image

YubiKey FIPS-sleutels teruggeroepen wegens beveiligingslek

vrijdag 14 juni 2019, 13:25 door Redactie, 11 reacties

Fabrikant Yubico heeft verschillende YubiKey FIPS-sleutels laten terugroepen wegens een beveiligingslek. Via de hardwarematige beveiligingssleutels kunnen gebruikers op hun accounts inloggen. Bij de kwetsbare sleutels kan de buffer met willekeurige waarden voorspelbare inhoud bevatten, wat de cryptografische operaties van de sleutel kan beïnvloeden.

Door de kwetsbaarheid kan een aanvaller die verkeer van de sleutel weet te onderscheppen tussen de FIDO-client en de dienst waarop wordt ingelogd, zich tegenover deze dienst als de beveiligingssleutel voordoen. In het geval de YubiKey wordt gebruikt voor het genereren van eenmalige wachtwoorden zou een aanvaller via malware op het systeem de wachtwoordvalidatiesequentie kunnen onderscheppen en opnieuw voor de YubiKey FIPS-sleutel afspelen. Op deze manier kunnen eenmalige wachtwoorden worden verkregen.

Yubico heeft de kwetsbaarheid zelf in maart gevonden. Het probleem speelt bij de YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS en YubiKey C Nano FIPS met firmware 4.4.2 en 4.4.4. Het probleem is in firmware 4.4.5 verholpen. Vanwege de kwetsbaarheid heeft Yubico kwetsbare sleutels teruggeroepen. Klanten die hun sleutel nog niet hebben teruggestuurd kunnen dat via deze pagina doen.

Image

Reacties (11)
14-06-2019, 13:29 door Anoniem
Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
14-06-2019, 14:27 door Anoniem
Door Anoniem: Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??

Want je zet ook echt je wachtwoorden op die sleuten :D
14-06-2019, 15:00 door Anoniem
Door Anoniem: Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??

Yubico adviseerd ten alle tijde een 2e sleutel.

Ik heb overigens nog geen bericht van ze gehad.
14-06-2019, 18:32 door Anoniem
Maar wat als je de key via een Nederlandse distributeur hebt gekocht?
14-06-2019, 20:28 door Anoniem
Door Anoniem: Maar wat als je de key via een Nederlandse distributeur hebt gekocht?

Wat heb je zelf al gedaan om het antwoord te vinden?
15-06-2019, 10:55 door Anoniem
FIPS keys zijn niet de gebruikelijke yubikeys.
Waarschijnlijk heeft u een normale yubikey
15-06-2019, 11:13 door Anoniem
Ik werk voor de Nederlandse distributeur (Infinigate) en alle resellers die FIPS YubiKeys gekocht hebben zijn hier over geïnformeerd en hebben gratis nieuwe exemplaren gekregen.

In de BeNeLux zijn er heel weinig bedrijven die gebruik maken van de FIPS keys, dat is (1) omdat FIPS 140-2 certificering van de firmware geen behoefte is vanuit compliance en (2) omdat de nieuwe YubiKey 5-series in tegenstelling tot de FIPS keys ook over FIDO2 capaciteit beschikken wat een veel gevraagde functionaliteit is.

Voor de duidelijkheid; dit firmware issue doet zich NIET voor in andere YubiKeys en Security Keys.
17-06-2019, 22:26 door Anoniem
Door Anoniem: Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??

Man, man. Als je niet weet waar je over praat ........
18-06-2019, 09:35 door Anoniem
Door Anoniem:
Door Anoniem: Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??

Want je zet ook echt je wachtwoorden op die sleuten :D
Even in jip-en-janneketaal he. Begrijpelijk dat het er niet in plaintekst op staat maar cryptografisch.

Door Anoniem:
Door Anoniem: Nano sleutel, wat gebeurt er al deze stuk gaat? dan kun je fluiten naar de wachtwoorden. Weg voor altijd.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??

Yubico adviseerd ten alle tijde een 2e sleutel.

Ik heb overigens nog geen bericht van ze gehad.
Beetje belachelijk, die dingen kosten al behoorlijk wat (de Nano variant) twee keer 70 euries.
Al mijn wachtwoorden staan ouderwets op een stuk papier dat vervolgens de kluis in gaat met wat wol en vuurwerk rotjes erbij (als ze de kluis proberen open te slijpen dan brand hij van binnen in uit). De schijven heb ik
versleuteld met LUKS. Succes daarmee, zou ik zeggen.
18-06-2019, 13:27 door Anoniem
Door Anoniem:
Al mijn wachtwoorden staan ouderwets op een stuk papier dat vervolgens de kluis in gaat met wat wol en vuurwerk rotjes erbij (als ze de kluis proberen open te slijpen dan brand hij van binnen in uit)

wol werkt brandvertragend ;)
18-06-2019, 17:07 door Anoniem
"Al mijn wachtwoorden staan ouderwets op een stuk papier dat vervolgens de kluis in gaat met wat wol en vuurwerk rotjes erbij"

Wel handig zo'n kluis, vooral als je in het buitenland zit en je wachtwoord moet weten :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.