Warum du deine E-Mails verschlüsseln solltest und wie du startest
Erhalte einen umfassenden Überblick darüber, warum E-Mail-Verschlüsselung wichtig ist und wie du mit PGP und Gpg4win deine E-Mails effektiv schützen kannst.
🚨 Entdeckte Sicherheitslücke in YubiKey 5: Die Gefahr physischer Manipulation
Forscher haben eine kryptografische Schwachstelle im YubiKey 5-Sicherheitstoken aufgedeckt, der weit verbreitet für die Zwei-Faktor-Authentifizierung verwendet wird. Diese Schwachstelle ermöglicht es Angreifern, das Token zu klonen, wenn sie kurzzeitig physischen Zugriff darauf erhalten.
Alle YubiKey 5-Modelle mit Firmware-Versionen vor 5.7 (veröffentlicht im Mai 2024) sind betroffen. Leider ist ein Firmware-Update nicht möglich, sodass die betroffenen Schlüssel dauerhaft gefährdet bleiben.
Der Angriff nutzt einen „Seitenkanalangriff“, bei dem ein Angreifer winzige Unterschiede in der Rechenzeit während des Authentifizierungsprozesses misst. Diese Datenpunkte können verwendet werden, um den geheimen Schlüssel des Tokens zu extrahieren. Um diesen Angriff durchzuführen, muss das Gerät physisch geöffnet werden.
Ein Angreifer könnte auf geschützte Konten zugreifen, wenn er das Token klont und auch das zugehörige Passwort besitzt. Da keine Firmware-Updates verfügbar sind, bleiben alle betroffenen Geräte dauerhaft anfällig. Dies unterstreicht die Bedeutung der Verwendung von Multi-Faktor-Authentifizierung (MFA).
✅ Yubico empfiehlt, dass Benutzer stets die physische Kontrolle über ihre YubiKeys behalten. Wenn ein YubiKey verloren geht oder gestohlen wird, melden Sie ihn sofort bei allen Diensten oder Konten ab und stellen Sie sicher, dass alternative Authentifizierungsmethoden eingerichtet sind. Idealerweise sollte jeder Dienst zwei oder mehr YubiKeys für Backup- und Wiederherstellungsszenarien haben. Die Schlüssel können weiterhin sicher verwendet werden und bleiben hochgradig resistent gegen Phishing.
Trotz dieser Schwachstelle bleibt die FIDO-konforme Authentifizierung eine der robustesten Methoden zum Schutz von Konten, da sie resistent gegen Phishing und Man-in-the-Middle-Angriffe ist. Solange Ihr Schlüssel nicht in die Hände eines hochqualifizierten und gut ausgestatteten Angreifers gerät, bleibt er eine der sichersten Authentifizierungsmethoden.
Sind Sie ein Fan von YubiKey oder verlassen Sie sich auf andere bewährte Zwei-Faktor-Authentifizierungsmethoden? Lassen Sie es uns in den Kommentaren wissen! ⬇️