硬體安全金鑰不斷被召回;它們安全嗎?

我們推薦硬體安全金鑰,比如Yubico的YubiKeys和Google的Titan安全金鑰。但由於硬體缺陷,兩家制造商最近都召回了鑰匙,這聽起來有點令人擔憂。有什麼問題嗎?這些鑰匙還安全嗎?...

我們推薦硬體安全金鑰,比如Yubico的YubiKeys和Google的Titan安全金鑰。但由於硬體缺陷,兩家**商最近都召回了鑰匙,這聽起來有點令人擔憂。有什麼問題嗎?這些鑰匙還安全嗎?

什麼是硬體安全金鑰(hardware security keys)?

像Google的Titan安全金鑰和Yubico的YubiKeys這樣的物理安全金鑰使用WebAuthn標準(U2F的繼承者)來幫助保護您的帳戶。它們的功能是另一種雙因素身份驗證:它不是您鍵入的程式碼,而是您**USB埠的物理安全金鑰,或者它可以透過NFC(近場通訊)或藍芽進行無線通訊。

您可以使用您的金鑰作為硬體安全令牌來登入您的Google、Facebook、Dropbox和GitHub帳戶等帳戶。有了谷歌可選的高階保護程式,你甚至可以要求一個物理安全金鑰來登入你的帳戶。

相關:如何用U2F金鑰或YubiKey保護您的帳戶

為什麼谷歌和尤比科召回了鑰匙?

尤比科和谷歌最近都出現在新聞中。由於硬體缺陷,每個人都不得不召回一些安全金鑰。

Yubico的問題隻影響YubiKey FIPS系列裝置,而不是任何消費類裝置。正如Yubico的安全顧問所解釋的,這些金鑰在裝置通電後沒有足夠的隨機性,這可能會使它們的加密容易受到攻擊。這些裝置僅適用於**機構和承包商,除非法律要求您使用,否則我們不建議您使用FIPS。尤比科不知道有任何攻擊濫用了這一點,但該公司正在積極更換受影響的裝置。

谷歌的泰坦安全金鑰問題,導致召回和更換受影響的金鑰,情況更糟。由於谷歌稱之為“錯誤配置”,使用藍芽低能量無線通訊的藍芽版Titan安全金鑰易受攻擊。使用安全金鑰登入的人30英尺範圍內的攻擊者可以利用該漏洞登入其帳戶。或者,攻擊者可以誘使使用者的計算機與不同的藍芽加密狗配對,而不是與安全金鑰配對。該漏洞還影響到飛天安全金鑰飛天是為谷歌**泰坦金鑰的公司。

微軟還推出了一個Windows更新,可以防止這些易受攻擊的Google Titan和Feitan金鑰透過藍芽與windows10和windows8.1配對。

尤比科從不提供藍芽鑰匙。當谷歌宣佈推出Titan key時,Yubico表示,它此前曾探索推出自己的藍芽低能耗(BLE)金鑰,但“BLE不能提供NFC和USB的安全保證級別”。谷歌的努力似乎證明了Yubico專注於USB和NFC而非藍芽的做法是正確的。

谷歌和尤比科都免費召回並更換了受影響的金鑰。

我們還推薦這些鑰匙嗎?

儘管存在缺陷和召回,我們仍然建議使用物理安全金鑰。尤比科遇到了一個問題,在一個產品線的隨機性,專門為**和取代它。谷歌在藍芽方面遇到了麻煩,但即使是這個問題也只能被距離你30英尺以內的攻擊者利用。即使是一個有缺陷的藍芽泰坦鑰匙絕對保護您免受遠端攻擊者。

這些鑰匙仍然符合高安全標準。事實上,Yubico和Google都在主動披露缺陷,並免費更換受影響的硬體,這是令人鼓舞的。這些問題從來沒有影響到任何標準的USB或NFC為基礎的安全金鑰的普通消費者。

這些金鑰的最大問題是所有雙因素身份驗證的問題。對於大多數線上服務,您可以簡單地使用不太安全的方法(如SMS)來刪除安全金鑰。即使你有一個物理金鑰,一個從電話埠取出騙局的攻擊者也可以訪問你的帳戶。只有非常高的安全***,如谷歌的高階保護計劃,可以保護你免受這一點。

相關:什麼是雙因素認證,為什麼我需要它?

  • 發表於 2021-04-03 11:35
  • 閱讀 ( 6 )
  • 分類:網際網路

你可能感興趣的文章

9安全原因您應該升級到android 8.0 oreo

... 這是透過將作業系統版本儲存在一個特殊的硬體中來實現的。目前,Pixel 2和Pixel 2 XL配備了這種保護。谷歌強烈建議所有的裝置**商在未來都加入這一功能。 ...

  • 發佈於 2021-03-11 22:59
  • 閲讀 ( 56 )

惠普因安全問題召回膝上型電腦電池

由於嚴重的安全問題,惠普正在召回一些膝上型電腦電池。從本質上說,惠普正在迴應有關某些型號電池可能過熱的報道,並召回所有可能受到影響的電池。我很感激,因為安全總比抱歉好。 ...

  • 發佈於 2021-03-11 23:47
  • 閲讀 ( 52 )

如何為雲備份服務啟用雙因素身份驗證

...步驗證。但除了基於簡訊的代幣,它實際上更進一步支援硬體和軟體代幣。 ...

  • 發佈於 2021-03-12 18:34
  • 閲讀 ( 52 )

如何使用安全金鑰保護您的facebook登入,以避免欺詐和駭客攻擊

... 使用u2f安全金鑰 ...

  • 發佈於 2021-03-13 16:50
  • 閲讀 ( 46 )

三星召回數百萬臺發生爆炸的洗衣機

...有一臺三星洗衣機,那麼就要害怕,非常害怕。三星被迫召回280萬臺洗衣機,原因是這些洗衣機可能會自行搖動。或者,換一種說法,爆炸。聽起來熟悉嗎? ...

  • 發佈於 2021-03-17 01:13
  • 閲讀 ( 42 )

5款不爆炸的三星galaxy note 7替代產品

...xus6p的純Android體驗呢?它現在已經有一年的歷史了,所以硬體並不是今天最好的,但是它完全有能力對抗大多數旗艦。snapdragon810仍然是一個強大的處理器,它包括一個更好的相機周圍。除此之外,它的雙前置揚聲器也非常出色...

  • 發佈於 2021-03-17 06:58
  • 閲讀 ( 71 )

三星召回galaxy note 7,谷歌扼殺ara專案。。。【科技新聞摘要】

...元件的模組化智慧**。據路透社報道,谷歌正試圖精簡其硬體業務,而Ara專案已不再符合這些計劃。 ...

  • 發佈於 2021-03-17 15:09
  • 閲讀 ( 50 )

什麼是無密碼登入?他們真的安全嗎?

... 其他**商的人臉掃描硬體沒有那麼先進,是用照片來欺騙的,而它需要一個完整的3D列印和繪製的頭部來欺騙蘋果的人臉ID。在其他情況下,指紋掃描器允許部分識別來解鎖裝置。 ...

  • 發佈於 2021-03-21 10:04
  • 閲讀 ( 51 )

windows金鑰不起作用的8個原因

...用於你的鍵盤。重要的是要弄清楚壞了的Windows鍵是因為硬體(鍵盤)還是軟體(windows10)。 ...

  • 發佈於 2021-03-30 09:01
  • 閲讀 ( 52 )

科技行業想扼殺密碼。還是真的?

...不安全的,很容易洩露。很快,我們都將使用生物識別、硬體安全金鑰和其他未來的解決方案,對嗎?嗯,沒那麼快。 我們採訪了1Password的安全主管Jeffery Goldberg,他說他“謹慎樂觀地認為,這次我們可能會看到密碼問題有所改...

  • 發佈於 2021-04-03 06:37
  • 閲讀 ( 50 )
pqca7165
pqca7165

0 篇文章

作家榜

  1. admin 0 文章
  2. 孫小欽 0 文章
  3. JVhby0 0 文章
  4. fvpvzrr 0 文章
  5. 0sus8kksc 0 文章
  6. zsfn1903 0 文章
  7. w91395898 0 文章
  8. SuperQueen123 0 文章

相關推薦