黑客可以克隆Google Titan 2FA安全密钥,涉及我国飞天系列产品

硬件安全密钥被认为是保护帐户免受网络钓鱼和网络接管攻击的最安全手段之一,属于双因素认证中用户拥有认证硬件。在我国网络安全等级保护相关标准中,双因素认证已成为关键设备的必要要求,若缺少双因素认证则直接影响测评报告结论。对等级保护工作开展有疑问需要咨询的朋友,可以关注我以及私信联系我。我将尽我所能,解答你在网络安全等级保护工作中的疑惑。
周四发表的一项新研究表明,拥有Google Titan 2FA双因素身份验证(2FA)设备的对手可以通过利用嵌入在其内的芯片中的电磁侧通道来克隆它。
该漏洞(跟踪为CVE-2021-3011)使不良行为者能够从FIDO通用第二因子(U2F)设备(例如Google Titan Titan或YubiKey)中提取与受害者帐户相关联的加密密钥或ECDSA私钥,从而完全破坏2FA保护。
受此漏洞影响的整个产品列表包括所有版本的Google Titan安全密钥(所有版本),Yubico Yubikey Neo、飞天FIDO NFC USB-A / K9、飞天MultiPass FIDO / K13、飞天ePass FIDO USB-C / K21,和飞天FIDO NFC USB-C / K40。
除了安全密钥外,攻击还可以在NXP JavaCard芯片上进行,包括NXP J3D081_M59_DF,NXP J3A081,NXP J2E081_M64,NXP J3D145_M59,NXP J3D081_M59,NXP J3E145_M64和NXP J3E081_M64_DF及其各自的变体。
攻击者黑客必须首先窃取目标用户的由物理密钥保护的帐户的登录名和密码,然后秘密地获取所涉及的Titan安全密钥的访问权限,需要价格在12,000美元以上的昂贵设备,并具有足够的专业知识来定制软件提取链接到帐户的密钥。从实现经济角度以及难度上看,Google Titan安全密钥或其他受影响的产品用作FIDO U2F两因素身份验证令牌来登录应用程序仍然比不使用一个更安全。

网络安全等级保护:什么是等级保护?

网络安全等级保护:什么是网络安全等级保护工作的内涵?
网络安全等级保护制度:国家网络安全的基本制度、基本国策
网络安全等级保护:是网络安全工作的基本方法
SolarWinds攻击新发现美司法部邮件服务器被访问
(0)

相关推荐