YubiKey (maskinvaretoken for tofaktorautentisering) er sårbar for kloningsangrep

[backtoback]

YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel
https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/

Sitat

YubiKey 5, det mest brukte maskinvaretokenet for tofaktorautentisering basert på FIDO-standarden, inneholder en kryptografisk feil som gjør den fingerstore enheten sårbar for kloning når en angriper får midlertidig fysisk tilgang til den, sa forskere tirsdag.

YubiKeys tilbyr valgfri brukerautentisering, inkludert krav om en PIN-kode, fingeravtrykk eller ansiktsskanning. For at kloningsangrepet skal fungere mot YubiKeys ved hjelp av disse tilleggstiltakene, må en angriper også ha brukerverifiseringsfaktoren. Mer informasjon om hvordan du kan bruke disse tilleggstiltakene for å låse YubiKeys ytterligere, finner du her.

Translated by Deepl.com (Free version)

 

Jeg har tenkt å kjøpe ett par av disse, og så lenge ingen "angripere" får fysisk tilgang til YubiKey'en, er jeg vel på trygg grunn.

Endret 4. september 2024 av backtoback
typos

[tingo]

Hvis du har en som er ny nok (firmware 5.7.0 fra mai 2024, eller nyere) så er du helt trygg, ifølge Yubico
https://www.yubico.com/support/security-advisories/ysa-2024-03/

Det skal endel til for å knekke krypteringen også (som nevnt i artikkelen til ARS Technica), det er ikke trivielt.

Endret 4. september 2024 av tingo
la til en setning om innsats som kreves.

[backtoback]

Takk for info , da kjøper jeg YubiKey 5 serien, versjon 5.7.0 eller nyere!

[Slaps]

Jeg har en yubikey som jeg kjøpte for 1-2 måneder siden. Den har FW 5.4, så vær obs.

[backtoback]

Sitat

Alle YubiKeys som kjører fastvare før versjon 5.7 - som ble lansert i mai og erstatter Infineons kryptobibliotek med et eget - er sårbare. Det er ikke mulig å oppdatere nøkkelens fastvare på YubiKey. Dermed er alle berørte YubiKeys permanent sårbare.

Translated by DeepL.com (free version)

@Slaps, kjøpte du direkte fra Yubikey.com eller fra en annen nettbutikk (med "gamle" Yubikey på lager)?
Det er kanskje best å bestille direkte fra Yubikey.com.

[Slaps]

Just now, backtoback said:

@Slaps, kjøpte du direkte fra Yubikey.com eller fra en annen nettbutikk (med "gamle" Yubikey på lager)?
Det er kanskje best å bestille direkte fra Yubikey.com.

Annen nettbutikk. Dustinhome

[backtoback]

@Slaps, takk for advarselen , jeg var nære på å bestille fra DustinHOME. Jeg stakk innom Prisjakt.no og sjekket 7 nettbutikker, ingen gir info om fastvareversjon -- det blir de sikkert å fortsette med, for å kvitte seg meg lagerbeholdningen!

Endret 4. september 2024 av backtoback
typos

[Runar]

backtoback skrev (På 4.9.2024 den 2:18 PM):

Jeg har tenkt å kjøpe ett par av disse, og så lenge ingen "angripere" får fysisk tilgang til YubiKey'en, er jeg vel på trygg grunn.

Ja, for hvis en angriper får fysisk tilgang til sikkerhetsnøkkelen din så har du sannsynligvis større problemer enn at nøkkelen teoretisk kan kopieres.