Sikkerhetsnøkler for maskinvare: Er de fortsatt til å stole på?
Vi oppfordrer til bruk av fysiske sikkerhetsnøkler, som Yubicos YubiKeys og Googles Titan-sikkerhetsnøkkel, for økt kontosikkerhet. Nylige tilbakekallinger fra begge produsenter på grunn av maskinvarefeil har imidlertid skapt bekymring. Er disse enhetene fortsatt et trygt alternativ? La oss se nærmere på dette.
Hva er egentlig maskinvaresikkerhetsnøkler?
Sikkerhetsnøkler som Google Titan Security Key og YubiKeys benytter WebAuthn-standarden, en videreutvikling av U2F, for å sikre brukerkontoer. Disse enhetene fungerer som en ekstra sikkerhetsfaktor, i form av en fysisk enhet. I stedet for å skrive inn en kode, bruker du en USB-nøkkel eller trådløs kommunikasjon via NFC (Near Field Communication) eller Bluetooth.
Nøklene kan brukes til å logge inn på ulike tjenester som Google, Facebook, Dropbox og GitHub. Googles «Advanced Protection Program» lar deg også kreve fysisk sikkerhetsnøkkel for å få tilgang til kontoen din.
Hvorfor har Google og Yubico tilbakekalt sine sikkerhetsnøkler?
Både Yubico og Google har den siste tiden vært i nyhetsbildet på grunn av tilbakekallinger av enkelte sikkerhetsnøkler. Disse tilbakekallingene skyldes identifiserte maskinvarefeil.
Yubicos problem var begrenset til deres YubiKey FIPS-serie, som ikke er beregnet for vanlige forbrukere. Ifølge Yubicos sikkerhetsrådgivning, hadde disse enhetene utilstrekkelig tilfeldighet ved oppstart, noe som kunne gjøre krypteringen deres sårbar. FIPS-nøklene brukes hovedsakelig av offentlige etater og entreprenører, og Yubico har proaktivt erstattet de berørte enhetene selv om det ikke er registrert noen tilfeller av misbruk av denne svakheten.
Googles Titan Security Key-problem var mer alvorlig og førte til en bredere tilbakekalling. Bluetooth-versjonen av nøkkelen, som kommuniserer trådløst via Bluetooth Low Energy, hadde en sårbarhet som Google beskrev som en » feilkonfigurasjon.» En angriper innenfor en radius av 9 meter fra en bruker som logget inn, kunne utnytte sårbarheten for å få tilgang til kontoen eller lure datamaskinen til å koble til en annen Bluetooth-enhet i stedet for den ekte sikkerhetsnøkkelen. Denne sårbarheten rammet også Feitan-sikkerhetsnøkler, som er produsert av samme selskap som lager Titan-nøklene for Google.
Microsoft har også lansert en Windows-oppdatering for å forhindre at sårbare Google Titan- og Feitan-nøkler pares med Windows 10 og Windows 8.1 via Bluetooth.
Yubico har aldri lansert en Bluetooth-nøkkel. Da Google kunngjorde sin Titan-nøkkel, uttalte Yubico at de tidligere hadde vurdert å lansere en Bluetooth Low Energy-nøkkel (BLE), men konkluderte med at «BLE ikke gir samme sikkerhetsnivå som NFC og USB». Googles problemer med sin Bluetooth-nøkkel bekreftet tilsynelatende Yubicos strategi om å fokusere på USB og NFC.
Både Google og Yubico tilbakekalte og erstattet berørte nøkler uten kostnad for brukerne.
Er disse nøklene fortsatt anbefalt?
Til tross for de identifiserte feilene og tilbakekallingene, anbefaler vi fortsatt å bruke fysiske sikkerhetsnøkler. Yubicos problem var begrenset til en spesifikk produktserie for myndigheter, og de handlet raskt med å erstatte de berørte enhetene. Google opplevde problemer med Bluetooth-versjonen, men selv disse svakhetene kunne bare utnyttes av angripere som var fysisk nære. En defekt Bluetooth Titan-nøkkel ga likevel beskyttelse mot fjernangrep.
Disse nøklene holder fortsatt en høy sikkerhetsstandard. Det at både Yubico og Google proaktivt informerer om feil og tilbyr gratis erstatninger, er betryggende. Problemene har ikke påvirket de standard USB- eller NFC-baserte sikkerhetsnøklene for vanlige forbrukere.
Det største problemet med tofaktorautentisering generelt er at mange nettjenester tillater bruk av mindre sikre metoder, som SMS, for å omgå sikkerhetsnøkkelen. Dette betyr at en angriper som har utført en «telefonport-out»-svindel kan få tilgang til kontoen selv om du har en fysisk nøkkel. Det er bare svært sikre tjenester, som Googles «Advanced Protection Program», som kan beskytte deg mot slike angrep.