Zum obigen Kommentar: Zehntausend Euro teures Gerät, Einbrechen und Co.
Wer hat heute Yubikeys im Einsatz? Meistens Security Leute... wenn dann GL/Kader Leute, weil ihre Security Leute es so bestimmen.
Wegen Einbruch: Je nach Firma, Firmengeheimnisse, Kritische Infrastruktur und Co. lohnt sich der Diebstahl und die Stunden von Aufwand, einen Yubikey zu knacken, wenn der Angreifer dadurch zB. einen Energieproduzent lahmlegen oder erpressen kann.
Wir reden da von organisiertem Verbrechen. Nicht von Opportunisten und Skids.
Dennoch: Yubikeys werden von Security Spezialisten eingesetzt. Da wo sie zum Einsatz kommen, wird auch geschaut, dass solche Risiken mitigiert werden.
Meiner Meinung nach völlig übertriebene Panikmache.
Eine Warnung ist absolut gerechtfertigt, allerdings muss berücksichtigt werden, was für ein immenser Aufwand für einen Angriff betrieben werden muss. Für einen Otto-Normal-Verbraucher, der mit einem YubiKey seinen Microsoft Account abgesichert hat, besteht absolut keine Angriffsgefahr. Jemand müsste einbrechen, den Stick mit zehntaused Euro teurem Gerät kopieren, dann erst mal das damit geschützte Microsoft Konto kennen, und könnte dann nach weiteren Stunden von Aufwand einen Login durchführen.
Da ist es einfacher, beim Einbruch zu hoffen dass der Account auf einem ungesicherten PC als dauerhaft merken angemeldet ist.
Eine ungepatchte Sicherheitslücke im Zwei-Faktor-Authentifizierungsschlüssel von Yubico gefährdet die Sicherheit der meisten Yubikey 5, Security Key und YubiHSM 2FA-Geräte. Die Feitian A22 JavaCard ist ebenfalls betroffen. Anfällige 2FA-Schlüssel sollten so schnell wie möglich ersetzt werden, insbesondere wenn sie zur Sicherung von Cyber-Währung oder streng geheimen Informationen verwendet werden.
Deutsch
English
Español
Français
Italiano
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
Magyar