我們推薦硬體安全金鑰,比如Yubico的YubiKeys和Google的Titan安全金鑰。但由於硬體缺陷,兩家**商最近都召回了鑰匙,這聽起來有點令人擔憂。有什麼問題嗎?這些鑰匙還安全嗎?
像Google的Titan安全金鑰和Yubico的YubiKeys這樣的物理安全金鑰使用WebAuthn標準(U2F的繼承者)來幫助保護您的帳戶。它們的功能是另一種雙因素身份驗證:它不是您鍵入的程式碼,而是您**USB埠的物理安全金鑰,或者它可以透過NFC(近場通訊)或藍芽進行無線通訊。
您可以使用您的金鑰作為硬體安全令牌來登入您的Google、Facebook、Dropbox和GitHub帳戶等帳戶。有了谷歌可選的高階保護程式,你甚至可以要求一個物理安全金鑰來登入你的帳戶。
相關:如何用U2F金鑰或YubiKey保護您的帳戶
尤比科和谷歌最近都出現在新聞中。由於硬體缺陷,每個人都不得不召回一些安全金鑰。
Yubico的問題隻影響YubiKey FIPS系列裝置,而不是任何消費類裝置。正如Yubico的安全顧問所解釋的,這些金鑰在裝置通電後沒有足夠的隨機性,這可能會使它們的加密容易受到攻擊。這些裝置僅適用於**機構和承包商,除非法律要求您使用,否則我們不建議您使用FIPS。尤比科不知道有任何攻擊濫用了這一點,但該公司正在積極更換受影響的裝置。
谷歌的泰坦安全金鑰問題,導致召回和更換受影響的金鑰,情況更糟。由於谷歌稱之為“錯誤配置”,使用藍芽低能量無線通訊的藍芽版Titan安全金鑰易受攻擊。使用安全金鑰登入的人30英尺範圍內的攻擊者可以利用該漏洞登入其帳戶。或者,攻擊者可以誘使使用者的計算機與不同的藍芽加密狗配對,而不是與安全金鑰配對。該漏洞還影響到飛天安全金鑰飛天是為谷歌**泰坦金鑰的公司。
微軟還推出了一個Windows更新,可以防止這些易受攻擊的Google Titan和Feitan金鑰透過藍芽與windows10和windows8.1配對。
尤比科從不提供藍芽鑰匙。當谷歌宣佈推出Titan key時,Yubico表示,它此前曾探索推出自己的藍芽低能耗(BLE)金鑰,但“BLE不能提供NFC和USB的安全保證級別”。谷歌的努力似乎證明了Yubico專注於USB和NFC而非藍芽的做法是正確的。
谷歌和尤比科都免費召回並更換了受影響的金鑰。
儘管存在缺陷和召回,我們仍然建議使用物理安全金鑰。尤比科遇到了一個問題,在一個產品線的隨機性,專門為**和取代它。谷歌在藍芽方面遇到了麻煩,但即使是這個問題也只能被距離你30英尺以內的攻擊者利用。即使是一個有缺陷的藍芽泰坦鑰匙絕對保護您免受遠端攻擊者。
這些鑰匙仍然符合高安全標準。事實上,Yubico和Google都在主動披露缺陷,並免費更換受影響的硬體,這是令人鼓舞的。這些問題從來沒有影響到任何標準的USB或NFC為基礎的安全金鑰的普通消費者。
這些金鑰的最大問題是所有雙因素身份驗證的問題。對於大多數線上服務,您可以簡單地使用不太安全的方法(如SMS)來刪除安全金鑰。即使你有一個物理金鑰,一個從電話埠取出騙局的攻擊者也可以訪問你的帳戶。只有非常高的安全***,如谷歌的高階保護計劃,可以保護你免受這一點。
相關:什麼是雙因素認證,為什麼我需要它?
... 這是透過將作業系統版本儲存在一個特殊的硬體中來實現的。目前,Pixel 2和Pixel 2 XL配備了這種保護。谷歌強烈建議所有的裝置**商在未來都加入這一功能。 ...
由於嚴重的安全問題,惠普正在召回一些膝上型電腦電池。從本質上說,惠普正在迴應有關某些型號電池可能過熱的報道,並召回所有可能受到影響的電池。我很感激,因為安全總比抱歉好。 ...
...有一臺三星洗衣機,那麼就要害怕,非常害怕。三星被迫召回280萬臺洗衣機,原因是這些洗衣機可能會自行搖動。或者,換一種說法,爆炸。聽起來熟悉嗎? ...
...xus6p的純Android體驗呢?它現在已經有一年的歷史了,所以硬體並不是今天最好的,但是它完全有能力對抗大多數旗艦。snapdragon810仍然是一個強大的處理器,它包括一個更好的相機周圍。除此之外,它的雙前置揚聲器也非常出色...
...元件的模組化智慧**。據路透社報道,谷歌正試圖精簡其硬體業務,而Ara專案已不再符合這些計劃。 ...
... 其他**商的人臉掃描硬體沒有那麼先進,是用照片來欺騙的,而它需要一個完整的3D列印和繪製的頭部來欺騙蘋果的人臉ID。在其他情況下,指紋掃描器允許部分識別來解鎖裝置。 ...
...用於你的鍵盤。重要的是要弄清楚壞了的Windows鍵是因為硬體(鍵盤)還是軟體(windows10)。 ...
...不安全的,很容易洩露。很快,我們都將使用生物識別、硬體安全金鑰和其他未來的解決方案,對嗎?嗯,沒那麼快。 我們採訪了1Password的安全主管Jeffery Goldberg,他說他“謹慎樂觀地認為,這次我們可能會看到密碼問題有所改...