YubiKey अब भी कमजोर firmware वाले पुराने stock बेच रहा है

Hacker News की राय

• YubiKey की भेद्यता की घोषणा छूट गई थी, लेकिन व्यक्तिगत threat model पर इसका बड़ा असर नहीं पड़ता

  • हमलावर के पास YubiKey का भौतिक कब्ज़ा होना चाहिए, और उसे target account की जानकारी व विशेष उपकरणों की ज़रूरत होगी
  • username, PIN, account password, authentication key जैसी अतिरिक्त जानकारी की भी आवश्यकता हो सकती है

• यह भी इंगित किया गया कि Yubico कमजोर keys को नष्ट किए बिना अब भी बेच रहा है

  • नए firmware वाली keys को प्राथमिकता से संस्थानों और "प्राथमिक ग्राहकों" को दिया जाता है

• इस पर सवाल उठता है कि क्या ग्राहक Yubico पर भरोसा कर सकते हैं

  • अपेक्षा की जाती है कि निर्माता ग्राहकों की सुरक्षा के लिए प्रयास करे
  • कमजोर keys बेचना भरोसे का उल्लंघन माना जाता है

• अगर YubiKey खो जाए तो डेटा से समझौता हो सकता है

  • 14 साल तक बिना पकड़ी गई एक भेद्यता मौजूद रही
  • YubiKey को खोले बिना भी secrets निकालने का एक तरीका है

• Yubico के keys बेचते रहने का कारण यह है कि firmware version को स्पष्ट रूप से दिखाना महंगा पड़ता है

  • यह किसी प्रतिस्पर्धी के उभरने का अवसर लगता है
  • Nitrokey को एक अच्छे विकल्प के रूप में पेश किया गया है

• security token खरीदते समय, open firmware और hardware वाले products को प्राथमिकता दी जाती है

  • स्वतंत्र रूप से जाँचे गए products चाहिए
  • firmware को लोड और update करने की क्षमता हो तो अच्छा है

• Nitrokey की सिफारिश की गई है

  • इसका software GitHub पर सार्वजनिक है

• पुरानी YubiKey को छूट वाली कीमत पर खरीदने की इच्छा है

  • व्यक्तिगत threat model में चोरी हुई key के खिलाफ बहुत अधिक resistance की ज़रूरत नहीं है

• ग्राहक security token चुनने के अंतिम चरण में था

  • YubiKey अब विकल्प नहीं है
  • defect को संभालने के तरीके से निराशा हुई

• Yubico की key खरीदने पर passive-aggressive sales emails मिल सकती हैं