您的位置 首页 数码

研究者克隆Google硬件密钥绕过双因素认证

采用物理密钥验证的双因素认证通常被认为安全性远高于短信验证,但是最近NinjaLab研究人员设计了一种侧信道攻击方法来绕过Google的Titan物理密钥(通过克隆2FA物理密钥)。

采用物理密钥验证的双因素认证通常被认为安全性远高于短信验证,但是最近NinjaLab研究人员设计了一种侧信道攻击方法来绕过Google的Titan物理密钥(通过克隆2FA物理密钥)。

下面我们来看看安全研究者如何完成这个“不可能的任务”。

第一步,研究人员用热风枪和手术刀撬开Titan密钥。由于密钥的塑料外壳牢固粘合在一起需要先用热风枪软化白色塑料,然后使用手术刀分离两个外壳部件。

研究者克隆Google硬件密钥绕过双因素认证

显然,这个Titan密钥再也没有办法恢复到原来的样子了。

然后,使用专用软件和设备对存储密钥和执行加密工作的NXP A700X芯片进行分析。

研究者克隆Google硬件密钥绕过双因素认证

这个过程极为复杂和困难,这个步骤需要花费10小时左右。

根据研究者发布的论文,该方法的条件较为“苛刻”,需要攻击者事先知道受害者的密码,拿到硬件密钥,而且需要花费大约10个小时才能克隆密钥。此外,还需要价值1.2万美元的设备和特殊软件,以及一个熟练的黑客。

需要强调的是,即使出现上述攻击方法,物理密钥的安全性依然要远高于短信验证,对于大多数用户来说依然是非常强壮的安全措施,防范克隆攻击唯一需要注意的是,物理密钥需要妥善保管,不可轻易借给他人。

参考资料

针对Google硬件密钥Titan的侧信道攻击:

https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf

本文来自网络,不代表聚合资讯立场,转载请注明出处:http://archerhigh.com/5679.html

作者: admin

为您推荐

联系我们

联系我们

13000001211

在线咨询: QQ交谈

邮箱: email@wangzhan.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部