微软发现谷歌TITAN泰坦安全密钥存在漏洞 蓝牙低功耗版本必须更换

谷歌去年推出泰坦实体安全密钥用于部分账户的多因素认证,实体安全密钥的好处在于不怕密码再遭到泄露。

同时泰坦实体安全密钥在谷歌内部已经被广泛使用,谷歌多数员工都已配备该密钥用于提高自己账户安全性。

不过日前微软发现泰坦安全密钥的蓝牙低功耗版存在严重漏洞,攻击者可近距离接触绕过用户提前完成验证。

蓝牙低功耗版安全问题细节:

由于泰坦安全密钥使用的蓝牙协议配置存在错误,这使得攻击者可以在靠近用户时直接与泰坦安全密钥配对。

当用户尝试在自己的计算机上进行账号登录时,泰坦安全密钥会要求用户按压密钥上的物理按钮将密钥激活。

如果攻击者可计算用户操作的话那么可以在用户按压时登录其账户,前提是攻击者还需要提前获得账号密码。

还有种情况是用户使用密钥时必须连接自己的设备,这时候攻击者可以将自己的设备伪装成密钥让用户连接。

之后攻击者即可借助蓝牙连接操作用户的计算机,这可能会给用户的设备安全与账号安全造成潜在的影响等。

微软发现谷歌TITAN泰坦安全密钥存在漏洞 蓝牙低功耗版本必须更换

此问题不影响安全密钥的用途:

泰坦安全密钥的用途是保护用户免受远程攻击者的网络钓鱼攻击,安全密钥仍然是防范钓鱼的强大保护方式。

使用存在安全问题的密钥依然还是很安全,因为攻击者必须能够精确计算用户的操作并近距离接触才可攻击。

同时用户不应该关闭谷歌或其他账户的安全密钥验证,在更换新安全密钥前用户可以继续使用泰坦安全密钥。

受影响的设备及免费更换政策:

如果你使用的泰坦安全密钥为蓝牙低功耗版本,请检查密钥背面是否有T1/T2 字样,如果有则说明受到影响。

对于受影响的泰坦安全密钥谷歌将提供免费更换政策,用户可前往谷歌帮助页面检索免费更换需进行的步骤

在收到新的安全密钥前可降低安全风险:

如果用户使用的 iOS 12.2 及此前版本, 谷歌建议使用安全密钥时在私人场所,以免公共场所有潜在攻击者。

如果用户使用的 iOS 12.3 版则此密钥不再有效, 用户将无法使用受影响的密钥登录谷歌或其他绑定的账户。

在安卓和其他设备上用户只需要在私人场所使用即可,同时建议登录账号后立即取消蓝牙配对防止钓鱼设备。

此外用户可以继续使用USB或NFC版的泰坦安全密钥,上述泰坦安全密钥不受此次的蓝牙配对协议问题影响。

本文由来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞2
topgamer
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看苹果设备好帮手---iTunes完美替代软件iMazing正版团购如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.2000 Maxthon 5.2.7.2000 Windows 10 64位版 Windows 10 64位版

    那就尽快更换啊!

发表评论