成功複製 YubiKey 、 Google Titan 硬體安全鑰失守

硬體安全金鑰(Hardware Security Key),是專為注重帳戶安全的用戶所設計,只要帳戶支援它,用戶在登入時除了要輸入帳戶名稱及密碼外,還須有這條安全金鑰在手。 硬體安全金鑰有接觸及非接觸款式,前者必須經USB槽插入上網裝置,而後者則只須經藍牙無線連接,並在登入帳戶時上傳其產生的驗證碼,才能成功過關。

按此看:堅守帳戶持有權 全賴 2FA 、 MFA 把關

如果以雙重因素驗證( Two Factors Authentication,  2FA )或多重因素驗證( Multi-Factors Authentication,  MFA )中的因素來說,硬體安全金鑰屬於Something you know、Something you are及Something you have的後者,即你所擁有的東西。雖然經手機短訊或電郵也可接收驗證碼,但由於這些途徑可以被網絡罪犯暗中截取,例如在手機內安裝木馬程式、以社交工程攻擊欺騙電訊商員工獲取你的SIM卡等,所以始終不及硬體安全金鑰穩妥。

 

而在眾多硬體安全金鑰中,Google TitanYubico YubiKey可說是最多人使用的產品,不過有安全專家最近就成功將這兩款產品複製,並發表實驗報告展示如何實行。專家Victor Lomne及Thomas Roche說這攻擊在理論上絕對可行,但由於首先要暗中從持有人身上拿走數小時,同時亦要知道其帳戶登入資料,所以對一般人來說並非易事。而且所使用的器材亦相當昂貴,差不多要12,000美元,所以如目標人物沒有一定價值,應不會成為攻擊目標。

按此看:TrickBot 再進化 入侵開機程序確保永生

假設成功盜取硬體安全金鑰後,專家必須拆開它的外殼,然後記錄每次驗證時硬件所產生的電磁波,由於需要龐大數據去從電磁波的變化計算出硬體的驗證金鑰,所以專家足足記錄了6,000次,令整個執行過程約須數小時。當成功計算及記錄其驗證金鑰後,專家說就可以還原外殼並靜靜歸還持有人,完成這次複製行動。這次測試雖然成功複製了GoogleTitan及Yubico YubiKey兩系列產品,但專家說前者要暴力拆解,必須準備新殼或以3D打印,還原時才不會有分別。

 

雖然這次測試有多種限制,但專家認為只要目標人物是政治人物、名人、明星或企業管理層,始終有可能成為目標,勸籲大家最好不要採用受影響的產品,同時亦要時刻管好自己的硬體安全金鑰,便可減少被入侵帳戶的風險。

 

  • GoogleTitan Security Key (所有版本)
  • YubicoYubikey Neo
  • FeitianFIDO NFC USB-A / K9
  • FeitianMultiPass FIDO / K13
  • FeitianePass FIDO USB-C / K21
  • FeitianFIDO NFC USB-C / K40

以及所有採用NXP J3D081_M59_DF, NXP J3A081, NXP J2E081_M64, NXP J3D145_M59, NXP J3D081_M59, NXP J3E145_M64, and NXP J3E081_M64_DF晶片的產品

 

詳情:http://bit.ly/35v9LPg