الرئيسيةالخصوصية والأمناستمرار استدعاء مفاتيح أمان الأجهزة ؛ هل هم آمنون؟
الخصوصية والأمن

استمرار استدعاء مفاتيح أمان الأجهزة ؛ هل هم آمنون؟

نوصي بمفاتيح أمان الأجهزة مثل Yubic’s YubiKeys و Google’s Titan Security Key . لكن كلا المصنّعين استدعيا مؤخرًا المفاتيح بسبب عيوب في الأجهزة ، وهذا يبدو مقلقًا بعض الشيء. ما هي المشكلة؟ هل هذه المفاتيح لا تزال آمنة؟

ما هي مفاتيح أمان الأجهزة؟

تستخدم مفاتيح الأمان المادية مثل Titan Security Key من Google و YubiKeys من Yubico معيار WebAuthn ، خليفة U2F ، للمساعدة في حماية حساباتك. تعمل كنوع آخر من المصادقة ذات العاملين : بدلاً من رمز تكتبه ، إنه مفتاح أمان مادي تقوم بإدخاله في منفذ USB – أو يمكنه الاتصال لاسلكيًا عبر NFC (اتصال المجال القريب) أو Bluetooth .

يمكنك استخدام مفتاحك كرمز مميز لأمان الجهاز لتسجيل الدخول إلى حسابات مثل حسابات Google و Facebook و Dropbox و GitHub. باستخدام برنامج الحماية المتقدمة الاختياري من Google ، يمكنك حتى أن تطلب مفتاح أمان ماديًا لتسجيل الدخول إلى حسابك.

لماذا استدعى Google و Yubico المفاتيح؟

ظهر كل من Yubico و Google في الأخبار مؤخرًا. كان على كل منهم استدعاء بعض مفاتيح الأمان بسبب عيوب في الأجهزة.

لا تؤثر مشكلة Yubico إلا على أجهزة YubiKey FIPS Series – وليس أي أجهزة استهلاكية. كما يوضح مستشار الأمان في Yubico ، فإن هذه المفاتيح لا تحتوي على عشوائية كافية بعد تشغيل الجهاز ، مما قد يجعل تشفيرها ضعيفًا. هذه الأجهزة مخصصة للوكالات الحكومية والمقاولين فقط – لا نوصي باستخدام FIPS  إلا إذا كنت ملزمًا قانونًا باستخدامها. لا تعلم Yubico بأي هجمات أساءت استخدام هذا ، لكن الشركة تستبدل بشكل استباقي الأجهزة المتأثرة.

كانت مشكلة Titan Security Key من Google ، والتي أدت إلى استدعاء واستبدال المفاتيح المتأثرة ، أسوأ. كان إصدار Bluetooth من Titan Security Key ، والذي يستخدم Bluetooth Low Energy للاتصال لاسلكيًا ، عرضة للهجوم بسبب ما وصفته Google بـ ” التهيئة الخاطئة “. يمكن لمهاجم على بعد 30 قدمًا من شخص يستخدم مفتاح أمان لتسجيل الدخول أن يستغل الخلل لتسجيل الدخول إلى حسابه. أو قد يخدع المهاجم جهاز كمبيوتر الشخص لإقرانه بدونجل Bluetooth مختلف بدلاً من مفتاح الأمان. تؤثر الثغرة الأمنية أيضًا على مفاتيح أمان Feitan – Feitan هي الشركة المصنعة لمفاتيح Titan لـ Google.

اقرأ أيضاً :  كيفية تجنب خطأ Windows Update 0x800f0905

قامت Microsoft أيضًا بطرح  تحديث Windows الذي سيمنع مفاتيح Google Titan و Feitan الضعيفة من الاقتران مع Windows 10 و Windows 8.1 عبر Bluetooth.

لم تقدم Yubico أبدًا مفتاح Bluetooth. عندما أعلنت Google عن مفتاح Titan الخاص بها ، قالت Yubico إنها استكشفت مسبقًا إطلاق مفتاح Bluetooth منخفض الطاقة (BLE) الخاص بها ولكن “BLE لا توفر مستويات ضمان الأمان لـ NFC و USB.” يبدو أن نضالات Google أثبتت صحة نهج Yubico في التركيز على USB و NFC بدلاً من Bluetooth.

استدعى كل من Google و Yubico المفاتيح المتأثرة واستبدلاها مجانًا.

هل ما زلنا نوصي بهذه المفاتيح؟

على الرغم من العيوب وعمليات الاستدعاء ، ما زلنا نوصي بمفاتيح الأمان المادية. واجهت Yubico مشكلة مع العشوائية في خط واحد من المنتجات خصيصًا للحكومة واستبدله. واجهت Google مشكلة مع البلوتوث ، ولكن حتى هذه المشكلة لا يمكن استغلالها إلا من قبل المهاجمين في نطاق 30 قدمًا منك. حتى مفتاح Bluetooth Titan المعيب يحميك بالتأكيد من المهاجمين عن بعد.

لا تزال هذه المفاتيح تلبي معايير الأمان العالية. حقيقة أن كلاً من Yubico و Google يكشفان بشكل استباقي عن العيوب ويقدمان بدائل مجانية للأجهزة المتأثرة أمر مشجع. لم تؤثر المشكلات مطلقًا على أي مفاتيح أمان قياسية تستند إلى USB أو NFC للمستهلكين العاديين.

أكبر مشكلة في هذه المفاتيح هي مشكلة المصادقة الثنائية. مع معظم الخدمات عبر الإنترنت ، يمكنك ببساطة استخدام طريقة أقل أمانًا مثل الرسائل القصيرة لإزالة مفتاح الأمان . يمكن للمهاجم الذي قام بعملية احتيال عبر منفذ الهاتف الحصول على حق الوصول إلى حسابك حتى إذا كان لديك مفتاح مادي متصل. يمكن فقط للخدمات عالية الأمان – مثل برنامج الحماية المتقدمة من Google – حمايتك من ذلك.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

error: عفوا محتوي هذا الموقع محمي بموجب قانون الألفية للملكية الرقمية !!