Säkerhetsevaluering av YubiKey

Simon Josefsson har genomfört en säkerhetsevaluering av den hårdvarubaserade single sign-on (SSO) produkten YubiKey från företaget Yubico. Grundare och VD på företaget är Stina Ehrensvärd som nyligen blev utsedd till en av sveriges hetaste entreprenörer för tredje året i rad av tidningen InternetWorld.

Så här skriver Simon i rapporten:

Vi beskriver Yubico YubiKey användarverifiering samt enheten och det protokoll som den använder. Vi diskuterar allmänna attackvektorer samt mer specifika angrepp på systemet. Säkerheten i systemet bygger till viss del på utformningen av servern, och vi diskuterar dessa krav.

Systemet använder stark kryptering med AES. Replay-attacker hanteras. Trojan och phishing problem mildras. Tillsammans med en PIN-kod eller lösenord blir det en två-faktor autentisering. Vi anser att systemet balanserar bra säkerhet med användarvänlighet, och hoten mot systemet är få och dokumenterade.

Läs rapporten i sin helhet: http://www.yubico.com/files/YubiKey_Security_Review.pdf

Update: Filen verkar vara borttagen men Google har en kopia. Se kommentar

Update2: Filen är tillbaka.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

5 comments

  1. Pingback: Tvåfaktorsautentisering med Yubikey0×539.se | 0x539.se
  2. Pingback: Bitsec granskar SecureMailbox | Kryptering och IT-säkerhet

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>