Kerentanan kunci pengesahan dua faktor Yubico yang tidak dapat ditambal memecah keselamatan kebanyakan peranti Yubikey 5, Kunci Keselamatan dan YubiHSM 2FA

Kerentanan kunci pengesahan dua faktor Yubico yang tidak dapat ditambal telah memecahkan keselamatan kebanyakan peranti Yubikey 5, Kunci Keselamatan dan YubiHSM 2FA. JavaCard A22 Feitian dan peranti lain yang menggunakan TPM siri Infineon SLB96xx juga terdedah. Semua kunci 2FA yang terdedah harus diandaikan telah terjejas dan digantikan dengan yang tidak terdedah secepat mungkin.

Pengesahan keselamatan dua faktor (2FA) menggunakan kod unik yang dijana oleh apl perisian (cth. Microsoft Authenticator) atau kunci perkakasan (cth. Yubikey) sebagai tambahan kepada kata laluan untuk log masuk ke akaun dalam talian. Semakin banyak penyedia akaun, seperti bank, telah melaksanakan keselamatan 2FA untuk mengurangkan kecurian data dan wang.

Kunci pengesahan dua faktor bergantung pada penjanaan kod unik menggunakan kaedah yang sukar untuk kejuruteraan terbalik. Apl dan kekunci 2FA moden selalunya menggunakan matematik yang lebih kompleks seperti algoritma lengkung elips (selam mendalam ke dalam matematik di tapak IBM).

Serangan saluran sisi memantau aspek peranti elektronik untuk membuat serangan. Untuk cip TPM Infineon yang terdedah yang digunakan dalam kekunci Yubico, Feitian dan 2FA yang lain, para penyelidik di Ninjalabs menghabiskan dua tahun menangkap dan mentafsir pelepasan radio daripada cip tersebut untuk mencipta serangan.

Penggodam memerlukan sehingga satu jam akses kepada kunci untuk menangkap pelepasan radio, kemudian satu atau dua hari untuk mentafsir data dan mencipta salinan kunci 2FA. Matematik dan tekniknya agak rumit, jadi pembaca yang mempunyai pengetahuan dalam kriptografi, matematik dan elektronik boleh membaca kaedah yang rumit dalam artikel NinjaLab. NinjaLab sebelum ini mendedahkan kelemahan serupa dalam kunci Google Titan, Feitian, Yubico dan NXP yang lain.

Pengguna kunci Yubico 2FA harus merujuk kepada nasihat keselamatan Yubico untuk melihat sama ada kunci mereka terdedah. Pengguna peranti lain perlu bertanya kepada pembuat jika peranti itu menggunakan TPM siri Infineon SLB96xx yang terdedah. Peranti yang terjejas tidak boleh ditampal untuk membetulkan kelemahan keselamatan.

Semua pemilik kunci yang terjejas harus mempertimbangkan untuk beralih kepada alternatif selepas mengesahkan alternatif tersebut tidak terdedah. Kunci 2FA alternatif termasuk Feitian atau iShield.

Atas ialah kandungan terperinci Kerentanan kunci pengesahan dua faktor Yubico yang tidak dapat ditambal memecah keselamatan kebanyakan peranti Yubikey 5, Kunci Keselamatan dan YubiHSM 2FA. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!