【傳說崩壞】Google Titan、YubiKey硬體安全鑰可被複製
為了確保帳戶不被盜用,啟動雙重因素 (two factor) 或多重因素安全驗證 (multi-factor authentication) 機制一向被視為較安全的做法,特別是硬體安全鑰 (hardware security keys) 就更保險。不過,Google Titan 及 YubiKey 系列產品卻被發現可被黑客複製,雖然手續比較麻煩……
雙重或多重因素安全驗證,一般來說指的是除密碼以外,登入帳戶還須配合其他因素如生物特徵、額外安全編碼等。現時最多人採用的方法以後者居多,而額外安全編碼也可分為透過電郵或短訊接收,或硬體安全鑰認證兩種。早前已有網絡安全專家指出,以電郵或短訊接收安全驗證碼會有危險,因為只要上網裝置如電腦、手機已被黑客入侵,他們就可偷偷安裝惡意軟件,盜取帳戶登入資料並截取安全驗證碼。相反硬體安全鑰則必須在登入帳戶時,插入裝置或以藍牙技術近距離連結,所以安全性會較高。
不過,法國網絡安全研究員 Victor Lomne 及 Thomas Roche 最近就發表了長達 60 頁的報告,展示複製 Google Titan 及 YubiKey 兩系列產品的可能性。研究員說,只要黑客能夠短時間內盜取這些硬體安全鑰,就可以拆開外殼,並以儀器記錄進行驗證時內裏發出電磁訊號的 NXP 晶片變化,從而還原出其解密驗證碼,之後只要偷偷將硬體鑰歸還對方,以後便可以暗中登入對方帳戶竊取機密,說明硬體安全鑰並非完全可靠。
兩位研究員強調,雖然硬體安全鑰存在複製漏洞,但也必須達到一定條件,例如首先要知道對方的帳戶登入名稱及密碼,以及神不知鬼不覺地盜取及歸還硬體鑰,而用來分析晶片電磁訊號的儀器亦價值 12,000 美元,所以政府官員或企業管理層被攻擊的風險會較高,一般人則未必有攻擊價值。另外,研究員又指出 Google Titan 產品較難拆開,測試時必須以高溫將內裏的膠溶掉,還原時必須用 3D 打印機重新打印產品的外殼,歸還時才不會被發現。
今次測試被驗證可複製產品包括:
Google Titan Security Key (all versions)
Yubico Yubikey Neo
Feitian FIDO NFC USB-A / K9
Feitian MultiPass FIDO / K13
Feitian ePass FIDO USB-C / K21
Feitian FIDO NFC USB-C / K40
資料來源: http://bit.ly/3qc0Ud4