¿Debería preocuparse por los piratas informáticos que clonan sus claves de seguridad de hardware 2FA?


Las llaves de seguridad de hardware, como Google Titan, se han convertido en la piedra angular de la seguridad empresarial, agregando una capa de protección muy necesaria adicionalmente de la contraseña. Pero los investigadores ahora han demostrado que es posible clonar claves, dada la secreto, unas pocas horas y miles de dólares.

Los investigadores de la firma de seguridad NinjaLab han acabado hacer un clon de una clave de seguridad Google Titan 2FA. El proceso hace uso de una vulnerabilidad de canal vecino en el chip NXP A700X.

Debe observar: Las mejores claves de seguridad en 2021: autenticación de dos factores basada en hardware para protección en dirección

Te dejaré observar sobre esto, pero básicamente, el proceso requiere tener comunicación físico a la secreto, lleva horas, implica destrozar la carcasa para lograr al chip, miles de dólares en equipos, software personalizado y mucho conocimiento. -cómo.

Ah, y el atacante incluso necesita la contraseña de la cuenta del objetivo.

La idea es que posteriormente del proceso de clonación, la secreto diferente se vuelva a colocar en un nuevo shell y se le devuelva al propietario cierto.

Esto, como era de esperar, será preocupante para las organizaciones que dependen de las claves 2FA. Dicho esto, la cantidad de información, unido con el tiempo autónomo que necesita un atacante para lograrlo, es ingreso. Quiero asegurar, escasear tanto la secreto como la contraseña son en sí mismos grandes obstáculos.

Por otra parte de eso, obtener la clave implica destrozar la carcasa del diferente. Esto significa que el reemplazo debe ser convincente y, en mi experiencia, las teclas adquieren un contratiempo distintivo posteriormente de muy poco uso.

Entonces, ¿qué puede hacer para mitigar este ataque?

  • Tenga contraseñas seguras.
  • Trate sus llaves 2FA de la misma forma que trataría las llaves de su automóvil o de su casa: téngalas con usted en todo momento.
  • Haga que sus llaves sean distintivas: conozco a algún que pone una mancha de esmalte de uñas brillante en su clave, la deja acartonarse y toma una foto de la mancha brillante única.
  • Si cree que su secreto ha sido comprometida, documentación a su sección de TI (o, si es usted, elimine la secreto infractora de sus cuentas).
  • Google puede detectar claves clonadas utilizando su función de contadores FIDO U2F.

Espero que esto resulte en claves mejores y más resistentes a la manipulación en el futuro. Utilizo llaves 2FA y me sorprende la poca resistor a la manipulación que tiene la clave Titan Bluetooth de Google: la carcasa se desprende fácilmente para exponer las entrañas.

Aún así, el ingenio de este ataque debe ser aplaudido. Es un truco muy impresionante.

Deja un comentario