Allvarlig säkerhetsbrist – Yubikey kan klonas

Permalänk
Melding Plague

Allvarlig säkerhetsbrist – Yubikey kan klonas

Yubikey 5, den vanliga säkerhetsnyckeln på marknaden, har en brist i en mikrokontroller som gör det möjligt att skapa en klon.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Detta är ett exempel på varför man aldrig ska vara säker på att något inte kan hackas.*

115 000 kr är dessutom inte mycket i sammanhanget att cyberkriminella ser möjlighet att komma över miljonbelopp.

EDIT: *Och vetskapen om detta kan t.ex. innebära att man i en riskanalys kan komma fram till att faktumet att man "har sin nyckel kvar" inte innebär att man inte fått sin nyckel äventyrad.

Permalänk
Medlem

Kostar låset (nyckeln) 115 000kr, kan det bara betyda en sak: den skyddar någonting mycket mer prisvärt, om man kommer åt det.

Permalänk
Medlem
Skrivet av friArsenik:

Kostar låset (nyckeln) 115 000kr, kan det bara betyda en sak: den skyddar någonting mycket mer prisvärt, om man kommer åt det.

Utrustningen för att knäcka koden kostar runt 115k, inte nyckeln.

Visa signatur

42? Seven and a half million years and all you can come up with is 42?!
► FD Define R2 | Win10Pro | i7-3770K | Hyper212+ SP120PWM | P8P67 PRO | CML8GX3M2A1600C9 | 1080 Ti | AX750 | Asus VG27WQ | HP Z27n |► Realme GT Master |

Permalänk
Medlem

Dessutom behöver man ha fysisk access till den nyckeln man skall klona och då kan man kanske övertala nyckelns ägare att lämna ifrån sig lösenorden på andra sätt?

Denna nyheten togs upp i fredagens avsnitt av "Bli säker"-podden och det som sades där gjorde mig inte så nervös. @nikka

Permalänk
Keeper of Traditions

Utan att ha grävt allt för mycket så känns det inte som något större problem,

https://x.com/nunu10000/status/1831817451354648783

Visa signatur

|| Intel 8700K || Asus RTX 4070 TI Super TUF || Samsung 750 EVO 500GB & Kingston A2000 1TB & Samsung 960 EVO 250GB || Corsair RM 850x || Antec P183 || Asus G-Sync RoG Swift PG279Q || Dell XPS 15 || Thinkpad X220

The Force is like Duct Tape, it has a light side, a dark side, and holds the universe together.

Permalänk
Medlem

beställt en andra nyckel i förrgår. känner ingen oro.

Visa signatur

|Chassi Fractal Design North |CPU 7800X3D |Moderkort ASUS ROG Strix B650E-F Gaming WIFI
|RAM Kingston HyperX 32 GB |GPU Gigabyte RTX 3070 Eagle
|SSD Seagate FireCuda 510 2 TB NVMe |SSD Kingston Fury Renegade 2 TB NVMe
|PSU Corsair RM750e

Permalänk
Medlem

Har man yubikey 5 som säkerhet för ett stort bolag med multimiljon/miljardbelopp så kanske man får tänka om just nu. För oss privatpersoner som använder det så är det lugnt. Större risk att man blir rånad ändå.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Permalänk
Medlem

Fysisk access är fortfarande en ganska stor grej att överkomma, så det lär inte vara en attack som kommer gå brett på många användare

Dock bör det såklart sabba deras trovärdighet och möjlighet till användning i större säkerhetslösningar

Permalänk
Medlem

https://youtu.be/jHbyxG6Cc74?si=QQGgDYUVr_Dr6zqW

Känns som en redig storm i ett vattenglas.

Permalänk
Medlem

Nothingburger really. Du måste knycka nyckeln, fysiskt förstöra den och sedan klona den. Och hoppas att personen inte satt ett lösenord.

Permalänk
Hedersmedlem
Skrivet av Kwirek:

Nothingburger really. Du måste knycka nyckeln, fysiskt förstöra den och sedan klona den. Och hoppas att personen inte satt ett lösenord.

Enligt videon ovan måste attackeraren också ha användarnamn och lösenord till ett av de konton som nyckeln skyddar.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem
Skrivet av Kwirek:

Nothingburger really. Du måste knycka nyckeln, fysiskt förstöra den och sedan klona den. Och hoppas att personen inte satt ett lösenord.

Med tanke på hur dåliga lösenord som har visat sig användas skarpt i kritiska system, så skulle jag inte känna mig så lugnad av det.

En YubiKey kommer på vift en fredagskväll som hamnar i farliga händer, nyckeln extraheras och kopieras ut till distruberade attackvektorer, några matchar konton med läckta lösenord, info sammanställs och när personen är tillbaka på jobbet så upptäcks det att nyckeln är borta tillsammans med ett utpressningsbrev i brevlådan. Alternativt upptäcks originalnyckeln i vad som ser ut som överkört tillstånd på parkeringen.

Inte så otänkbart scenario. Liknande attack går naturligtvis att göra med bara en stulen YubiKey men då är man begränsad till exakt en kopia av nyckeln som behöver lämnas tillbaka.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Thomas:

Enligt videon ovan måste attackeraren också ha användarnamn och lösenord till ett av de konton som nyckeln skyddar.

Korrekt, och sidan måste tillåta många upprepade försök för att extrahera nödvändig data.

Permalänk
Medlem

Kul pryl. Antar att det måste finnas mjukvara installerad på den enhet man vill använda nyckeln?

Bökigt om jag vill logga in på ett av mina konton från någon annans dator, kompis eller på jobbet typ?

Permalänk
Skrivet av Djhg2000:

Med tanke på hur dåliga lösenord som har visat sig användas skarpt i kritiska system, så skulle jag inte känna mig så lugnad av det.

En YubiKey kommer på vift en fredagskväll som hamnar i farliga händer, nyckeln extraheras och kopieras ut till distruberade attackvektorer, några matchar konton med läckta lösenord, info sammanställs och när personen är tillbaka på jobbet så upptäcks det att nyckeln är borta tillsammans med ett utpressningsbrev i brevlådan. Alternativt upptäcks originalnyckeln i vad som ser ut som överkört tillstånd på parkeringen.

Inte så otänkbart scenario. Liknande attack går naturligtvis att göra med bara en stulen YubiKey men då är man begränsad till exakt en kopia av nyckeln som behöver lämnas tillbaka.

Och de mest kritiska ligger väl ändå i intranät? Annars är det väl inte speciellt säkert...

Visa signatur

Intel i5 12600k OC 5.2GHz | Arctic Freezer II 240 | MSI Pro Z690 A | 2x 16Gb Corsair LPX 3200MHz | Asus Tuf 4070 Ti | Corsair Rm850x V3 | 2x 1Tb Samsung 980 m2 | 7x Noctua A14x25

Permalänk
Medlem

Så om jag får fråga:
Med en sån här nyckel, typ den billigaste "Security Key C NFC" så kan jag göra så att min mejl inte går att logga in på utan att också fysiskt använda nyckeln genom att stoppa in den i telefonen eller datorn?

Är det alltså möjligt att ställa in det så att det helt enkelt inte går att logga in på något annat sätt om man vill?
Såklart pratar jag om en mejl som finns med under "Works With YubiKey"

För det låter ju väldigt bra att ha till en mejl som man kanske använder till känsliga uppgifter som att ha kontakt med myndigheter, sjukvården och liknande!
Åtminstone så hade det känts skönt för en själv

Visa signatur

i7 8700k 5.1ghz egengjord delid | 32gb G.Skill Trident Z RGB 3600mhz cl15 | MSI Suprim X 3070ti
https://valid.x86.fr/uudh64

Permalänk
Medlem
Skrivet av Jonhed:

Så om jag får fråga:
Med en sån här nyckel, typ den billigaste "Security Key C NFC" så kan jag göra så att min mejl inte går att logga in på utan att också fysiskt använda nyckeln genom att stoppa in den i telefonen eller datorn?

Är det alltså möjligt att ställa in det så att det helt enkelt inte går att logga in på något annat sätt om man vill?
Såklart pratar jag om en mejl som finns med under "Works With YubiKey"

För det låter ju väldigt bra att ha till en mejl som man kanske använder till känsliga uppgifter som att ha kontakt med myndigheter, sjukvården och liknande!
Åtminstone så hade det känts skönt för en själv

Du lär ju ha minst två eller tre i så fall. Ganska lätta att tappa bort eller annat

Permalänk
Medlem
Skrivet av Jonhed:

Så om jag får fråga:
Med en sån här nyckel, typ den billigaste "Security Key C NFC" så kan jag göra så att min mejl inte går att logga in på utan att också fysiskt använda nyckeln genom att stoppa in den i telefonen eller datorn?

Är det alltså möjligt att ställa in det så att det helt enkelt inte går att logga in på något annat sätt om man vill?
Såklart pratar jag om en mejl som finns med under "Works With YubiKey"

För det låter ju väldigt bra att ha till en mejl som man kanske använder till känsliga uppgifter som att ha kontakt med myndigheter, sjukvården och liknande!
Åtminstone så hade det känts skönt för en själv

Om tjänsten faktiskt stöder ett sådant läge: ja!
Det är ju själva grejen med denna typ av enheter, men det är ju även väldigt beroende av att tjänsten faktiskt nyttjar funktionen på ett bra och konsekvent sätt.

Det som är värt att notera är ju att många tjänster snarast anpassar sig ju efter den stora massans ointresse för säkerhet, då faktiskt höjd säkerhet brukar kräva att användaren tar eget ansvar, vilket ju inte går hem.
Det hela brukar då yttra sig i form av att man avsiktligt bygger bakvägar för att ändå ge åtkomst till kontot om användaren "låst sig ute". En sådan bakväg blir då ofta det enklaste sättet för vem som helst att kunna logga in, oavsett hur säker den vanliga inloggningen gjorts.

Värt att betänka, just så att det inte blir den här typen av lösning i praktiken:

Skrivet av medbor:

Du lär ju ha minst två eller tre i så fall. Ganska lätta att tappa bort eller annat

Ja, OM det är en tjänst som faktiskt är konsekvent vad gäller säkerheten så bör man ju inte göra sig helt beroende av en enda nyckel. Antingen då att ha flera, eller om man får någon återställningskod på förhand t.ex, så får man se till att verkligen ha den sparad på ett säkert och välbackupat sätt.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av medbor:

Du lär ju ha minst två eller tre i så fall. Ganska lätta att tappa bort eller annat

Skrivet av evil penguin:

Om tjänsten faktiskt stöder ett sådant läge: ja!
Det är ju själva grejen med denna typ av enheter, men det är ju även väldigt beroende av att tjänsten faktiskt nyttjar funktionen på ett bra och konsekvent sätt.

Det som är värt att notera är ju att många tjänster snarast anpassar sig ju efter den stora massans ointresse för säkerhet, då faktiskt höjd säkerhet brukar kräva att användaren tar eget ansvar, vilket ju inte går hem.
Det hela brukar då yttra sig i form av att man avsiktligt bygger bakvägar för att ändå ge åtkomst till kontot om användaren "låst sig ute". En sådan bakväg blir då ofta det enklaste sättet för vem som helst att kunna logga in, oavsett hur säker den vanliga inloggningen gjorts.

Värt att betänka, just så att det inte blir den här typen av lösning i praktiken:
https://i.pinimg.com/564x/e9/18/c3/e918c35c1dea3e17259c51fcc990de82.jpg

Ja, OM det är en tjänst som faktiskt är konsekvent vad gäller säkerheten så bör man ju inte göra sig helt beroende av en enda nyckel. Antingen då att ha flera, eller om man får någon återställningskod på förhand t.ex, så får man se till att verkligen ha den sparad på ett säkert och välbackupat sätt.

Svarar båda här:

Det är det jag tänkte på också att jag undrar om det skulle gå att ha så att man verkligen enbart kunde öppna med nyckeln och ingen bakväg alls.
Men det känns farligt också som medbor säger.

Min sista tanke då som skulle, för mig, kännas både smidig och säker är att den enda bakvägen är ett sms med en kod tex.

I min hjärna, utan att ha testat, känns det smidigare att bara stoppa in nyckeln och ha den där medans man sitter vid datorn tex, eller när man kollar mejl på telefonen, än att varenda gång på en kod på sms som man ska skriva in.
Men att om man tappar bort nyckeln så kan man då låsa upp den med sms-kod.

Vet inte om det är säkrare än något annat men det känns smidigt för min del om jag vill ha den specifika mejlen stängd jämt!

Visa signatur

i7 8700k 5.1ghz egengjord delid | 32gb G.Skill Trident Z RGB 3600mhz cl15 | MSI Suprim X 3070ti
https://valid.x86.fr/uudh64

Permalänk
Medlem
Skrivet av Jonhed:

Det är det jag tänkte på också att jag undrar om det skulle gå att ha så att man verkligen enbart kunde öppna med nyckeln och ingen bakväg alls.
Men det känns farligt också som medbor säger.

Förra sommaren dumpade jag min gamla e-mail eftersom den hade förekommit i ett antal breaches.
Jag köpte en Yubikey 5C NFC och Yubikey 5 NFC och skapade flera nya G-mail adresser:
- en som jag använder väldigt restriktivt, till exempel banken och Skatteverket,
- en som är mera offentlig och används för konton hos någorlunda seriösa aktörer,
- en som återspeglar min hobby och används på sidor kopplade till min hobby,
- en som är en slaskadress och fullständigt intetsägande (slumpkombination av bokstäver och siffror).

Vid registrering hos GMail behövde jag ange mitt telefonnummer, men det tog jag bort eftersom jag inte vill använda det för 2FA (det går att göra i kontoinställningarna). Jag har aktiverat inloggning med säkerhetsnycklarna och en har jag på mig och den andra förvaras hemma. Google varnar ständigt att jag inte har någon återställnings e-mailadress, men det vill jag inte ha. Inga reservationskoder för återställning. Jag aktiverade inloggning med koder från en autentiseringsapp (kör Yubicos), men tänker att avaktivera det eftersom allt har fungerat smidigt i ett år nu och jag inte har låst mig ute någon gång.

Inloggning med enbart lösenord och Yubikey fungerar för Google och Facebook utan några problem, men inte alla sidor stödjer inloggning med säkerhetsnycklar. Då måste man lägga till inloggning med koder från en autentiseringsapp och sådana inlogg kan man ha 32 på en nyckel - ganska många, men det känns inte skönt att ha någon sådan begränsning. Bitwarden accepterar inlogg med säkehetsnyckel på en betald plan och på den kostnadsfria är man tvungen att använda koder från en autentiseringsapp. Protonmail kräver autentisering med både koderna och nyckeln, det går inte att ta bort autentisering med koder utan att man avaktiverar nyckeln först.

Som det har rekommenderats ovan köp 2 nycklar och börja testa. Det är en del jobb att undersöka vilka tjänster stödjer 2FA med nycklar eller koder och ta det lite försiktigt - ha en "bakväg" med sms, koder och andra e-postadresser, men det kan du ta bort sedan när du är säker att allt fungerar smidigt.

Vill du ha nyckeln i datorn hela tiden är det nog smidigare med nano-versionen om du har laptop.

Permalänk
Skrivet av Parus:

Vill du ha nyckeln i datorn hela tiden är det nog smidigare med nano-versionen om du har laptop.

Å andra sidan förtar detta lite av poängen med en andra faktor, om någon stjäl din laptop och lyckas komma in på den...

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Å andra sidan förtar detta lite av poängen med en andra faktor, om någon stjäl din laptop och lyckas komma in på den...

Man måste trycka på nyckeln när man loggar in och det går också att ställa in en pinkod som man måste slå in innan man trycker på nyckeln.

Permalänk
Medlem
Skrivet av Parus:

Förra sommaren dumpade jag min gamla e-mail eftersom den hade förekommit i ett antal breaches.
Jag köpte en Yubikey 5C NFC och Yubikey 5 NFC och skapade flera nya G-mail adresser:
- en som jag använder väldigt restriktivt, till exempel banken och Skatteverket,
- en som är mera offentlig och används för konton hos någorlunda seriösa aktörer,
- en som återspeglar min hobby och används på sidor kopplade till min hobby,
- en som är en slaskadress och fullständigt intetsägande (slumpkombination av bokstäver och siffror).

Vid registrering hos GMail behövde jag ange mitt telefonnummer, men det tog jag bort eftersom jag inte vill använda det för 2FA (det går att göra i kontoinställningarna). Jag har aktiverat inloggning med säkerhetsnycklarna och en har jag på mig och den andra förvaras hemma. Google varnar ständigt att jag inte har någon återställnings e-mailadress, men det vill jag inte ha. Inga reservationskoder för återställning. Jag aktiverade inloggning med koder från en autentiseringsapp (kör Yubicos), men tänker att avaktivera det eftersom allt har fungerat smidigt i ett år nu och jag inte har låst mig ute någon gång.

Inloggning med enbart lösenord och Yubikey fungerar för Google och Facebook utan några problem, men inte alla sidor stödjer inloggning med säkerhetsnycklar. Då måste man lägga till inloggning med koder från en autentiseringsapp och sådana inlogg kan man ha 32 på en nyckel - ganska många, men det känns inte skönt att ha någon sådan begränsning. Bitwarden accepterar inlogg med säkehetsnyckel på en betald plan och på den kostnadsfria är man tvungen att använda koder från en autentiseringsapp. Protonmail kräver autentisering med både koderna och nyckeln, det går inte att ta bort autentisering med koder utan att man avaktiverar nyckeln först.

Som det har rekommenderats ovan köp 2 nycklar och börja testa. Det är en del jobb att undersöka vilka tjänster stödjer 2FA med nycklar eller koder och ta det lite försiktigt - ha en "bakväg" med sms, koder och andra e-postadresser, men det kan du ta bort sedan när du är säker att allt fungerar smidigt.

Vill du ha nyckeln i datorn hela tiden är det nog smidigare med nano-versionen om du har laptop.

Tack!

Men så du menar alltså att jag inte kan göra det jag hoppades på med just protonmail?
Alltså att i första hand låsa upp bara med nyckel men att om man tappar bort nyckeln så behöver jag kunna logga in med sms-kod eller authenticator tex?

Det är ju jättedåligt isåfall men jag kanske missuppfattade exakt vad du menade gällande just protonmail!

Jag har inte en bärbar dator som jag tänkte ha nyckeln i hela tiden utan vad jag menar är att jag ska ha en nyckel som jag sätter i datorn när jag sitter vi den på kvällarna och sen på dagarna så har jag med den nyckeln, eller en annan, så jag kan sätta in den i telefonen för att öppna min mejl!

Visa signatur

i7 8700k 5.1ghz egengjord delid | 32gb G.Skill Trident Z RGB 3600mhz cl15 | MSI Suprim X 3070ti
https://valid.x86.fr/uudh64

Permalänk
Medlem
Skrivet av Jonhed:

Tack!

Men så du menar alltså att jag inte kan göra det jag hoppades på med just protonmail?
Alltså att i första hand låsa upp bara med nyckel men att om man tappar bort nyckeln så behöver jag kunna logga in med sms-kod eller authenticator tex?

Det är ju jättedåligt isåfall men jag kanske missuppfattade exakt vad du menade gällande just protonmail!

Vet inte om protonmail har inloggning med sms. Med protonmail är det så:
(1) du kan logga in med ditt lösenord + nyckeln,
(2) du kan logga in med ditt lösenord + kod från en autentiseringsapp som genereras när du sätter in nyckeln i telefonen eller "blippar" (NFC-nycklar).
Man kan ha bara (2) eller (2) tillsammans med (1). Endast (1) går inte.

Skrivet av Jonhed:

Jag har inte en bärbar dator som jag tänkte ha nyckeln i hela tiden utan vad jag menar är att jag ska ha en nyckel som jag sätter i datorn när jag sitter vi den på kvällarna och sen på dagarna så har jag med den nyckeln, eller en annan, så jag kan sätta in den i telefonen för att öppna min mejl!

Det är ungefär så jag gör, men man behöver inte ha nyckeln i hela tiden har jag märkt. Jag har oftast det på bordet och sätter in när det behövs.
Men mobilen har jag inte lyckats att ställa in det så att man måste ha i nyckeln för att öppna e-post. Det kan vara så att jag behövde "blippa" det eller sätta in när jag kopplade på kontot i telefonen, men sedan dess går jag in i GMail via appen och den aldrig mer frågat om nyckeln, likaså med protonmail-appen.

Permalänk
Medlem
Skrivet av Parus:

Vet inte om protonmail har inloggning med sms. Med protonmail är det så:
(1) du kan logga in med ditt lösenord + nyckeln,
(2) du kan logga in med ditt lösenord + kod från en autentiseringsapp som genereras när du sätter in nyckeln i telefonen eller "blippar" (NFC-nycklar).
Man kan ha bara (2) eller (2) tillsammans med (1). Endast (1) går inte.

Det är ungefär så jag gör, men man behöver inte ha nyckeln i hela tiden har jag märkt. Jag har oftast det på bordet och sätter in när det behövs.
Men mobilen har jag inte lyckats att ställa in det så att man måste ha i nyckeln för att öppna e-post. Det kan vara så att jag behövde "blippa" det eller sätta in när jag kopplade på kontot i telefonen, men sedan dess går jag in i GMail via appen och den aldrig mer frågat om nyckeln, likaså med protonmail-appen.

Okej jag förstår!

Jag får helt enkelt läsa på lite mer om just det jag vill använda det till innan jag köper så jag inte gör det i onödan!

Jag hoppades ju på att enbart kunna använda nyckeln och då en kod just efter man satt i nyckeln!

Visa signatur

i7 8700k 5.1ghz egengjord delid | 32gb G.Skill Trident Z RGB 3600mhz cl15 | MSI Suprim X 3070ti
https://valid.x86.fr/uudh64

Permalänk
Medlem
Skrivet av cracko:

Kul pryl. Antar att det måste finnas mjukvara installerad på den enhet man vill använda nyckeln?

Ja en webläsare tex. FIDO/webauthn är en standard som funkar i windows, mac, iphones, android och i stort sett alla webbläsare, ingen mer mjukvara krävs.

Skrivet av cracko:

Bökigt om jag vill logga in på ett av mina konton från någon annans dator, kompis eller på jobbet typ?

Jag skulle säga att det tom är enklare. Sure du behöver ha nyckeln med dig, men det är lite som dina andra nycklar eller telefonen för 2FA. Men om du kör passkey med den så behöver du bara nyckeln och en pinkod, inga lösenord. Det är även nätfiske säkrat i stor mån* eftersom datorn och nyckeln bara låter dig logga in på samma sida som skapade den.

Motsatsen är ju att skriva av ett långt lösenord från telefon är omständigare tycker jag, förutsatt att man kommit så långt att man har unika och långa lösenord på alla tjänster.

*Det finns fortfarande en risk att logga in på tvivelaktiga datorer som tex kan sno dina sessions kakaor. Tex bibliotek eller internet cafeer.

Permalänk
Medlem

Dom fysiska nycklar jag hanterat är också endast för att accessa det du behöver fysiskt, inte så att man kan sitta hemma med nyckeln och VPN för att accessa dom burkarna. då snackar vi ordentligt skalskydd innan, även om X kommer åt nyckeln och kan klona den kommer ju hen inte en cm in på lokationen där hårdvaran finns.
Problemet är väl i såfall slappa IT muppar som klonar för att slippa hämta nyckeln i nåt kassaskåp el liknande.

Visa signatur

Ryzen 5 3600|Asus X-470|32Gb DDR4|Asus 2060 Super
Ryzen 5 3600|ASRock B-450 itx|32Gb DDR4|2060FE
2xE5-2630v3|DL360G9|256Gb|8Tb|Server 2019|4 Windows 10 & 11 VM |
NES|SNES|N64|Wii|Switch|PsOne|PS1|PS2|PS3|PS4|PS5|Xbox|Xbox360s|Xbox One X|Xbox Series X|

Permalänk
Medlem

Så man kan alltså om man har fysisk access till nyckeln och en bra lång stund och dyr utrustning att kopiera den sen komma åt mina konton, istället för att bara sno nyckeln rakt av?

Känns inte direkt som något som påverkar vanliga användare särskilt mycket. Man lär ju vara varse om nyckeln försvunnit för kopiering på samma sätt som man lär vara varse om att den blivit stulen.

Känns som risken att den blir stulen är betydligt större och dessutom enklare för den kriminella.

Det här är stöld med extra steg.

Skrivet av Det Otroliga Åbäket:

Å andra sidan förtar detta lite av poängen med en andra faktor, om någon stjäl din laptop och lyckas komma in på den...

Det krävs att man touchar nyckeln fysiskt. Det går alltså inte att hämta information från nyckeln om man tagit över datorn, med typ ett "virus", root kit etc.. Enda nackdelen är väl i så fall att nyckeln följer med datorn när man snor den och tjuven slipper leta i dina fickor också. Men sen ska man inte glömma att Yubikey är 2FA. De behöver fortfarande ditt lösenord.

Permalänk
Skrivet av Massy:

Det krävs att man touchar nyckeln fysiskt. Det går alltså inte att hämta information från nyckeln om man tagit över datorn, med typ ett "virus", root kit etc.. Enda nackdelen är väl i så fall att nyckeln följer med datorn när man snor den och tjuven slipper leta i dina fickor också. Men sen ska man inte glömma att Yubikey är 2FA. De behöver fortfarande ditt lösenord.

Därav det jag skrev: om någon - som råddes i inlägget jag svarade på - alltid har MFA-nyckeln sittande i sin laptop, så betyder en stöld av laptopen att tjuven i praktiken har enkelfaktorinloggning till allt man säkrat med den fysiska nyckeln.