Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.

@Marchew sama kradzież też nie powinna wiele dać bo w przypadku kradzieży powinniśmy odpiąć klucz od konta, a konto powinno mieć minimum dwa klucze.

@Marchew @dildo-vaggins Tu raczej chodzi o to, żeby ukraść, ale niepostrzeżenie. Ofiara nadal ma swój klucz i niczego nie podejrzewa.

@dolitd Więc trzeba ukraść klucz oraz poznać dane pierwszego składnika.

To musiało by zostać wymierzone w ściśle określoną osobę. Prawdopodobieństwo wymierzenia takiego "ataku" w przeciętnego kowalskiego jest zbliżone do zera.

@Marchew Owszem. Ja tu widzę zastosowanie dla np. szpiegów.

@Marchew Tak raczej ciekawostka, atakowanie warstwy zabezpieczeń w postaci yubikey w porównaniu z innymi metodami umożliwiającymi dostęp do konta, to jak próba włamania się do otwartego domu poprzez wywiercenie dziury w ścianie.

Choć jest to możliwe w przypadku bardzo ważnego celu, lub mogą pojawić się oferty sprzedaży chwilowego dostępu do klucza będącego używanego w dużych firmach.

@fadeimageone nie musi zmieniać narracji.

@Anty_Anty z tego co wyczytałem to:

• firmware nie da się zaktualizować na wyprodukowanych już kluczach
  

• ryzyko jest marginalne przejęcia danych z klucza (dostęp fizyczny do klucza, potężny hardware za gruby hajs)
  

• YUBICO sam wydał łatkę FW, producent SoC nie ogarnął tematu.

@fadeimageone nigdy się nie dało kluczy aktualizować właśnie po to aby ograniczyć ryzyka.

Nawet gdy hardware będzie za grosze to musisz zlokalizować osobę i lecieć jej to zajebać a to raczej nie jest opłacalne.