パッチ不可能な Yubico 2 要素認証キーの脆弱性により、ほとんどの Yubikey 5、セキュリティ キー、YubiHSM 2FA デバイスのセキュリティが侵害される

パッチ不可能な Yubico 2 要素認証キーの脆弱性により、ほとんどの Yubikey 5、セキュリティ キー、および YubiHSM 2FA デバイスのセキュリティが破られています。 Feitian A22 JavaCard および Infineon SLB96xx シリーズ TPM を使用するその他のデバイスも脆弱です。脆弱な 2FA キーはすべて侵害されていると想定し、できるだけ早く脆弱性のないキーと交換する必要があります。

2 要素 (2FA) セキュリティ認証では、オンライン アカウントにログインするためのパスワードに加えて、ソフトウェア アプリ (例: Microsoft Authenticator) またはハードウェア キー (例: Yubikey) によって生成された一意のコードが使用されます。データや金銭の盗難を減らすために、2FA セキュリティを導入する銀行などのアカウント プロバイダーが増えています。

2 要素認証キーは、リバース エンジニアリングが困難な方法を使用した一意のコードの生成に依存します。最新の 2FA アプリとキーでは、楕円曲線アルゴリズムなどのより複雑な数学が使用されることがよくあります (IBM のサイトで数学の詳細を確認できます)。

サイドチャネル攻撃は、電子デバイスの側面を監視して攻撃を作成します。 Yubico、Feitian、その他の 2FA キーで使用されている脆弱な Infineon TPM チップについて、Ninjalabs の研究者は 2 年を費やして、攻撃を作成するためにチップからの無線放射を捕捉および解読しました。

ハッカーは、電波放射を捕捉するためにキーにアクセスするのに最大 1 時間必要となり、その後、データを解読して 2FA キーのコピーを作成するには 1 ～ 2 日かかります。数学とテクニックはかなり複雑なので、暗号化、数学、電子工学のノウハウを持つ読者は、NinjaLab の記事で複雑なメソッドを読むことができます。 NinjaLab は以前、他の Google Titan、Feitian、Yubico、NXP キーにも同様の脆弱性を明らかにしました。

Yubico 2FA キーのユーザーは、Yubico セキュリティ勧告を参照して、キーが脆弱かどうかを確認する必要があります。他のデバイスのユーザーは、そのデバイスが脆弱な Infineon SLB96xx シリーズ TPM を使用しているかどうかをメーカーに問い合わせる必要があります。影響を受けるデバイスにパッチを適用してセキュリティの脆弱性を修正することはできません。

影響を受けるすべてのキー所有者は、代替キーに脆弱性がないことを確認した後、代替キーへの切り替えを強く検討する必要があります。代替の 2FA キーには、Feitian または iShield が含まれます。

以上がパッチ不可能な Yubico 2 要素認証キーの脆弱性により、ほとんどの Yubikey 5、セキュリティ キー、YubiHSM 2FA デバイスのセキュリティが侵害されるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。