不可修补的 Yubico 二因素身份验证密钥漏洞已经破坏了大多数 Yubikey 5、安全密钥和 YubiHSM 2FA 设备的安全性。 Feitian A22 JavaCard 和其他使用 Infineon SLB96xx 系列 TPM 的设备也容易受到攻击。所有易受攻击的 2FA 密钥都应假定已受到损害,并尽快用不易受攻击的密钥替换。
双因素 (2FA) 安全身份验证使用软件应用程序(例如 Microsoft Authenticator)或硬件密钥(例如 Yubikey)生成的唯一代码以及密码来登录在线帐户。越来越多的账户提供商(例如银行)已经实施 2FA 安全性,以减少数据和资金被盗的情况。
双因素身份验证密钥取决于使用难以逆向工程的方法生成唯一代码。现代 2FA 应用程序和密钥通常使用更复杂的数学,例如椭圆曲线算法(深入了解 IBM 网站上的数学)。
旁路攻击监视电子设备的各个方面以发起攻击。对于 Yubico、Feitian 和其他 2FA 密钥中使用的易受攻击的英飞凌 TPM 芯片,Ninjalabs 的研究人员花了两年时间捕获和破译芯片的无线电发射,以发起攻击。
黑客最多需要一小时访问密钥才能捕获无线电发射,然后一两天才能破译数据并创建 2FA 密钥的副本。数学和技术相当复杂,因此具有密码学、数学和电子学知识的读者可以阅读 NinjaLab 文章中的复杂方法。 NinjaLab 此前曾披露其他 Google Titan、Feitian、Yubico 和 NXP 密钥中存在类似漏洞。
Yubico 2FA 密钥的用户应查阅 Yubico 安全公告,了解其密钥是否容易受到攻击。其他设备的用户需要询问制造商这些设备是否使用易受攻击的 Infineon SLB96xx 系列 TPM。受影响的设备无法通过修补来修复安全漏洞。
所有受影响的密钥所有者应在确认替代方案不易受到攻击后强烈考虑切换到替代方案。备用 2FA 密钥包括 Feitian 或 iShield。
以上是不可修补的 Yubico 二因素身份验证密钥漏洞破坏了大多数 Yubikey 5、安全密钥和 YubiHSM 2FA 设备的安全性的详细内容。更多信息请关注PHP中文网其他相关文章!