YubiKey ยังคงขายสต็อกรุ่นเก่าที่มีเฟิร์มแวร์เปราะบาง

 (news.ycombinator.com)
2 คะแนน โดย GN⁺ 2024-11-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีรายงานว่า YubiKey ยังคงจำหน่ายสต็อกรุ่นเก่าที่ใช้เฟิร์มแวร์ซึ่งมีช่องโหว่ต่อการโจมตี EUCLEAK
  • ผู้อ่านคนหนึ่งของ Fefe's Blog เป็นผู้รายงานเรื่องนี้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-11-12
ความเห็นจาก Hacker News

  • พลาดประกาศช่องโหว่ของ YubiKey ไป แต่ไม่ได้ส่งผลมากนักต่อโมเดลภัยคุกคามส่วนบุคคล

    • ผู้โจมตีต้องครอบครอง YubiKey ทางกายภาพ และต้องมีความรู้เกี่ยวกับบัญชีเป้าหมายรวมถึงอุปกรณ์เฉพาะทาง
    • อาจต้องมีข้อมูลเพิ่มเติม เช่น ชื่อผู้ใช้, PIN, รหัสผ่านบัญชี และคีย์ยืนยันตัวตน

  • มีการชี้ว่า Yubico ยังคงขายคีย์ที่มีช่องโหว่อยู่แทนที่จะคัดทิ้ง

    • คีย์ที่มีเฟิร์มแวร์ใหม่จะถูกจัดสรรให้กับองค์กรและ "ลูกค้าลำดับความสำคัญ" ก่อน

  • มีการตั้งคำถามว่าลูกค้ายังสามารถเชื่อถือ Yubico ได้หรือไม่

    • มีความคาดหวังว่าผู้ผลิตควรพยายามปกป้องลูกค้า
    • การขายคีย์ที่มีช่องโหว่ถือเป็นการละเมิดความไว้วางใจ

  • หากทำ YubiKey หาย ข้อมูลอาจถูกเจาะได้

    • มีช่องโหว่ที่ไม่ถูกค้นพบมานาน 14 ปี
    • มีวิธีดึงความลับออกมาได้โดยไม่ต้องแกะ YubiKey

  • เหตุผลที่ Yubico ยังขายคีย์เหล่านี้ น่าจะเป็นเพราะการระบุเวอร์ชันเฟิร์มแวร์ให้ชัดเจนมีต้นทุนสูง

    • ดูเหมือนเป็นโอกาสให้คู่แข่งเข้าสู่ตลาด
    • มีการเสนอว่า Nitrokey เป็นทางเลือกที่ดี

  • เวลาซื้อโทเค็นความปลอดภัย จะชอบผลิตภัณฑ์ที่มีเฟิร์มแวร์และฮาร์ดแวร์แบบเปิด

    • ต้องการผลิตภัณฑ์ที่ผ่านการตรวจสอบอย่างอิสระ
    • ถ้าสามารถโหลดและอัปเดตเฟิร์มแวร์เองได้จะยิ่งดี

  • แนะนำ Nitrokey

    • ซอฟต์แวร์เปิดเผยไว้บน GitHub

  • ยินดีซื้อ YubiKey รุ่นเก่าในราคาลดพิเศษ

    • สำหรับโมเดลภัยคุกคามส่วนบุคคล ไม่ได้จำเป็นต้องต้านทานคีย์ที่ถูกขโมยมากนัก

  • ลูกค้ากำลังอยู่ในขั้นตอนสุดท้ายของการเลือกโทเค็นความปลอดภัย

    • YubiKey ไม่ใช่ตัวเลือกอีกต่อไป
    • ผิดหวังกับวิธีจัดการข้อบกพร่อง

  • หากซื้อคีย์จาก Yubico อาจได้รับอีเมลขายของเชิงรุกแบบกึ่งแมนนวล