoothではなくUSBとNFCに注力することを正当化しているようです。
GoogleとUbiquityの両社は、対象となるキーを回収し、無償で交換しました。
このキーはまだお勧めできますか?
欠陥やリコールがあったとはいえ、物理的なセキュリティキーの使用を推奨しています。Eubicoは、ランダム性の問題に直面し、それを置き換えるために特別に設計された製品ラインを持っています。GoogleはBluetoothで問題を抱えていますが、この問題でさえ、30フィート以内にいる攻撃者にしか攻略できないのです。欠陥のあるBluetooth Titanキーでも、遠隔からの攻撃から絶対に守ることができます。
これらの鍵は、依然として高いセキュリティ基準をクリアしています。YubicoとGoogleの両社が積極的に欠陥を公開し、影響を受けたハードウェアを無償で交換していることは心強いことです。これらの問題は、一般消費者向けの標準的なUSBやNFCベースのセキュリティキーに影響を与えたことはありません。
これらの鍵の最大の問題は、すべての2要素認証の問題である。ほとんどのオンラインサービスでは、安全性の低い方法(SMSなど)を使って、セキュリティキーを削除するだけです。物理的な鍵を持っていても、テレホンポートから詐欺を仕掛ける攻撃者は、あなたのアカウントにアクセスすることができます。Googleのアドバンスト・プロテクション・プランなど、非常に高いレベルのセキュリティ***だけが、このような事態からお客様を守ることができます。
関連:二要素認証とは何ですか、なぜ必要ですか?
