Kunci keamanan Google Titan

Cameron Summerson

Kami merekomendasikan kunci keamanan perangkat keras seperti YubiKeys dari Yubico dan Kunci Keamanan Titan Google . Tetapi kedua produsen baru-baru ini menarik kunci karena kelemahan perangkat keras, dan itu terdengar sedikit mengkhawatirkan. Apa masalahnya? Apakah kunci ini masih aman?



Apa itu Kunci Keamanan Perangkat Keras?

Kunci keamanan fisik seperti Kunci Keamanan Titan Google dan YubiKeys Yubico menggunakan standar WebAuthn, penerus dari U2F , untuk membantu melindungi akun Anda. Mereka berfungsi sebagai jenis lain dari otentikasi dua faktor : Alih-alih kode yang Anda ketik, ini adalah kunci keamanan fisik yang Anda masukkan ke port USB—atau dapat berkomunikasi secara nirkabel melalui NFC (komunikasi jarak dekat) atau Bluetooth .

Kamu bisa gunakan kunci Anda sebagai token keamanan perangkat keras untuk masuk ke akun seperti akun Google, Facebook, Dropbox, dan GitHub Anda. Dengan Google opsional Perlindungan Lanjutan program, Anda bahkan dapat meminta kunci keamanan fisik untuk masuk ke akun Anda.

TERKAIT: Cara Mengamankan Akun Anda Dengan Kunci U2F atau YubiKey

Mengapa Google dan Yubico Memanggil Kunci?

Kunci FIPS Yubico

Yubico

Baik Yubico dan Google telah menjadi berita akhir-akhir ini. Masing-masing harus mengingat beberapa kunci keamanan karena kelemahan perangkat keras.

Masalah Yubico hanya memengaruhi perangkat Seri FIPS YubiKey—bukan perangkat konsumen mana pun. Sebagai Penasihat keamanan Yubico menjelaskan, kunci-kunci ini memiliki keacakan yang tidak memadai setelah penyalaan perangkat, yang dapat membuat enkripsi mereka rentan. Perangkat ini hanya untuk instansi pemerintah dan kontraktor— kami tidak merekomendasikan FIPS kecuali Anda diwajibkan secara hukum untuk menggunakannya. Yubico tidak mengetahui adanya serangan yang menyalahgunakan ini, tetapi perusahaan secara proaktif mengganti perangkat yang terpengaruh.

Iklan

Masalah Kunci Keamanan Titan Google, yang menyebabkan penarikan dan penggantian kunci yang terpengaruh, lebih buruk. Versi Bluetooth dari Kunci Keamanan Titan, yang menggunakan Bluetooth Hemat Energi untuk berkomunikasi secara nirkabel, rentan terhadap serangan karena apa yang disebut Google sebagai salah konfigurasi . Penyerang dalam jarak 30 kaki dari seseorang yang menggunakan kunci keamanan untuk masuk dapat memanfaatkan kelemahan tersebut untuk masuk ke akun mereka. Atau, penyerang dapat mengelabui komputer orang tersebut agar memasangkan dengan dongle Bluetooth yang berbeda, bukan dengan kunci keamanan. Kerentanan juga memengaruhi kunci keamanan Feitan—Feitan adalah perusahaan yang membuat kunci Titan untuk Google.

Microsoft juga telah meluncurkan Pembaruan Windows yang akan mencegah kunci Google Titan dan Feitan yang rentan ini untuk dipasangkan dengan Windows 10 dan Windows 8.1 melalui Bluetooth.

Yubico tidak pernah menawarkan kunci Bluetooth. Ketika Google mengumumkan kunci Titan-nya, Yubico mengatakan bahwa mereka sebelumnya telah mengeksplorasi peluncuran kunci Bluetooth Low Energy (BLE) sendiri tetapi BLE tidak memberikan tingkat jaminan keamanan NFC dan USB. Perjuangan Google tampaknya membenarkan pendekatan Yubico yang berfokus pada USB dan NFC daripada Bluetooth.

Baik Google dan Yubico menarik dan mengganti kunci yang terpengaruh secara gratis.

Apakah Kami Masih Merekomendasikan Kunci Ini?

Terlepas dari kekurangan dan penarikan, kami tetap merekomendasikan kunci keamanan fisik. Yubico mengalami masalah keacakan dalam satu lini produk khusus untuk pemerintah dan menggantikannya. Google mengalami masalah dengan Bluetooth, tetapi bahkan masalah itu hanya dapat dimanfaatkan oleh penyerang dalam jarak 30 kaki dari Anda. Bahkan kunci Bluetooth Titan yang cacat pasti melindungi Anda dari penyerang jarak jauh.

Iklan

Kunci ini masih memenuhi standar keamanan yang tinggi. Fakta bahwa baik Yubico dan Google secara proaktif mengungkapkan kekurangan dan menawarkan penggantian perangkat keras yang terpengaruh secara gratis adalah hal yang menggembirakan. Masalah tidak pernah memengaruhi kunci keamanan standar USB atau NFC untuk konsumen biasa.

Masalah terbesar dengan kunci ini adalah masalah dengan semua otentikasi dua faktor. Dengan sebagian besar layanan online, Anda dapat dengan mudah gunakan metode yang kurang aman seperti SMS untuk menghapus kunci keamanan . Seorang penyerang yang melakukan penipuan port-out telepon bisa mendapatkan akses ke akun Anda bahkan jika Anda memiliki kunci fisik yang terpasang. Hanya layanan dengan keamanan yang sangat tinggi—seperti program Perlindungan Lanjutan Google—yang dapat melindungi Anda dari hal itu.

TERKAIT: Apa itu Otentikasi Dua Faktor, dan Mengapa Saya Membutuhkannya?

BACA BERIKUTNYA