Chaves de Segurança: Riscos Reais & Melhores Práticas (Atualizado!)

Sugere-se a utilização de chaves de segurança de hardware, como as YubiKeys da Yubico e a Chave de Segurança Titan do Google. Contudo, ambas as empresas recentemente efetuaram o recolhimento de certas chaves devido a falhas de hardware, o que causa preocupação. Qual é a raiz do problema? Estas chaves ainda oferecem segurança?

O que são as chaves de segurança de hardware?

Chaves de segurança físicas, como a chave de segurança Titan do Google e as YubiKeys da Yubico, empregam o padrão WebAuthn, sucessor do U2F, com o propósito de fortalecer a segurança das suas contas. Funcionam como um método alternativo de autenticação de dois fatores: em vez de um código digitado, é utilizada uma chave de segurança física conectada a uma porta USB, ou comunicando-se sem fios através de NFC (comunicação de campo próximo) ou Bluetooth.

Estas chaves podem ser usadas como tokens de segurança de hardware para aceder a contas como Google, Facebook, Dropbox e GitHub. No âmbito do programa opcional de Proteção Avançada do Google, é até possível exigir a presença de uma chave de segurança física para aceder à sua conta.

Quais os motivos para o Google e a Yubico recolherem as chaves?

Recentemente, tanto a Yubico quanto o Google têm sido alvo de notícias. Ambas as empresas tiveram de recolher algumas chaves de segurança devido a vulnerabilidades de hardware.

O problema da Yubico afeta apenas os dispositivos YubiKey da série FIPS, excluindo os dispositivos para consumidores. Conforme explicado no Aviso de Segurança da Yubico, estas chaves apresentam aleatoriedade insuficiente após a inicialização, o que pode tornar a sua criptografia suscetível. Estes dispositivos destinam-se exclusivamente a agências governamentais e contratados, não sendo recomendados para outros utilizadores, a menos que seja legalmente obrigatório. A Yubico não tem conhecimento de quaisquer ataques que tenham explorado esta falha, mas a empresa está proactivamente a substituir os dispositivos afetados.

O problema com a chave de segurança Titan do Google, que levou ao recolhimento e substituição das chaves comprometidas, foi mais grave. A versão Bluetooth da chave de segurança Titan, que utiliza Bluetooth Low Energy para comunicação sem fios, era vulnerável a ataques devido a uma “configuração incorreta”, segundo o Google, conforme mencionado no blog de segurança do Google. Um atacante que estivesse a uma distância de até 10 metros poderia explorar esta falha para aceder à conta de um utilizador. Ou o invasor poderia enganar o computador do utilizador para emparelhar com um dongle Bluetooth diferente da chave de segurança. A vulnerabilidade também afeta as chaves de segurança da Feitan, fabricante das chaves Titan para o Google.

A Microsoft também lançou uma atualização do Windows que impede que estas chaves vulneráveis do Google Titan e Feitan se emparelhem com o Windows 10 e o Windows 8.1 via Bluetooth.

A Yubico nunca disponibilizou uma chave Bluetooth. Quando o Google apresentou a sua chave Titan, a Yubico declarou que já havia analisado o lançamento da sua própria chave Bluetooth Low Energy (BLE), mas que “o BLE não oferece os mesmos níveis de segurança do NFC e USB.” As dificuldades enfrentadas pelo Google parecem confirmar a decisão da Yubico de priorizar o USB e NFC em vez do Bluetooth.

Tanto o Google quanto a Yubico recolheram e substituíram as chaves afetadas sem qualquer custo.

Estas chaves ainda são recomendáveis?

Apesar das falhas e recolhimentos, a recomendação de chaves de segurança físicas permanece. A Yubico teve um problema de aleatoriedade numa linha de produtos específica para o governo e procedeu à sua substituição. O Google enfrentou problemas com o Bluetooth, mas mesmo essa vulnerabilidade só poderia ser explorada por atacantes que estivessem a poucos metros. Uma chave Titan Bluetooth defeituosa ainda protegia contra atacantes remotos.

Estas chaves continuam a cumprir elevados padrões de segurança. O facto de tanto a Yubico como o Google divulgarem proactivamente as falhas e oferecerem a substituição gratuita do hardware afetado é encorajador. Os problemas nunca afetaram as chaves de segurança padrão baseadas em USB ou NFC para consumidores comuns.

O maior desafio destas chaves é o mesmo de todos os métodos de autenticação de dois fatores. Na maioria dos serviços online, é possível utilizar um método menos seguro, como o SMS, para contornar a chave de segurança. Um atacante que tenha conseguido realizar um ataque de troca de cartão SIM pode aceder à sua conta, mesmo com uma chave física ativada. Apenas serviços de alta segurança, como o programa de Proteção Avançada do Google, oferecem proteção contra estas ameaças.