
Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.
doki16Mocarz
25piorunówPiekło zamarzło, Yubikey’e zhackowane – tak moglibyśmy opisać wczorajszy komunikat wydany przez Yubico, czyli producenta najpopularniejszych na świecie fizycznych kluczy bezpieczeństwa. Moglibyśmy, ale pomimo że jest w tym nieco prawdy, to nie ma powodu do paniki, przynajmniej dla większości użytkowników popularnych yubikey’ów. Dlaczego nie ma? Zacznijmy od teorii...
Czyli ciekawa podatność kluczy Yubikey.
Komentarze (12)
Uzywam, nie narzekam. Nie jest to tanie ale zabezpieczenie przed phishingiem (zwłaszcza konta bankowego - ing wspiera klucze sprzętowe) jest tego warte.
Nie używam więc jestem chroniony 😉
Ciekawe jaką narrację i obronę przyjmie NIEBEZPIECZNIK, który ciągle zachwala Yubikajejemadafaka. ( ͡~ ͜ʖ ͡°)
@fadeimageone nigdy się nie dało kluczy aktualizować właśnie po to aby ograniczyć ryzyka.
Nawet gdy hardware będzie za grosze to musisz zlokalizować osobę i lecieć jej to zajebać a to raczej nie jest opłacalne.
@Anty_Anty z tego co wyczytałem to:
* firmware nie da się zaktualizować na wyprodukowanych już kluczach
* ryzyko jest marginalne przejęcia danych z klucza (dostęp fizyczny do klucza, potężny hardware za gruby hajs)
* YUBICO sam wydał łatkę FW, producent SoC nie ogarnął tematu.
@fadeimageone nie musi zmieniać narracji.
Ale zamiast kraść takiego YubiKey a następnie wyciągać z niego klucz prywatny, można YubiKey ukraść i go po prostu wykorzystać :smiley:
Atak chyba ciekawostką samą w sobie.
@Marchew Tak raczej ciekawostka, atakowanie warstwy zabezpieczeń w postaci yubikey w porównaniu z innymi metodami umożliwiającymi dostęp do konta, to jak próba włamania się do otwartego domu poprzez wywiercenie dziury w ścianie.
Choć jest to możliwe w przypadku bardzo ważnego celu, lub mogą pojawić się oferty sprzedaży chwilowego dostępu do klucza będącego używanego w dużych firmach.
@Marchew Owszem. Ja tu widzę zastosowanie dla np. szpiegów.
@dolitd Więc trzeba ukraść klucz oraz poznać dane pierwszego składnika.
To musiało by zostać wymierzone w ściśle określoną osobę. Prawdopodobieństwo wymierzenia takiego "ataku" w przeciętnego kowalskiego jest zbliżone do zera.
@Marchew sama kradzież też nie powinna wiele dać bo w przypadku kradzieży powinniśmy odpiąć klucz od konta, a konto powinno mieć minimum dwa klucze.