YubiKey verkauft weiterhin alte Lagerbestände mit verwundbarer Firmware

 (news.ycombinator.com)
2 Punkte von GN⁺ 2024-11-12 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde berichtet, dass YubiKey weiterhin alte Lagerbestände mit Firmware verkauft, die für den EUCLEAK-Angriff anfällig ist
  • Ein Leser von Fefe's Blog hat dies gemeldet

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-11-12
Hacker-News-Kommentare

  • Die Bekanntgabe der YubiKey-Sicherheitslücke wurde zwar verpasst, hat aber nur geringe Auswirkungen auf das persönliche Bedrohungsmodell

    • Der Angreifer muss den YubiKey physisch besitzen und Kenntnisse über das Zielkonto sowie spezielle Ausrüstung haben
    • Zusätzliche Informationen wie Benutzername, PIN, Kontopasswort und Authentifizierungsschlüssel könnten erforderlich sein

  • Es wird darauf hingewiesen, dass Yubico weiterhin anfällige Schlüssel verkauft, anstatt sie aus dem Verkehr zu ziehen

    • Schlüssel mit neuer Firmware werden vorrangig an Institutionen und „bevorzugte Kunden“ geliefert

  • Es werden Zweifel daran geäußert, ob Kunden Yubico vertrauen können

    • Es besteht die Erwartung, dass der Hersteller sich um den Schutz seiner Kunden bemühen sollte
    • Der Verkauf anfälliger Schlüssel wird als Vertrauensbruch angesehen

  • Wenn ein YubiKey verloren geht, können Daten kompromittiert werden

    • Es existiert eine Sicherheitslücke, die 14 Jahre lang unentdeckt blieb
    • Es gibt eine Methode, Geheimnisse zu extrahieren, ohne den YubiKey zu zerlegen

  • Der Grund, warum Yubico die Schlüssel verkauft, sei, dass eine klare Kennzeichnung der Firmware-Version zu kostspielig wäre

    • Das wirkt wie eine Gelegenheit für Wettbewerber
    • Nitrokey wird als gute Alternative genannt

  • Beim Kauf von Sicherheitstokens werden Produkte mit offener Firmware und offener Hardware bevorzugt

    • Gewünscht werden unabhängig geprüfte Produkte
    • Es wäre gut, wenn es die Möglichkeit gäbe, Firmware zu laden und zu aktualisieren

  • Nitrokey wird empfohlen

    • Die Software ist auf GitHub veröffentlicht

  • Es besteht Bereitschaft, ältere YubiKeys zu einem reduzierten Preis zu kaufen

    • Im persönlichen Bedrohungsmodell ist Widerstand gegen gestohlene Schlüssel nicht besonders wichtig

  • Der Kunde befand sich in der Endphase der Auswahl eines Sicherheitstokens

    • YubiKey ist keine Option mehr
    • Enttäuschung über den Umgang mit dem Mangel

  • Beim Kauf von Schlüsseln bei Yubico könnte man passiv-aggressive Verkaufs-E-Mails erhalten