Recomendamos chaves de segurança de hardware, como as YubiKeys do Yubico e a Titan Security Key do Google. Mas ambos os fabricantes recentemente recuperaram as chaves devido a falhas de hardware, e isso parece um pouco preocupante. Qual é o problema? Essas chaves ainda estão seguras?
O que são chaves de segurança de hardware?
Chaves de segurança física como a Titan Security Key do Google e as YubiKeys do Yubico usam o padrão WebAuthn, o sucessor do U2F, para ajudar a proteger suas contas. Eles funcionam como outro tipo de autenticação de dois fatores: em vez de um código digitado, é uma chave de segurança física que você insere na porta USB – ou pode se comunicar sem fio via NFC (comunicação de campo próximo) ou Bluetooth.
Você pode usar sua chave como um token de segurança de hardware para entrar em contas como suas contas do Google, Facebook, Dropbox e GitHub. Com o programa opcional de proteção avançada do Google, você pode até exigir uma chave de segurança física para fazer login na sua conta.
RELACIONADOS: Como proteger suas contas com uma chave U2F ou YubiKey
Por que o Google e o Yubico recuperaram as chaves?
Yubico e Google têm sido notícia ultimamente. Cada um deles teve que recuperar algumas chaves de segurança devido a falhas de hardware.
O problema de Yubico afeta apenas os dispositivos YubiKey da série FIPS, e não os dispositivos de consumo. Como o conselho de segurança de Yubico explica, essas chaves têm aleatoriedade insuficiente após a inicialização do dispositivo, o que pode tornar sua criptografia vulnerável. Esses dispositivos são apenas para agências e contratados governamentais – não recomendamos o FIPS, a menos que você seja legalmente obrigado a usá-lo. O Yubico não tem conhecimento de nenhum ataque que tenha abusado disso, mas a empresa está substituindo proativamente os dispositivos afetados.
O problema da chave de segurança Titan do Google, que levou a um recall e substituição das chaves afetadas, foi pior. A versão Bluetooth da Titan Security Key, que usa Bluetooth Low Energy para se comunicar sem fio, estava vulnerável a ataques devido ao que o Google chamou de “configuração incorreta”. Um invasor a menos de 10 metros de alguém que usa uma chave de segurança para entrar pode explorar a falha para entrar em sua conta. Ou, o invasor pode induzir o computador da pessoa a emparelhar com um dongle Bluetooth diferente, em vez da chave de segurança. A vulnerabilidade também afeta as chaves de segurança Feitan – a Feitan é a empresa que fabrica as chaves Titan para o Google.
A Microsoft também lançou uma atualização do Windows que impedirá que essas chaves vulneráveis do Google Titan e Feitan sejam emparelhadas com o Windows 10 e o Windows 8.1 via Bluetooth.
Yubico nunca ofereceu uma chave Bluetooth. Quando o Google anunciou sua chave Titan, Yubico disse que já havia explorado o lançamento de sua própria chave Bluetooth Low Energy (BLE), mas que “o BLE não fornece os níveis de garantia de segurança de NFC e USB”. As lutas do Google aparentemente justificaram a abordagem de Yubico de focar em USB e NFC em vez de Bluetooth.
O Google e o Yubico recuperaram e substituíram as chaves afetadas gratuitamente.
Ainda recomendamos essas chaves?
Apesar das falhas e recalls, ainda recomendamos chaves de segurança física. Yubico teve um problema com aleatoriedade em uma linha de produtos especificamente para o governo e a substituiu. O Google teve problemas com o Bluetooth, mas mesmo esse problema só poderia ser explorado por invasores a até 30 pés de você. Mesmo uma chave Bluetooth Titan defeituosa definitivamente o protegia de atacantes remotos.
Essas chaves ainda atendem aos altos padrões de segurança. O fato de Yubico e Google estarem divulgando proativamente falhas e oferecendo substituições gratuitas do hardware afetado é encorajador. Os problemas nunca afetaram nenhuma chave de segurança padrão baseada em USB ou NFC para consumidores comuns.
O maior problema com essas chaves é o problema com toda a autenticação de dois fatores. Com a maioria dos serviços online, você pode simplesmente usar um método menos seguro como o SMS para remover a chave de segurança. Um invasor que efetuou uma farsa na saída do telefone pode obter acesso à sua conta mesmo se você tiver uma chave física anexada. Somente serviços de alta segurança, como o programa Proteção avançada do Google, podem protegê-lo contra isso.
RELACIONADOS: O que é autenticação de dois fatores e por que eu preciso?
0 Comments