Hardwarové bezpečnostní klíče se neustále opakují; Jsou bezpečné?

Doporučujeme hardwarové bezpečnostní klíče jako např Yubico’s YubiKeys a Bezpečnostní klíč Titan společnosti Google. Oba výrobci ale nedávno klíče stáhli kvůli hardwarovým chybám, a to zní trochu znepokojivě. Co je za problém? Jsou tyto klíče stále bezpečné?

Co jsou hardwarové bezpečnostní klíče?

Fyzické bezpečnostní klíče, jako je bezpečnostní klíč Titan společnosti Google a YubiKeys společnosti Yubico, využívají k ochraně vašich účtů standard WebAuthn, nástupce U2F. Fungují jako další typ dvoufaktorové autentizace: Spíše než kód, který zadáváte, jde o fyzický bezpečnostní klíč, který vložíte do portu USB – nebo může komunikovat bezdrátově přes NFC (near-field communication) nebo Bluetooth.

Svůj klíč můžete použít jako hardwarový bezpečnostní token k přihlášení k účtům, jako jsou účty Google, Facebook, Dropbox a GitHub. S volitelným programem pokročilé ochrany Google můžete dokonce vyžadovat fyzický bezpečnostní klíč k přihlášení ke svému účtu.

Proč si Google a Yubico stáhly klíče?

Jak Yubico, tak Google jsou v poslední době ve zprávách. Každý z nich musel vyvolat některé bezpečnostní klíče kvůli hardwarovým chybám.

Problém společnosti Yubico se týká pouze zařízení YubiKey řady FIPS – nikoli jakýchkoli spotřebitelských zařízení. Tak jako Bezpečnostní doporučení Yubico vysvětluje, že tyto klíče nemají po zapnutí zařízení dostatečnou náhodnost, což by mohlo způsobit zranitelnost jejich šifrování. Tato zařízení jsou určena pouze pro vládní agentury a dodavatele – FIPS nedoporučujeme, pokud nejste ze zákona povinni jej používat. Yubico si není vědoma žádných útoků, které by toto zneužily, ale společnost proaktivně nahrazuje postižená zařízení.

Problém s bezpečnostním klíčem Titan společnosti Google, který vedl ke stažení a výměně dotčených klíčů, byl horší. Verze Bluetooth bezpečnostního klíče Titan, která k bezdrátové komunikaci využívá Bluetooth Low Energy, byla zranitelná vůči útoku kvůli tomu, co Google nazval „špatné konfigurace.“ Útočník v okruhu 30 stop od někoho, kdo používá k přihlášení bezpečnostní klíč, by mohl chybu zneužít k přihlášení do svého účtu. Nebo by útočník mohl přimět počítač dané osoby, aby se spároval s jiným klíčem Bluetooth, nikoli s bezpečnostním klíčem. Tato chyba zabezpečení se týká také bezpečnostních klíčů Feitan – Feitan je společnost, která vyrábí klíče Titan pro Google.

Microsoft také zavedl a aktualizace systému Windows které zabrání těmto zranitelným klíčům Google Titan a Feitan spárovat se s Windows 10 a Windows 8.1 přes Bluetooth.

Yubico nikdy nenabízel Bluetooth klíč. Když Google oznámil svůj Titan klíč, Yubico uvedl, že již dříve prozkoumal spuštění vlastního klíče Bluetooth Low Energy (BLE), ale že „BLE neposkytuje úrovně zabezpečení NFC a USB.“ Problémy společnosti Google zdánlivě potvrdily přístup Yubica zaměřeného na USB a NFC spíše než na Bluetooth.

Google i Yubico stáhly a nahradily postižené klíče zdarma.

Stále doporučujeme tyto klíče?

Navzdory nedostatkům a stažením stále doporučujeme fyzické bezpečnostní klíče. Společnost Yubico zaznamenala problém s náhodností v jedné řadě produktů speciálně pro vládu a nahradila ji. Google se dostal do problémů s Bluetooth, ale i tento problém mohli zneužít pouze útočníci do 30 stop od vás. Dokonce i vadný klíč Bluetooth Titan vás rozhodně ochránil před vzdálenými útočníky.

Tyto klíče stále splňují vysoké standardy zabezpečení. Skutečnost, že Yubico i Google proaktivně odhalují nedostatky a nabízejí bezplatné výměny dotčeného hardwaru, je povzbudivá. Problémy nikdy neovlivnily žádné standardní bezpečnostní klíče založené na USB nebo NFC pro běžné spotřebitele.

Největší problém s těmito klíči je problém s veškerou dvoufaktorovou autentizací. U většiny online služeb můžete k odstranění bezpečnostního klíče jednoduše použít méně zabezpečenou metodu, jako je SMS. Útočník, který provedl podvod s portem telefonu, by mohl získat přístup k vašemu účtu, i když máte připojený fyzický klíč. Proti tomu vás mohou ochránit pouze služby s velmi vysokým zabezpečením, jako je program pokročilé ochrany společnosti Google.