Gå til innhold

Sikkerhetsforskere: – Kraftig økning i verktøy som brukes til å omgå totrinnsverifikasjon


Anbefalte innlegg

Videoannonse
Annonse
Burgomatic skrev (41 minutter siden):

Hva om Onkel Blå får tak i Yubikey'en?


De trenger fremdeles passordet, alt åpner seg ikke magisk bare man setter inn en Yubikey.

Når det er sagt, så løser den typen dingser et veldig spesifikt problem.

I og med at slike "keys" er hardware som ikke vanligvis er koblet til en maskin, så kan den heller ikke hackes direkte, og ettersom man må trykke på en knapp for å autentisere, så kan man ikke umiddelbart hente ut koder/passord heller.

Når det er sagt, så er den jo sårbar i det man setter den inn i en maskin, å trykker på knappen.
Dersom maskinen har malware som retter seg mot den typen dingser, noe vi nok vil se mer av etter hvert, så er Yubikey sårbar i det øyeblikket.

Passordet til dingsen tastes også inn på PC'en den brukes på, slik at det er gode muligheter for å fange opp dette med selv enkle keyloggere.

Autentiseringen fra slike "keys" går også over nett på samme måte som alt annet, og er sårbar for en rekke angrepsmodeller, alt fra phising til man-in-the-middle.

Enkelte protokoller og løsninger som støttes av blant Yubikey forsøker dog å minimere disse risikoene.

En del av disse problemene kunne man enkelt unngå ved å bruke en dings som var helt fysisk adskilt, litt som Bank-ID brikker, hvor man må taste inn passordet på selve brikken, for så å få en kode, altså mer tradisjonell Diffie-Hellman.

Så er det vel som det alltid er, mye brukerfeil. En del brukere vil nok ha slike "keys" plugget inn i PC'en til en hver tid, fordi det er lettere enn å ta den inn og ut hver gang den skal brukes, og kanskje også ha passordet lagret lokalt i en eller annen autofyll-greie eller i en tekstfil. Da er man akkurat like langt.

Endret av 0laf
  • Liker 1
Lenke til kommentar
6 hours ago, Burgomatic said:

Hva om Onkel Blå får tak i Yubikey'en?

Som Olaf sier så må jeg fortsatt skrive inn passordet mitt.
Passordet er den første faktoren og sikkerhetsnøkkelen er den andre faktoren.

Det finnes også MFA (Multi Factor Authentication). Den krever 3 eller flere faktorer.
Men det er det ikke mange som bruker.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...