YubiKey vẫn đang bán hàng tồn kho cũ với firmware dễ bị tấn công

Ý kiến Hacker News

• Đã bỏ lỡ thông báo về lỗ hổng của YubiKey, nhưng nó không ảnh hưởng nhiều đến mô hình đe dọa cá nhân

  • Kẻ tấn công phải sở hữu vật lý YubiKey, đồng thời cần kiến thức về tài khoản mục tiêu và thiết bị chuyên dụng
  • Có thể cần thêm thông tin như tên người dùng, PIN, mật khẩu tài khoản và khóa xác thực

• Có ý kiến chỉ ra rằng Yubico vẫn đang bán các khóa dễ bị tấn công thay vì loại bỏ chúng

  • Các khóa có firmware mới trước hết được cung cấp cho tổ chức và "khách hàng ưu tiên"

• Có nghi vấn liệu khách hàng có thể tin tưởng Yubico hay không

  • Có kỳ vọng rằng nhà sản xuất phải nỗ lực để bảo vệ khách hàng
  • Việc bán các khóa có lỗ hổng được xem là hành vi phản bội niềm tin

• Nếu làm mất YubiKey, dữ liệu có thể bị xâm phạm

  • Có một lỗ hổng đã tồn tại suốt 14 năm mà không bị phát hiện
  • Có cách trích xuất bí mật mà không cần tháo rời YubiKey

• Lý do Yubico bán các khóa này là vì việc ghi rõ phiên bản firmware sẽ tốn kém

  • Đây có vẻ là cơ hội để đối thủ cạnh tranh xuất hiện
  • Nitrokey được nêu như một lựa chọn thay thế tốt

• Khi mua token bảo mật, người ta ưu tiên sản phẩm có firmware và phần cứng mở

  • Muốn có sản phẩm đã được kiểm tra độc lập
  • Sẽ tốt hơn nếu có khả năng nạp và cập nhật firmware

• Khuyến nghị Nitrokey

  • Phần mềm được công khai trên GitHub

• Sẵn sàng mua YubiKey đời cũ với giá giảm

  • Trong mô hình đe dọa cá nhân, không quá cần khả năng chống lại việc khóa bị đánh cắp

• Đã ở bước cuối cùng trong việc chọn token bảo mật

  • YubiKey không còn là một lựa chọn nữa
  • Thất vọng với cách họ xử lý lỗi

• Khi mua khóa của Yubico, bạn có thể nhận được các email bán hàng thủ công mang tính công kích