Reklama

Cyberbezpieczeństwo

#CyberMagazyn: Klucze U2F. Jak z nich korzystać? Czy są bezpieczne?

YubiKey
YubiKey
Autor. Oskar Klimczuk

Dwuetapowe uwierzytelnianie powinniśmy traktować jako obowiązkowy element zabezpieczenia naszych kont. Wycieki danych z polskich portali nie są niczym nowym. Poniższy artykuł ma na celu omówienie bezpieczeństwa kluczy fizycznych oraz dodawanie ich jako składnika uwierzytelniania.

Ostatnio głośnym echem odbiła się nowa podatność w kluczach od Yubico, która pozwala na klonowanie niektórych Yubikey«ów. Badaczom należą się szczere gratulacje za włożony trud oraz znalezienie podatności w urządzeniach używanych na całym świecie, aczkolwiek to nie oznacza, że powinniśmy masowo rezygnować z wspomnianych kluczy. Warto przytoczyć nagłówki artykułów, które opisują problem:

„Ciekawy, ale na szczęście trudny do realizacji atak klonowania kluczy Yubikey”Niebezpiecznik

„Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.”Sekurak

„Klucze sprzętowe Yubico zhakowane. Ale nie ma katastrofy”Kapitan Hack

Czytaj też

Reklama

Klonowanie kluczy – co to oznacza?

Badacze z NinjaLab opisali podatność pozwalającą na sklonowanie Yubikey«ów. Luka znajduje się w mikrokontrolerze Infineon 9 i polega na niepoprawnej implementacji rozszerzonego algorytmu Euklidesa (EEA), która pozwala na przeprowadzanie ataku side channel. Takie działanie polega na zdobywaniu i analizowaniu informacji z nieoczywistych źródeł.

„Z punktu widzenia matematycznej poprawności funkcje w bibliotece działają prawidłowo, ale obserwując poboczne kanały (stąd side channel) działającego urządzenia, takie jak zużycie prądu czy czas wykonywania operacji, można wywnioskować pewne szczegóły na temat jego wewnętrznej aktywności czy przetwarzanych danych.” – podsumowuje Sekurak.

Wycinek raportu mówiący o ataku side-channel
Wycinek raportu mówiący o ataku side-channel
Autor. https://ninjalab.io/wp-content/uploads/2024/09/20240903_eucleak.pdf

Czy jest się czego bać?

Warunki konieczne do przeprowadzenia ataku są… nietypowe. Wśród nich znajdują się m.in. wielokrotne próby logowania do danego konta, fizyczny dostęp do klucza, totalne zniszczenie obudowy klucza oraz sprzęt wartości ok. 11 tysięcy dolarów, nie wspominając już o specjalistycznej wiedzy czy ewentualnym złamaniu kodu PIN.

Wgranie stosownej poprawki jest niemożliwe, lecz prawdopodobieństwo przeprowadzenia takiego ataku na zdecydowaną większość użytkowników sieci jest marginalne. Na pytanie odnośnie używania YubiKey«ów Niebezpiecznik odpowiada w następujący sposób:„Tak, używać. Nawet w podatnej na ten bardzo trudny do przeprowadzenia i mało prawdopodobny atak wersji, klucze YubiKey dalej tak samo skutecznie chronią przed zdecydowanie powszechniejszym zagrożeniem - phishingiem.

Warto również nadmienić, że Yubico nadało podatności CVSS Score 4.9/10. Jest to zdecydowania mniejsza skala niż luka w YubiKey Manager z kwietnia br., której CVSS Score określono na 7.7/10. Lukę opisaliśmy na łamach CyberDefence24.

Czytaj też

Reklama

YubiKey Manager

Aplikacją pomagającą w obsłudze klucza jest YubiKey Manager, którą można pobrać z oficjalnej strony producenta.

Po zainstalowaniu aplikacji możemy m.in. nadać PIN naszemu kluczowi. Czynności możliwe do wykonania są zależne od wersji urządzenia.

YubiKey Manager i zakładka Applications
YubiKey Manager i zakładka Applications
Autor. YubiKey Manager

Google a U2F

Klucz U2F można zastosować m.in. podczas logowania do konta Google. Aby to zrobić, należy nacisnąć ikonę swojego konta Google i wybrać opcję ”Zarządzaj kontem Google”. Następnie w zakładce ”Klucze dostępu i klucze bezpieczeństwa” wystarczy kliknąć ”Utwórz klucz”. W przypadku pojawienia się komunikatu o niemożności utworzenia klucza na danym urządzeniu należy przejść dalej - powinna pojawić się informacja o opcji dodania klucza zabezpieczeń.

Zrzuty ekranu poszczególnych opcji podczas dodawania klucza
Zrzuty ekranu poszczególnych opcji podczas dodawania klucza
Autor. Oskar Klimczuk / CyberDefence24

Dalszym krokiem jest ewentualne dotknięcia klucza w przypadku migotania podświetlenia oraz działanie zgodnie z wyświetlanymi instrukcjami. Klucz powinien zostać dodany do konta.

Widok po dodaniu klucza do konta
Widok po dodaniu klucza do konta
Autor. Oskar Klimczuk / CyberDefence24

Czytaj też

Reklama

Facebook (Meta)

Dodanie klucza U2F jako składnika uwierzytelniania odbywa się za pomocą Centrum Kont Meta, do którego można przejść poprzez naciśnięcie panelu po lewej stronie ustawień. W kolejnym kroku należy wybrać opcje Hasło i zabezpieczenia i Uwierzytelnianie dwuskładnikowe. Następnie wystarczy kliknąć Klucze zabezpieczeń oraz Zarejestruj klucz zabezpieczeń.

Dodawanie klucza U2F do konta na Facebooku
Dodawanie klucza U2F do konta na Facebooku
Autor. Oskar Klimczuk / CyberDefence24

Czytaj też

Microsoft

Aby wzmocnić ochronę konta Microsoft należy przejść do opcji Informacje zabezpieczające, następnie kliknąć: Dodaj metodę logowania oraz wybrać: Klucz zabezpieczeń.

Proces dodawania klucza fizycznego
Proces dodawania klucza fizycznego
Autor. Oskar Klimczuk / CyberDefence24

Czytaj też

Inne portale

Yubico pozwala na dodawanie kluczy do różnych witryn oraz wielu innych usług, które są wymienione na stronie producenta.

Część z portali i systemów, które umożliwiają dodanie YubiKey'a
Część z portali i systemów, które umożliwiają dodanie YubiKey'a
Autor. Yubico

Podsumowanie

Dwuetapowe uwierzytelnianie z wykorzystaniem kluczy fizycznych znacząco zwiększa nasze cyfrowe bezpieczeństwo. Warto pamiętać o podatności w YubiKey’ach, lecz trzeba samemu zdecydować o dalszym korzystaniu ze wspomnianych kluczy.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama