実際にこの脅威を引き起こしているものの開発に入れる前に、あなたが知らない場合に備えて、Googleのタイタンセキュリティキーの目的が何であるかを明確にしましょう。
は、アカウントに対する 2 要素認証でアカウントにセキュリティを提供する、小さな USB デバイスのペアです。キーはセキュリティを提供し、Googleアカウントがフィッシングやアカウントがハッキングされるのを防ぎます。キーには、キーが登録されているサービスに接続していることを確認する暗号化の証明が含まれており、アカウントにまだアクセスできる状態であることを会社に知らせます。基本的にはGoogleアカウントのパスワードのように安全に保ちます。
ポイントに戻ると、キーには基本的に2つのエントリソースがあり、一般的に「サイドチャネルの脆弱性」と呼ばれ、ハッカーがあなたの鍵にアクセスできます。最初のサイドチャネルの脆弱性は、2FAキーに電力を与えるチップにありますが、チップを通過するには、ハッカーがユーザーのログイン資格情報にアクセスする必要があり、少なくとも数時間の作業を要するキーを完全に分解する必要があり、ハッカーがすべてを行うことさえ、最終的にはU2F標準の下で台無しになります。言うまでもなく、彼がこの方法からクローンを作成しようとすると、キーはハッカーから保護されていることだと考えています。
ハッカーのキーにアクセスする 2 番目に考えられる方法は、セキュリティ キーの NXP A700X チップを使用することです。このチップは、あなたのセキュリティを管理し、あなたの所有下に確実にします。チップは直接脅威にさらされていませんが、常に抜け穴があります。研究者がキーを繰り返し使用すると、安全な要素からの無線放射を観察して秘密キーの詳細を見つけることができることが観察されました。しかし、U2Fプロトコルは、キーを解体するために数千ドルの機器と何時間もの作業を必要とするため、この行為を不可能にする必要がありますが、それでもキーが脅威から外れたという意味ではありません。
キーを紛失し、紛失したデバイスが直ちに判明した場合、キーを取り消すことができます。しかし、キーが欠落していることにユーザーが気付く前に、ウィンドウ攻撃が非常に小さいため、キーが取られ、置き換えられた可能性があります。ただし、U2F は、この攻撃が短期間だけであることを確認します。これは、キー交換にサービスで使用されたキーの正確な回数が含まれ、元のキーとクローンキーの数が一致しない場合、U2F 標準は、何かを認識する両方のキーが間違っているキーをロックするためです。
Googleの製品の1つから何らかの欠陥が生じたのはこれが初めてではありませんが、これまでに作られたデバイスは完璧ではなく、デバイスの問題は避けられません。しかし、Google が顧客のプライバシーを常に確保するための措置を講じているのを見るのは良いことです。
画像クレジット:
H/T: .