Si usted compra una clave de seguridad de nivel gubernamental lo único que realmente quiere es la seguridad de nivel gubernamental
Es la definición del diccionario de "tenías un trabajo". Es por eso que es un tanto vergonzoso que Yubico haya publicado un aviso de retiro en su serie FIPS de claves de autenticación que, al parecer, no son completamente seguras.
Un aviso de seguridad de la compañía indica que los dispositivos que ejecutan 4.4.2 y 4.4.4 del firmware tienen un error que pone "algún contenido predecible" dentro de las claves de seguridad generadas aleatoriamente.
"Predecible" no es, idealmente, una palabra que desee utilizar cuando se trata de contraseñas, pero para ser claro, no es como si el FIPS estuviera generando contraseñas como "123456" o incluso "1234567" . El generador de claves RSA, por ejemplo, tendría "hasta 80 bits predecibles de un mínimo de 2048 bits". Y mientras que las claves de seguridad con firmas ECDSA son comparativamente puertas abiertas, todavía tienen 80 de los 256 bits generados por la clave que permanece estática.
En otras palabras, aún se necesitaría un pirata informático muy determinado para sacar algo de las claves, dada la necesidad de interceptar primero la autenticación dada y luego romper la clave de seguridad ligeramente comprometida.
Pero, de nuevo, las personas que usan claves de seguridad para la autenticación lo hacen porque contienen material muy sensible y, por lo tanto, son objetivos sumamente tentadores. Esto no es como lograr entrar en la cuenta de correo de Yahoo descartada por mucho tiempo.
A pesar de esto, cualquier cliente afectado obtendrá una clave de seguridad de reemplazo de la empresa. Y si todo esto te da una sensación de deja vu, entonces es posible que hayas leído algo similar que está sucediendo en las claves de seguridad Titan de Google hace menos de un mes
Fecha actualización el 2021-06-14. Fecha publicación el 2019-06-14. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: theinquirer Version movil