A cybercrime group named PoisonSeed, which specializes in cryptocurrency theft, was recently spotted using an interesting technique to gain access to accounts protected by FIDO physical security keys, according to Expel. The attacks don’t involve the exploitation of FIDO vulnerabilities. Instead, the attackers are abusing cross-device sign-in features, bypassing the security provided by FIDO keys by tricking the victim to provide access through an alternative sign-in method via a mobile MFA app. The attackers achieve this through a real-time attack by obtaining a QR code presented by the legitimate login portal and getting the user to scan the QR code with their MFA app to approve the login. UPDATE: Based on further analysis and consultations with the cybersecurity community, Expel has determined that the attackers were not actually successful as “all subsequent MFA challenges failed and the attacker is never granted access to the requested resource”.

https://www.securityweek.com/in-other-news-law-firm-hacked-by-china-symantec-flaw-meta-ai-hack-fido-key-bypass/

https://expel.com/blog/an-important-update-and-apology-on-our-poisonseed-blog/

Tietoturva, käyttäjän henkilöllisyyden varmentaminen ja datan suojaaminen ovat monille aivan kriittisiä kysymyksiä. Niiden pitäisi olla sitä jokaiselle. Ruotsalainen Yubico uskoo, että pieni mukana kannettava laite on avain turvaan myös mobiililaitteissa.

Viime aikoina monet maailman johtavista teknologiayrityksistä ovat alkaneet ottaa käyttöön Passkeys-tekniikkaa eli ”salasanatonta” tunnistautumista. Nämä ratkaisut perustuvat Fast IDentity Online Alliancen luomaan FIDO-kirjautumisstandardiin.

Yksi FIDO-tunnistautumisen kärkinimiä on Yubico, joka on viime aikoina tehnyt paljon yhteistyötä Apple, Microsoftin ja muiden isojen yritysten kanssa.

- Yksi YubiKeyn tärkeimmistä vahvuuksista on siinä, että se käyttää protokollia, kuten FIDO U2F (Universal 2nd Factor) ja FIDO2/WebAuthn, jotka kestävät tietojenkalasteluhyökkäyksiä. Nämä protokollat ​​varmistavat, että todennusprosessi on kryptografisesti sidottu alkuperäiseen sivustoon, mikä estää tehokkaasti hyökkääjiä ohjaamasta käyttäjiä vilpillisiin verkkosivustoihin. Tämä korkea turvallisuustaso tekee YubiKeystä luotettavan vaihtoehdon arkaluonteisten tietojen suojaamiseen, Ward selventää.

Laajan yhteensopivuuden ansiosta YubiKeys-avaimia voidaan käyttää eri alustoilla, kuten Windows, macOS, Linux, iOS ja Android sekä yleisimmissä selainversioissa. YubiKeys on hyvin tuettu yritysympäristöissä, ja ne on integroitu identiteetin ja pääsynhallintajärjestelmiin, kuten Microsoft Entra AD, Google Workspace, Okta ja monet muut.

Fyysisesti YubiKey istuu monenlaisiin liitäntöhin, mukaan lukien USB-A-, USB-C-, Lightning- ja NFC-yhteensopivat mallit.

Kuinka turvallinen YubiKey-avain sitten on? Wardin mukaan YubiKey OTP (One-Time Password) -striimin onnistuneita sieppauksia ja vaarantumista ei ole havaittu. Hänen mukaansa tämä johtuu suurelta osin YubiKey OTP -suunnitteluun upotetuista vankoista turvaominaisuuksista, jotka tekevät sieppauksesta ja väärinkäytöstä erittäin haastavaa.

- Ensinnäkin YubiKey OTP:t luodaan AES-128-salauksella. Tämä tarkoittaa, että YubiKey ja todennuspalvelin jakavat salaisen avaimen, jota käytetään OTP:n salaamiseen. Ilman pääsyä tähän salaiseen avaimeen OTP:n salauksen purkaminen, vaikka se siepattaisiin, on käytännössä mahdotonta.

Lisäksi jokainen YubiKeyn luoma OTP on ainutlaatuinen ja sitä voidaan käyttää vain kerran. Siksi, vaikka OTP siepattaisiin, siitä tulisi hyödytön ensimmäisen käytön jälkeen. Tämä kertakäyttöominaisuus varmistaa, että OTP:itä ei voida käyttää uudelleen hyökkäyksessä.

Ludwig Wardin mukaan salasanattoman todennuksen markkinat kehittyvät nopeasti, koska perinteisten salasanapohjaisten järjestelmien rajoitukset ja haavoittuvuudet tunnustetaan yhä enemmän.

- Biometriset tiedot ja laitteistotunnukset edustavat kahta näkyvää lähestymistapaa salasanattomassa todennusympäristössä, joista jokaisella on omat etunsa ja haasteensa. Biometriset tiedot, kuten sormenjälkiskannaukset, kasvojentunnistus ja iirisskannaukset, tarjoavat käyttäjille erittäin mukavuutta. Ne poistavat tarpeen muistaa monimutkaisia ​​salasanoja ja tarjoavat saumattoman todennuskokemuksen. Yksi esimerkki tästä on YubiKey Bio Series, joka hyödyntää itse YubiKeyn biometrisiä tietoja PIN-koodin sijasta, aivan kuten älypuhelimesi biometrisiä tietoja, joita kaikki pitävät nykyään.

Biometrisiin tietoihin liittyy kuitenkin myös merkittäviä yksityisyyttä ja tietoturvaa koskevia huolenaiheita. Lisäksi joidenkin biometristen järjestelmien käyttöönotto vaatii pitkälle kehitettyä ja usein kallista infrastruktuuria. Toisaalta suojausavaimet, kuten YubiKeys, tarjoavat vankan suojan käyttämällä salausmenetelmiä käyttäjien todentamiseen. Nämä tunnukset kestävät tietojenkalasteluhyökkäyksiä ja tarjoavat konkreettisen suojan, jota käyttäjät voivat hallita.

A security company is calling out a feature in Google’s authenticator app that it says made a recent internal network breach much worse.

Retool, which helps customers secure their software development platforms, made the criticism on Wednesday in a post disclosing a compromise of its customer support system. The breach gave the attackers responsible access to the accounts of 27 customers, all in the cryptocurrency industry.
[...]
The most important moral of this story is that FIDO2-compliant forms of MFA are the gold standard for account security. For those sticking with TOTPs, Google Authenticator is intended to provide a happy medium between usability and security. This balance may make the app useful for individuals who want some form of MFA but also don’t want to run the risk of being locked out of accounts in the event they lose a device. For enterprises like Retool, where security is paramount and admins can manage accounts, it’s woefully inadequate.

New approach combines ECDSA with post-quantum algorithm called Dilithium.

Bleeping Computer:
https://www.bleepingcomputer.com/news/security/google-released-first-quantum-resilient-fido2-key-implementation/

https://thehackernews.com/2023/08/google-introduces-first-quantum.html