다음과 같은 하드웨어 보안 키를 권장합니다. 유비코의 유비키 그리고 Google의 Titan 보안 키. 그러나 두 제조업체 모두 최근 하드웨어 결함으로 인해 키를 회수했으며 약간 걱정스럽습니다. 뭐가 문제 야? 이 키는 여전히 안전합니까?
목차
하드웨어 보안 키는 무엇입니까?
Google의 Titan 보안 키 및 Yubico의 YubiKey와 같은 물리적 보안 키는 U2F의 후속 버전인 WebAuthn 표준을 사용하여 계정을 보호합니다. 이는 또 다른 유형의 2단계 인증 역할을 합니다. 사용자가 입력하는 코드가 아니라 USB 포트에 삽입하는 물리적 보안 키이거나 NFC(근거리 통신) 또는 Bluetooth를 통해 무선으로 통신할 수 있습니다.
키를 하드웨어 보안 토큰으로 사용하여 Google, Facebook, Dropbox 및 GitHub 계정과 같은 계정에 로그인할 수 있습니다. Google의 선택적 고급 보호 프로그램을 사용하면 계정에 로그인하기 위해 물리적 보안 키가 필요할 수도 있습니다.
Google과 Yubico가 키를 회수한 이유는 무엇입니까?
Yubico와 Google 모두 최근 뉴스에 등장했습니다. 각각은 하드웨어 결함으로 인해 일부 보안 키를 회수해야 했습니다.
Yubico의 문제는 소비자 장치가 아닌 YubiKey FIPS 시리즈 장치에만 영향을 미칩니다. 처럼 Yubico의 보안 권고 이러한 키는 장치 전원을 켠 후 무작위성이 충분하지 않아 암호화가 취약해질 수 있다고 설명합니다. 이러한 장치는 정부 기관 및 계약자를 위한 것이므로 법적으로 사용해야 하는 경우가 아니면 FIPS를 권장하지 않습니다. Yubico는 이를 악용한 공격에 대해 알지 못하지만 회사는 영향을 받는 장치를 사전에 교체하고 있습니다.
영향을 받은 키의 회수 및 교체로 이어진 구글의 타이탄 보안 키 문제는 더 심각했다. Bluetooth Low Energy를 사용하여 무선으로 통신하는 Titan 보안 키의 Bluetooth 버전은 Google에서 “잘못된 구성.” 보안 키를 사용하여 로그인하는 사람으로부터 30피트 이내에 있는 공격자는 이 결함을 악용하여 계정에 로그인할 수 있습니다. 또는 공격자가 보안 키가 아닌 다른 Bluetooth 동글과 페어링하도록 사용자의 컴퓨터를 속일 수 있습니다. 이 취약점은 Feitan 보안 키에도 영향을 미칩니다. Feitan은 Google용 Titan 키를 제조하는 회사입니다.
마이크로소프트도 출시 윈도우 업데이트 이렇게 하면 취약한 Google Titan 및 Feitan 키가 Bluetooth를 통해 Windows 10 및 Windows 8.1과 페어링되는 것을 방지할 수 있습니다.
Yubico는 블루투스 키를 제공한 적이 없습니다. 구글이 타이탄 키를 발표했을 때, 유비코 자체 BLE(Bluetooth Low Energy) 키 출시를 모색했지만 “BLE는 NFC 및 USB의 보안 보장 수준을 제공하지 않는다”고 말했다. 구글의 고군분투는 블루투스가 아닌 USB와 NFC에 초점을 맞춘 Yubico의 접근 방식을 입증한 것 같습니다.
Google과 Yubico는 영향을 받는 키를 무료로 회수 및 교체했습니다.
여전히 이러한 키를 권장합니까?
결함과 리콜에도 불구하고 우리는 여전히 물리적 보안 키를 권장합니다. Yubico는 특히 정부를 위한 한 라인의 제품에서 임의성 문제를 경험하고 교체했습니다. Google은 Bluetooth와 관련하여 문제에 봉착했지만 그 문제라도 사용자로부터 30피트 이내의 공격자만 악용할 수 있었습니다. 결함이 있는 Bluetooth Titan 키라도 원격 공격자로부터 확실히 보호할 수 있습니다.
이러한 키는 여전히 높은 보안 표준을 충족합니다. Yubico와 Google 모두 사전에 결함을 공개하고 영향을 받는 하드웨어의 무료 교체를 제공한다는 사실은 고무적입니다. 이 문제는 일반 소비자를 위한 표준 USB 또는 NFC 기반 보안 키에 영향을 미치지 않았습니다.
이러한 키의 가장 큰 문제는 모든 이중 요소 인증의 문제입니다. 대부분의 온라인 서비스에서 SMS와 같은 덜 안전한 방법을 사용하여 보안 키를 제거할 수 있습니다. 전화 포트 아웃 사기를 수행한 공격자는 물리적 키가 연결되어 있어도 계정에 액세스할 수 있습니다. Google의 고급 보호 프로그램과 같은 매우 높은 수준의 보안 서비스만이 사용자를 보호할 수 있습니다.