L’annonce de la vulnérabilité des YubiKey a été manquée, mais elle n’a pas d’impact majeur sur le modèle de menace personnel
L’attaquant doit posséder physiquement la YubiKey, ainsi que disposer d’informations sur le compte visé et d’un équipement spécialisé
Des informations supplémentaires peuvent être nécessaires, comme le nom d’utilisateur, le PIN, le mot de passe du compte et les clés d’authentification
Certains soulignent que Yubico continue de vendre des clés vulnérables au lieu de les retirer
Les clés dotées du nouveau firmware sont fournies en priorité aux institutions et aux « clients prioritaires »
Des doutes sont exprimés quant à la possibilité de faire confiance à Yubico
On attend d’un fabricant qu’il fasse le nécessaire pour protéger ses clients
Vendre des clés vulnérables est considéré comme une rupture de confiance
Perdre une YubiKey peut compromettre les données
Une vulnérabilité est restée indétectée pendant 14 ans
Il existe un moyen d’extraire les secrets sans démonter la YubiKey
Si Yubico vend ces clés, c’est parce qu’indiquer clairement la version du firmware coûterait cher
Cela ressemble à une opportunité pour un concurrent d’émerger
Nitrokey est proposé comme bonne alternative
Lors de l’achat d’un token de sécurité, les produits avec firmware et matériel open source sont préférés
On souhaite des produits inspectés de manière indépendante
Il serait appréciable de pouvoir charger et mettre à jour le firmware
Nitrokey est recommandé
Le logiciel est publié sur GitHub
Certains seraient prêts à acheter d’anciennes YubiKey à prix réduit
Dans leur modèle de menace personnel, une forte résistance au vol de clé n’est pas vraiment nécessaire
Certains clients en étaient à l’étape finale du choix d’un token de sécurité
YubiKey n’est désormais plus une option
Ils sont déçus par la manière dont le défaut a été géré
Lors de l’achat d’une clé Yubico, il est possible de recevoir des e-mails commerciaux passifs-agressifs
1 commentaires
Commentaire Hacker News
L’annonce de la vulnérabilité des YubiKey a été manquée, mais elle n’a pas d’impact majeur sur le modèle de menace personnel
Certains soulignent que Yubico continue de vendre des clés vulnérables au lieu de les retirer
Des doutes sont exprimés quant à la possibilité de faire confiance à Yubico
Perdre une YubiKey peut compromettre les données
Si Yubico vend ces clés, c’est parce qu’indiquer clairement la version du firmware coûterait cher
Lors de l’achat d’un token de sécurité, les produits avec firmware et matériel open source sont préférés
Nitrokey est recommandé
Certains seraient prêts à acheter d’anciennes YubiKey à prix réduit
Certains clients en étaient à l’étape finale du choix d’un token de sécurité
Lors de l’achat d’une clé Yubico, il est possible de recevoir des e-mails commerciaux passifs-agressifs