Die nicht patchbare Sicherheitslücke im Yubico-Zwei-Faktor-Authentifizierungsschlüssel beeinträchtigt die Sicherheit der meisten Yubikey 5-, Security Key- und YubiHSM 2FA-Geräte

Eine nicht patchbare Sicherheitslücke im Yubico-Zwei-Faktor-Authentifizierungsschlüssel hat die Sicherheit der meisten Yubikey 5-, Security Key- und YubiHSM 2FA-Geräte beeinträchtigt. Die Feitian A22 JavaCard und andere Geräte, die TPMs der Infineon SLB96xx-Serie verwenden, sind ebenfalls anfällig. Alle anfälligen 2FA-Schlüssel sollten als kompromittiert angenommen und so schnell wie möglich durch nicht anfällige Schlüssel ersetzt werden.

Die Zwei-Faktor-Sicherheitsauthentifizierung (2FA) verwendet einen einzigartigen Code, der von einer Software-App (z. B. Microsoft Authenticator) oder einem Hardwareschlüssel (z. B. Yubikey) generiert wird, zusätzlich zu einem Passwort, um sich bei Online-Konten anzumelden. Immer mehr Kontoanbieter, wie zum Beispiel Banken, haben 2FA-Sicherheit implementiert, um den Diebstahl von Daten und Geld zu reduzieren.

Zwei-Faktor-Authentifizierungsschlüssel basieren auf der Generierung eines eindeutigen Codes mithilfe von Methoden, die schwer zurückzuentwickeln sind. Moderne 2FA-Apps und -Schlüssel verwenden oft komplexere Mathematik wie Algorithmen für elliptische Kurven (detailliertere Einblicke in die Mathematik finden Sie auf der Website von IBM).

Seitenkanalangriffe überwachen Aspekte eines elektronischen Geräts, um einen Angriff auszulösen. Für die anfälligen TPM-Chips von Infineon, die in Yubico, Feitian und anderen 2FA-Schlüsseln verwendet werden, haben die Forscher von Ninjalabs zwei Jahre damit verbracht, die Funkemissionen der Chips zu erfassen und zu entschlüsseln, um einen Angriff zu starten.

Hacker benötigen bis zu einer Stunde Zugriff auf den Schlüssel, um die Funkemissionen zu erfassen, und dann ein oder zwei Tage, um die Daten zu entschlüsseln und eine Kopie des 2FA-Schlüssels zu erstellen. Die Mathematik und Techniken sind recht komplex, sodass Leser mit Kenntnissen in Kryptographie, Mathematik und Elektronik die komplexen Methoden im NinjaLab-Artikel lesen können. NinjaLab hat zuvor ähnliche Schwachstellen in anderen Google Titan-, Feitian-, Yubico- und NXP-Schlüsseln aufgedeckt.

Benutzer von Yubico 2FA-Schlüsseln sollten die Sicherheitshinweise von Yubico konsultieren, um zu sehen, ob ihre Schlüssel angreifbar sind. Benutzer anderer Geräte müssen die Hersteller fragen, ob die Geräte anfällige TPMs der Infineon SLB96xx-Serie verwenden. Betroffene Geräte können nicht gepatcht werden, um die Sicherheitslücke zu schließen.

Alle betroffenen Schlüsselbesitzer sollten dringend einen Wechsel zu Alternativen in Betracht ziehen, nachdem sie sich vergewissert haben, dass die Alternativen nicht anfällig sind. Zu den alternativen 2FA-Schlüsseln gehören Feitian oder iShield.

Das obige ist der detaillierte Inhalt vonDie nicht patchbare Sicherheitslücke im Yubico-Zwei-Faktor-Authentifizierungsschlüssel beeinträchtigt die Sicherheit der meisten Yubikey 5-, Security Key- und YubiHSM 2FA-Geräte. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!