YubiKey Masih Menjual Stok Lama dengan Firmware yang Rentan

Komentar Hacker News

• Sempat melewatkan pengumuman kerentanan YubiKey, tetapi tidak terlalu berdampak pada model ancaman pribadi

  • Penyerang harus memiliki YubiKey secara fisik, serta pengetahuan tentang akun target dan peralatan khusus
  • Mungkin diperlukan informasi tambahan seperti nama pengguna, PIN, kata sandi akun, dan kunci autentikasi

• Ada kritik bahwa Yubico masih menjual kunci yang rentan alih-alih menariknya dari peredaran

  • Kunci dengan firmware baru diprioritaskan untuk lembaga dan "pelanggan prioritas"

• Muncul pertanyaan apakah pelanggan masih bisa mempercayai Yubico

  • Ada harapan bahwa produsen harus berupaya melindungi pelanggan
  • Menjual kunci yang rentan dianggap sebagai pelanggaran kepercayaan

• Jika YubiKey hilang, data bisa terkompromi

  • Ada kerentanan yang tidak terdeteksi selama 14 tahun
  • Ada cara untuk mengekstrak rahasia tanpa membongkar YubiKey

• Alasan Yubico menjual kunci tersebut adalah karena memberi label versi firmware dengan jelas memakan biaya besar

  • Ini terlihat sebagai peluang bagi pesaing untuk muncul
  • Nitrokey disebut sebagai alternatif yang baik

• Saat membeli token keamanan, ada preferensi pada produk dengan firmware dan hardware terbuka

  • Menginginkan produk yang telah diaudit secara independen
  • Akan bagus jika ada kemampuan untuk memuat dan memperbarui firmware

• Merekomendasikan Nitrokey

  • Perangkat lunaknya tersedia secara terbuka di GitHub

• Bersedia membeli YubiKey lama dengan harga diskon

  • Dalam model ancaman pribadi, tidak terlalu membutuhkan ketahanan tinggi terhadap kunci yang dicuri

• Sedang berada pada tahap akhir dalam memilih token keamanan

  • YubiKey bukan lagi pilihan
  • Kecewa dengan cara penanganan cacatnya

• Saat membeli kunci dari Yubico, ada kemungkinan menerima email penjualan yang agresif secara pasif