Recomendamos chaves de segurança de hardware como YubiKeys de Yubico e Chave de segurança Titan do Google. Mas ambos os fabricantes recentemente retiraram as chaves devido a falhas de hardware, e isso parece um pouco preocupante. Qual é o problema? Essas chaves ainda estão seguras?
O que são chaves de segurança de hardware?
Chaves de segurança física como a chave de segurança Titan do Google e YubiKeys da Yubico usam o padrão WebAuthn, o sucessor do U2F, para ajudar a proteger suas contas. Eles funcionam como outro tipo de autenticação de dois fatores: em vez de um código que você digita, é uma chave de segurança física que você insere em uma porta USB – ou pode se comunicar sem fio via NFC (comunicação de campo próximo) ou Bluetooth.
Você pode usar sua chave como um token de segurança de hardware para entrar em contas como Google, Facebook, Dropbox e GitHub. Com o programa opcional Proteção Avançada do Google, você pode até exigir uma chave de segurança física para fazer login em sua conta.
Por que o Google e o Yubico recuperaram as chaves?
Tanto Yubico quanto o Google têm estado nas notícias ultimamente. Cada um teve que recuperar algumas chaves de segurança devido a falhas de hardware.
O problema de Yubico afeta apenas dispositivos YubiKey da série FIPS – não quaisquer dispositivos de consumidor. Como Conselheiro de segurança de Yubico explica, essas chaves têm aleatoriedade insuficiente após a inicialização do dispositivo, o que pode tornar sua criptografia vulnerável. Esses dispositivos são apenas para agências governamentais e contratados – não recomendamos FIPS, a menos que você seja legalmente obrigado a usá-lo. Yubico não tem conhecimento de nenhum ataque que tenha abusado disso, mas a empresa está substituindo proativamente os dispositivos afetados.
O problema da chave de segurança Titan do Google, que levou a um recall e substituição das chaves afetadas, era pior. A versão Bluetooth da chave de segurança Titan, que usa Bluetooth Low Energy para se comunicar sem fio, era vulnerável a ataques devido ao que o Google chamou de “configuração incorreta. ” Um invasor a até 30 pés de alguém usando uma chave de segurança para fazer login pode explorar a falha para entrar em sua conta. Ou o invasor pode enganar o computador da pessoa para emparelhar com um dongle Bluetooth diferente em vez da chave de segurança. A vulnerabilidade também afeta as chaves de segurança da Feitan – a Feitan é a empresa que fabrica as chaves Titan para o Google.
A Microsoft também lançou um Atualização do Windows isso impedirá que essas chaves vulneráveis do Google Titan e Feitan emparelhem com o Windows 10 e o Windows 8.1 via Bluetooth.
Yubico nunca ofereceu uma chave Bluetooth. Quando o Google anunciou sua chave Titan, Yubico disse que já havia explorado o lançamento de sua própria chave Bluetooth Low Energy (BLE), mas que “o BLE não fornece os níveis de garantia de segurança de NFC e USB”. As lutas do Google aparentemente justificaram a abordagem de Yubico de focar em USB e NFC em vez de Bluetooth.
Tanto o Google quanto a Yubico recuperaram e substituíram as chaves afetadas gratuitamente.
Ainda recomendamos essas chaves?
Apesar das falhas e recalls, ainda recomendamos chaves de segurança física. Yubico teve um problema de aleatoriedade em uma linha de produtos especificamente para o governo e o substituiu. O Google teve problemas com o Bluetooth, mas mesmo esse problema só poderia ser explorado por invasores a menos de 10 metros de você. Mesmo uma chave Titan Bluetooth defeituosa definitivamente protegia você de atacantes remotos.
Essas chaves ainda atendem a altos padrões de segurança. O fato de Yubico e Google estarem divulgando falhas proativamente e oferecendo substituições gratuitas do hardware afetado é encorajador. Os problemas nunca afetaram nenhuma chave de segurança padrão baseada em USB ou NFC para consumidores regulares.
O maior problema com essas chaves é o problema de todas as autenticações de dois fatores. Com a maioria dos serviços online, você pode simplesmente usar um método menos seguro, como o SMS, para remover a chave de segurança. Um invasor que aplicou um golpe de porta de telefone pode obter acesso à sua conta, mesmo se você tiver uma chave física anexada. Somente serviços de alta segurança, como o programa Proteção Avançada do Google, podem protegê-lo contra isso.
