Recomendamos chaves de segurança de hardware como YubiKeys da Yubico e a chave de segurança Titan do Google . Mas ambos os fabricantes recentemente retiraram as chaves devido a falhas de hardware, e isso parece um pouco preocupante. Qual é o problema? Essas chaves ainda estão seguras?
Índice
O que são chaves de segurança de hardware?
Chaves de segurança física como a chave de segurança Titan do Google e YubiKeys da Yubico usam o padrão WebAuthn, o sucessor do U2F , para ajudar a proteger suas contas. Eles funcionam como outro tipo de autenticação de dois fatores : em vez de um código que você digita, é uma chave de segurança física que você insere em uma porta USB – ou pode se comunicar sem fio via NFC (comunicação de campo próximo) ou Bluetooth .
Você pode usar sua chave como um token de segurança de hardware para entrar em contas como Google, Facebook, Dropbox e GitHub. Com o programa opcional Proteção Avançada do Google , você pode até exigir uma chave de segurança física para fazer login em sua conta.
Por que o Google e o Yubico recuperaram as chaves?
Tanto Yubico quanto o Google têm estado nas notícias recentemente. Cada um teve que recuperar algumas chaves de segurança devido a falhas de hardware.
O problema de Yubico afeta apenas os dispositivos da série YubiKey FIPS – não quaisquer dispositivos de consumidor. Como explica o comunicado de segurança de Yubico , essas chaves têm aleatoriedade insuficiente após a inicialização do dispositivo, o que pode tornar sua criptografia vulnerável. Esses dispositivos são apenas para agências governamentais e empreiteiros – não recomendamos FIPS, a menos que você seja legalmente obrigado a usá-lo. Yubico não está ciente de nenhum ataque que tenha abusado disso, mas a empresa está substituindo os dispositivos afetados de forma proativa.
O problema da chave de segurança Titan do Google, que levou ao recall e substituição das chaves afetadas, era pior. A versão Bluetooth da chave de segurança Titan, que usa Bluetooth Low Energy para se comunicar sem fio, era vulnerável a ataques devido ao que o Google chamou de “ configuração incorreta ”. Um invasor a até 9 metros de alguém usando uma chave de segurança para fazer login pode explorar a falha para entrar na conta. Ou o invasor pode enganar o computador da pessoa para emparelhar com um dongle Bluetooth diferente em vez da chave de segurança. A vulnerabilidade também afeta as chaves de segurança da Feitan – a Feitan é a empresa que fabrica as chaves Titan para o Google.
A Microsoft também lançou uma atualização do Windows que impedirá que essas chaves vulneráveis do Google Titan e Feitan emparelhem com o Windows 10 e o Windows 8.1 via Bluetooth.
Yubico nunca ofereceu uma chave Bluetooth. Quando o Google anunciou sua chave Titan, Yubico disse que já havia explorado o lançamento de sua própria chave Bluetooth Low Energy (BLE), mas que “BLE não fornece os níveis de garantia de segurança de NFC e USB”. As lutas do Google aparentemente justificaram a abordagem de Yubico de focar em USB e NFC em vez de Bluetooth.
Tanto o Google quanto a Yubico recuperaram e substituíram as chaves afetadas gratuitamente.
Ainda recomendamos essas chaves?
Apesar das falhas e recalls, ainda recomendamos chaves de segurança física. Yubico teve um problema de aleatoriedade em uma linha de produtos especificamente para o governo e o substituiu. O Google teve problemas com o Bluetooth, mas mesmo esse problema só poderia ser explorado por invasores a menos de 10 metros de você. Mesmo uma chave Titan Bluetooth defeituosa definitivamente protegia você de atacantes remotos.
Essas chaves ainda atendem a altos padrões de segurança. O fato de Yubico e Google estarem divulgando falhas proativamente e oferecendo substituições gratuitas do hardware afetado é encorajador. Os problemas nunca afetaram nenhuma chave de segurança padrão baseada em USB ou NFC para consumidores regulares.
O maior problema com essas chaves é o problema de todas as autenticações de dois fatores. Com a maioria dos serviços online, você pode simplesmente usar um método menos seguro como o SMS para remover a chave de segurança . Um invasor que aplicou um golpe de porta de telefone pode obter acesso à sua conta, mesmo se você tiver uma chave física anexada. Apenas serviços de alta segurança – como o programa Proteção Avançada do Google – podem protegê-lo contra isso.