패치가 불가능한 Yubico 2단계 인증 키 취약점으로 인해 대부분의 Yubikey 5, 보안 키 및 YubiHSM 2FA 장치의 보안이 손상되었습니다.

패치할 수 없는 Yubico 2단계 인증 키 취약점으로 인해 대부분의 Yubikey 5, 보안 키 및 YubiHSM 2FA 장치의 보안이 손상되었습니다. Infineon SLB96xx 시리즈 TPM을 사용하는 Feitian A22 JavaCard 및 기타 장치도 취약합니다. 모든 취약한 2FA 키는 손상된 것으로 간주하고 가능한 한 빨리 취약하지 않은 키로 교체해야 합니다.

2단계(2FA) 보안 인증은 온라인 계정에 로그인하기 위한 비밀번호 외에 소프트웨어 앱(예: Microsoft Authenticator) 또는 하드웨어 키(예: Yubikey)에서 생성된 고유 코드를 사용합니다. 은행 등 점점 더 많은 계정 제공업체가 데이터 및 자금 도난을 줄이기 위해 2FA 보안을 구현하고 있습니다.

2단계 인증 키는 리버스 엔지니어링이 어려운 방법을 사용하여 고유 코드를 생성하는 방식으로 이루어집니다. 최신 2FA 앱과 키는 종종 타원 곡선 알고리즘과 같은 더 복잡한 수학을 사용합니다(IBM 사이트의 수학에 대해 자세히 알아보세요).

부차 채널 공격은 전자 장치의 측면을 모니터링하여 공격을 생성합니다. Yubico, Feitian 및 기타 2FA 키에 사용되는 취약한 Infineon TPM 칩의 경우 Ninjalabs의 연구원들은 공격을 생성하기 위해 칩에서 무선 방출을 캡처하고 해독하는 데 2년을 보냈습니다.

해커가 무선 방출을 캡처하려면 키에 최대 1시간 동안 액세스해야 하며, 데이터를 해독하고 2FA 키의 복사본을 만드는 데는 하루나 이틀이 소요됩니다. 수학과 기술은 다소 복잡하므로 암호학, 수학, 전자 분야의 노하우가 있는 독자는 NinjaLab의 기사에서 복잡한 방법을 읽을 수 있습니다. NinjaLab은 이전에 다른 Google Titan, Feitian, Yubico 및 NXP 키에서도 유사한 취약점을 발견했습니다.

Yubico 2FA 키 사용자는 Yubico 보안 권고를 참조하여 키가 취약한지 확인해야 합니다. 다른 장치 사용자는 해당 장치가 취약한 Infineon SLB96xx 시리즈 TPM을 사용하는지 제조업체에 문의해야 합니다. 영향을 받는 장치는 보안 취약점을 수정하기 위해 패치를 적용할 수 없습니다.

영향을 받는 모든 키 소유자는 대안이 취약하지 않은지 확인한 후 대안으로 전환하는 것을 강력히 고려해야 합니다. 대체 2FA 키에는 Feitian 또는 iShield가 포함됩니다.

위 내용은 패치가 불가능한 Yubico 2단계 인증 키 취약점으로 인해 대부분의 Yubikey 5, 보안 키 및 YubiHSM 2FA 장치의 보안이 손상되었습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!