this post was submitted on 05 Sep 2024
8 points (100.0% liked)

Technik

248 readers
23 users here now

die Community für alles, was man als Technik beschreiben kann

Beiträge auf Deutsch oder Englisch

founded 4 months ago
MODERATORS
top 7 comments
sorted by: hot top controversial new old
[–] marv@feddit.org 7 points 2 months ago (2 children)

Liest sich als sei man hier auf der Suche nach einer Sensation die keine ist. Erinnert an den CVE dieses Jahr zu KeePassX wo man eine"Sicherheitslücke" festgestellt hat dass man das Master-Passwort eines entriegelten Safes ändern kann, ohne vorher erneut das alte eingeben zu müssen.

Wenn jemand bereits direkten Zugriff hat, dann spielt das ganze sowieso keine Rolle mehr, alles drumherum ist Security-Theater.

Genau so hier, dass man einen Backup Key haben sollte ist eine grundsätzliche Empfehlung um Verlust von Accounts auszuschließen, der Autor legt das hier als zusätzliche Angriffsfläche aus, weil man den ja auch geklaut bekommen kann (??).

Und nicht zu vergessen natürlich, hier wird "Yubico kann physisch keine Firmware Updates aufspielen" (was obendrauf von Yubico aber als Sicherheitsfeature verkauft wird) geframed zu "Yubico will nicht". Der Autor dreht sich alles wie es gerade in sein Bild passt, scheint von der Materie aber wenig Ahnung zu haben.

[–] 7uWqKj@lemmy.world 2 points 2 months ago
[–] cron@feddit.org 1 points 2 months ago (1 children)

Naja, einen Yubikey zu klonen würde ich schon als Sicherheitslücke sehen.

[–] marv@feddit.org 4 points 2 months ago

Ob das eine ist habe ich nicht in Frage gestellt, aber wie erwähnt, sobald jemand physikalischen Zugriff auf dem Yubikey hat, steht man schon längst vor dem größten Problem. Ob er den nun klonen kann spielt keine Rolle, authentifizieren kann er sich damit schon.

[–] state_electrician@discuss.tchncs.de 4 points 2 months ago (1 children)

Ich mein, bei dieser "Lücke": wozu auch? Die erfordert physikalischen Zugriff und dann ist es eh egal.

[–] KasimirDD@feddit.org 2 points 2 months ago

Physischen Zugriff, die Zerstörung des Keys, E-Technik-Skills und 11.000$ Equipment.

[–] cron@feddit.org 3 points 2 months ago

Bezüglich der Nachfrage, ob Firmware-Updates geplant seien, verweist eine Unternehmenssprecherin auf eine Support-Webseite von Yubico. Dort erläutert der Hersteller, dass die Firmware von Yubikeys nach der Herstellung und Bereitstellung nicht aktualisierbar sei: "Um Attacken auf die Yubikeys zu verhindern, die ihre Sicherheit kompromittieren könnten, erlaubt Yubikey nicht, auf die Firmware zuzugreifen oder sie zu verändern". Andere Hersteller wie Nitrokey ermöglichen aber durchaus Firmware-Updates und gegebenenfalls einen Werksreset zum Löschen der Daten.

Ich bin mir nicht sicher, ob das eine gute Richtung ist. Zwar verstehe ich, dass man keine Firmwareupdates anbieten will. Ähnliches kennt man auch von Smartcards (die aber deutlich billiger sind).

Aber bei Yubikeys, die 60€ kosten, wird wohl kaum jemand bereit sein, diese wegzuwerfen (sofern es kein Austauschprogramm gibt). Diese sind wohl für viele Jahre im Einsatz.