Неусувна вразливість ключа двофакторної аутентифікації Yubico.

Неусувна вразливість ключа двофакторної автентифікації Yubico порушила безпеку більшості ключів безпеки Yubikey 5 і YubiHSM 2. Також деякі пристрої Feitian, що використовують TPM-модуль Infineon серії SLB96xx, будуть уразливими. Усі ключі безпеки, що мають мікросхему Infineon серії SLB96xx, слід вважати скомпрометованими і якомога швидше замінити їх на інші невразливі пристрої.

Ключі Feitian ePass FIDO2-NFC Plus не містять цієї вразливості, оскільки використовують інший чип і свою власну криптобібліотеку, а не стандартну бібліотеку від Infineon.

Двофакторна (2FA) аутентифікація використовує унікальний код, згенерований програмним додатком (наприклад, Microsoft Authenticator) або апаратним ключем (наприклад, Yubikey) на доповнення до звичайного пароля для входу в онлайн-акаунти. Дедалі більше постачальників послуг, таких як банки, впроваджують систему безпеки 2FA, щоб зменшити кількість крадіжок даних і грошей.

Усі ключі безпеки FIDO2 використовують алгоритм еліптичних кривих, який дуже складно зламати. Однак використовуючи атаку сторонніми каналами, яка передбачає збір інформації з фізичної реалізації криптографічної системи, а не спробу зламати сам криптографічний алгоритм, у дослідників Ninjalabs вийшло створити атаку. Хакерам знадобиться до години доступу до ключа, а потім день або два, щоб розшифрувати дані і створити копію ключа безпеки FIDO2. Математика і методи досить складні, детальніше про реалізацію цієї атаки можна прочитати у звіті.

Хакерам знадобиться до години доступу до ключа, а потім день або два, щоб розшифрувати дані і створити копію ключа безпеки FIDO2. Математика і методи досить складні, детальніше про реалізацію цієї атаки можна прочитати у звіті.

Усім власникам ключів безпеки Yubikey серії 5 слід розглянути можливість переходу на альтернативні варіанти ключів від Feitian.