Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.
SekurakCzyli ciekawa podatność kluczy Yubikey.
#technologia #cyberbezpieczenstwo #cybersecurity #ciekawostki
Ale zamiast kraść takiego YubiKey a następnie wyciągać z niego klucz prywatny, można YubiKey ukraść i go po prostu wykorzystać
Atak chyba ciekawostką samą w sobie.
@Marchew sama kradzież też nie powinna wiele dać bo w przypadku kradzieży powinniśmy odpiąć klucz od konta, a konto powinno mieć minimum dwa klucze.
@Marchew @dildo-vaggins Tu raczej chodzi o to, żeby ukraść, ale niepostrzeżenie. Ofiara nadal ma swój klucz i niczego nie podejrzewa.
@dolitd Więc trzeba ukraść klucz oraz poznać dane pierwszego składnika.
To musiało by zostać wymierzone w ściśle określoną osobę. Prawdopodobieństwo wymierzenia takiego "ataku" w przeciętnego kowalskiego jest zbliżone do zera.
@Marchew Owszem. Ja tu widzę zastosowanie dla np. szpiegów.
@Marchew Tak raczej ciekawostka, atakowanie warstwy zabezpieczeń w postaci yubikey w porównaniu z innymi metodami umożliwiającymi dostęp do konta, to jak próba włamania się do otwartego domu poprzez wywiercenie dziury w ścianie.
Choć jest to możliwe w przypadku bardzo ważnego celu, lub mogą pojawić się oferty sprzedaży chwilowego dostępu do klucza będącego używanego w dużych firmach.
Ciekawe jaką narrację i obronę przyjmie NIEBEZPIECZNIK, który ciągle zachwala Yubikajejemadafaka. ( ͡~ ͜ʖ ͡°)
@fadeimageone nie musi zmieniać narracji.
@Anty_Anty z tego co wyczytałem to:
firmware nie da się zaktualizować na wyprodukowanych już kluczach
ryzyko jest marginalne przejęcia danych z klucza (dostęp fizyczny do klucza, potężny hardware za gruby hajs)
YUBICO sam wydał łatkę FW, producent SoC nie ogarnął tematu.
@fadeimageone nigdy się nie dało kluczy aktualizować właśnie po to aby ograniczyć ryzyka.
Nawet gdy hardware będzie za grosze to musisz zlokalizować osobę i lecieć jej to zajebać a to raczej nie jest opłacalne.
Nie używam więc jestem chroniony
Uzywam, nie narzekam. Nie jest to tanie ale zabezpieczenie przed phishingiem (zwłaszcza konta bankowego - ing wspiera klucze sprzętowe) jest tego warte.
Zaloguj się aby komentować