Yubico의 YubiKeys 및 Google의 Titan 보안 키와 같은 하드웨어 보안 키를 권장합니다. 그러나 두 제조업체 모두 최근 하드웨어 결함으로 인해 키를 리콜했으며 약간 걱정하는 것 같습니다. 뭐가 문제 야? 이 키들은 여전히 안전합니까?
하드웨어 보안 키란 무엇입니까?
Google의 Titan 보안 키 및 Yubico의 YubiKeys와 같은 물리적 보안 키는 U2F의 후속 버전 인 WebAuthn 표준을 사용하여 계정을 보호합니다. 다른 유형의 2 단계 인증으로 작동합니다. 입력하는 코드가 아니라 USB 포트에 삽입하는 물리적 보안 키이거나 NFC (근거리 통신) 또는 Bluetooth를 통해 무선으로 통신 할 수 있습니다.
키를 하드웨어 보안 토큰으로 사용하여 Google, Facebook, Dropbox 및 GitHub 계정과 같은 계정에 로그인 할 수 있습니다. Google의 선택적 고급 보호 프로그램을 사용하면 계정에 로그인하기 위해 실제 보안 키가 필요할 수도 있습니다.
관련 : U2F 키 또는 YubiKey로 계정을 보호하는 방법
Google과 Yubico가 왜 키를 리콜 했습니까?
유비 코와 구글 모두 최근 뉴스에 나왔다. 하드웨어 결함으로 인해 각각 보안 키를 회수해야했습니다.
Yubico의 문제는 소비자 장치가 아닌 YubiKey FIPS 시리즈 장치에만 영향을줍니다. Yubico의 보안 권고에 따르면,이 키는 장치 전원을 켠 후 임의성이 충분하지 않아 암호화가 취약해질 수 있습니다. 이 기기는 정부 기관 및 계약자 전용입니다. 법적으로 사용해야하는 경우가 아니라면 FIPS를 권장하지 않습니다. Yubico는이를 악용 한 공격을 인식하지 못했지만 회사는 영향을받는 장치를 적극적으로 교체하고 있습니다.
영향을받는 키를 리콜 및 교체하게 된 Google의 타이탄 보안 키 문제는 더 나빴습니다. Bluetooth Low Energy를 사용하여 무선으로 통신하는 Titan 보안 키의 Bluetooth 버전은 Google이 “잘못된 구성”이라고하는 공격에 취약했습니다. 보안 키를 사용하여 로그인 한 사람으로부터 30 피트 이내에있는 공격자는이 결함을 악용하여 자신의 계정에 로그인 할 수 있습니다. 또는 공격자가 개인 컴퓨터를 보안 키가 아닌 다른 Bluetooth 동글과 페어링하도록 속일 수 있습니다. 이 취약점은 Feitan 보안 키에도 영향을 미칩니다. Feitan은 Google의 Titan 키를 제조하는 회사입니다.
Microsoft는 또한 이러한 취약한 Google Titan 및 Feitan 키가 Bluetooth를 통해 Windows 10 및 Windows 8.1과 페어링되지 않도록하는 Windows 업데이트를 출시했습니다.
Yubico는 Bluetooth 키를 제공하지 않았습니다. 구글이 타이탄 키를 발표했을 때, 유비 코는 이전에 자사의 BLE (Bluetooth Low Energy) 키 출시를 탐색했지만 “BLE는 NFC 및 USB의 보안 보증 수준을 제공하지 않는다”고 말했다. 구글의 투쟁은 유비 코의 접근 방식이 블루투스가 아닌 USB와 NFC에 집중하는 것으로 보인다.
Google과 Yubico는 모두 영향을받는 키를 무료로 회수하고 교체했습니다.
우리는 여전히이 키들을 추천합니까?
결함과 리콜에도 불구하고 여전히 물리적 보안 키를 권장합니다. Yubico는 정부를 위해 특별히 한 제품 라인에서 임의성 문제를 경험하고 교체했습니다. 구글은 블루투스에 문제를 일으켰지 만, 30 피트 이내에있는 공격자들만이이 문제를 악용 할 수 있었다. 결함이있는 Bluetooth Titan 키조차도 원격 공격자로부터 사용자를 확실히 보호했습니다.
이 키는 여전히 높은 보안 표준을 충족합니다. Yubico와 Google이 모두 결함을 사전에 공개하고 영향을받는 하드웨어를 무료로 교체 할 수 있다는 사실이 고무적입니다. 이 문제는 일반 소비자를위한 표준 USB 또는 NFC 기반 보안 키에는 영향을 미치지 않습니다.
이러한 키의 가장 큰 문제는 모든 2 단계 인증의 문제입니다. 대부분의 온라인 서비스에서는 SMS와 같이 보안 성이 떨어지는 방법을 사용하여 보안 키를 제거 할 수 있습니다. 전화 포트 아웃 사기를 차단 한 공격자는 실제 키가 연결되어 있어도 계정에 액세스 할 수 있습니다. Google의 고급 보호 프로그램과 같은 보안 수준이 높은 서비스 만이이를 방지 할 수 있습니다.
관련 : 2 단계 인증이란 무엇이며 왜 필요한가요?
