一个无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、安全密钥和 YubiHSM 2FA 设备的安全性。Feitian A22 JavaCard 和其他使用 Infineon SLB96xx 系列 TPM 的设备也容易受到攻击。应假定所有易受攻击的 2FA 密钥都已泄露，并尽快替换为不易受攻击的密钥。

　　除密码外，双重 （2FA） 安全身份验证还使用软件应用程序（例如 Microsoft Authenticator）生成的唯一代码或硬件密钥（例如 Yubikey）来登录在线帐户。越来越多的账户提供商（例如银行）已经实施了 2FA 安全性，以减少数据和资金的盗窃。

　　双重身份验证密钥依赖于使用难以逆向工程的方法生成唯一代码。现代 2FA 应用程序和密钥通常使用更复杂的数学运算，例如椭圆曲线算法（在 IBM 网站上深入了解数学）。

　　侧信道攻击会监控电子设备的各个方面以创建攻击。对于 Yubico、Feitian 和其他 2FA 密钥中使用的易受攻击的 Infineon TPM 芯片，Ninjalabs 的研究人员花了两年时间捕获和破译芯片的无线电发射，以发起攻击。

　　黑客需要长达一个小时才能访问密钥以捕获无线电发射，然后需要一两天来破译数据并创建 2FA 密钥的副本。数学和技术相当复杂，因此具有密码学、数学和电子学专业知识的读者可以阅读 NinjaLab 文章中的复杂方法。NinjaLab 此前在其他 Google Titan、Feitian、Yubico 和 NXP 密钥中发现了类似的漏洞。

　　Yubico 2FA 密钥的用户应咨询 Yubico 安全公告，看看他们的密钥是否容易受到攻击。其他设备的用户需要询问制造商这些设备是否使用易受攻击的 Infineon SLB96xx 系列 TPM。受影响的设备无法修补以修复安全漏洞。

　　所有受影响的关键所有者在确认替代方案不易受到攻击后，都应该强烈考虑改用替代方案。

关键词：Yubico

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。