YubiKey FIPS-sleutels teruggeroepen wegens beveiligingslek
Fabrikant Yubico heeft verschillende YubiKey FIPS-sleutels laten terugroepen wegens een beveiligingslek. Via de hardwarematige beveiligingssleutels kunnen gebruikers op hun accounts inloggen. Bij de kwetsbare sleutels kan de buffer met willekeurige waarden voorspelbare inhoud bevatten, wat de cryptografische operaties van de sleutel kan beïnvloeden.
Door de kwetsbaarheid kan een aanvaller die verkeer van de sleutel weet te onderscheppen tussen de FIDO-client en de dienst waarop wordt ingelogd, zich tegenover deze dienst als de beveiligingssleutel voordoen. In het geval de YubiKey wordt gebruikt voor het genereren van eenmalige wachtwoorden zou een aanvaller via malware op het systeem de wachtwoordvalidatiesequentie kunnen onderscheppen en opnieuw voor de YubiKey FIPS-sleutel afspelen. Op deze manier kunnen eenmalige wachtwoorden worden verkregen.
Yubico heeft de kwetsbaarheid zelf in maart gevonden. Het probleem speelt bij de YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS en YubiKey C Nano FIPS met firmware 4.4.2 en 4.4.4. Het probleem is in firmware 4.4.5 verholpen. Vanwege de kwetsbaarheid heeft Yubico kwetsbare sleutels teruggeroepen. Klanten die hun sleutel nog niet hebben teruggestuurd kunnen dat via deze pagina doen.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Want je zet ook echt je wachtwoorden op die sleuten :D
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Yubico adviseerd ten alle tijde een 2e sleutel.
Ik heb overigens nog geen bericht van ze gehad.
Wat heb je zelf al gedaan om het antwoord te vinden?
Waarschijnlijk heeft u een normale yubikey
In de BeNeLux zijn er heel weinig bedrijven die gebruik maken van de FIPS keys, dat is (1) omdat FIPS 140-2 certificering van de firmware geen behoefte is vanuit compliance en (2) omdat de nieuwe YubiKey 5-series in tegenstelling tot de FIPS keys ook over FIDO2 capaciteit beschikken wat een veel gevraagde functionaliteit is.
Voor de duidelijkheid; dit firmware issue doet zich NIET voor in andere YubiKeys en Security Keys.
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Man, man. Als je niet weet waar je over praat ........
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Want je zet ook echt je wachtwoorden op die sleuten :D
Niet bepaald handig, en in de cloud wil je ze ook niet opslaan... Waar wel nog ??
Yubico adviseerd ten alle tijde een 2e sleutel.
Ik heb overigens nog geen bericht van ze gehad.
Al mijn wachtwoorden staan ouderwets op een stuk papier dat vervolgens de kluis in gaat met wat wol en vuurwerk rotjes erbij (als ze de kluis proberen open te slijpen dan brand hij van binnen in uit). De schijven heb ik
versleuteld met LUKS. Succes daarmee, zou ik zeggen.
Al mijn wachtwoorden staan ouderwets op een stuk papier dat vervolgens de kluis in gaat met wat wol en vuurwerk rotjes erbij (als ze de kluis proberen open te slijpen dan brand hij van binnen in uit)
wol werkt brandvertragend ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
