YubiKey ainda vende estoque antigo com firmware vulnerável

Comentários no Hacker News

• A divulgação da vulnerabilidade do YubiKey passou despercebida, mas não afeta muito o modelo de ameaça pessoal

  • O atacante precisa ter posse física do YubiKey, além de conhecimento sobre a conta-alvo e equipamento especializado
  • Pode ser necessário ter informações adicionais, como nome de usuário, PIN, senha da conta e chaves de autenticação

• Há críticas de que a Yubico continua vendendo chaves vulneráveis em vez de descartá-las

  • As chaves com firmware novo são fornecidas prioritariamente a instituições e "clientes preferenciais"

• Levanta-se a dúvida se os clientes podem confiar na Yubico

  • Existe a expectativa de que o fabricante se esforce para proteger os clientes
  • Vender chaves vulneráveis é visto como uma quebra de confiança

• Se o YubiKey for perdido, os dados podem ser comprometidos

  • Existe uma vulnerabilidade que não foi descoberta por 14 anos
  • Há um método de extrair segredos sem desmontar o YubiKey

• A Yubico vende essas chaves porque indicar claramente a versão do firmware custaria caro

  • Isso parece uma oportunidade para concorrentes aparecerem
  • O Nitrokey é apresentado como uma boa alternativa

• Ao comprar um token de segurança, há preferência por produtos com firmware e hardware abertos

  • Querem produtos inspecionados de forma independente
  • Seria bom ter a capacidade de carregar e atualizar o firmware

• Recomendam o Nitrokey

  • O software está disponível publicamente no GitHub

• Haveria disposição para comprar YubiKeys antigos com desconto

  • No modelo de ameaça pessoal, não é tão necessário resistir a uma chave roubada

• O cliente estava na etapa final de escolher um token de segurança

  • O YubiKey não é mais uma opção
  • Há decepção com a forma como o defeito foi tratado

• Ao comprar chaves da Yubico, é possível receber e-mails de vendas passivo-agressivos