Säkerhetsnycklar, eller hsm:er, är i princip det säkraste verktygen i lådan du kan ta till för att skydda de av dina konton som stödjer säkerhetsnycklar, vilket många av de stora molntjänsterna numera gör. Därför är det inte underligt att Google återkallar och kostnadsfritt byter ut din säkerhetsnyckel om den är av äldre modell, trots att sårbarheten är relativt långsökt och svår att utnyttja. Men säkerheten i säkerhetsnycklar är inget man tar lätt på.

Sårbarheten i fråga ligger i kommunikationsprotokollet BLE, Bluetooth Low Energy, som nyckeln använder dels för att para ihop sig med den enhet användaren använder för att logga in på olika tjänster – det kan vara både en vanlig dator eller en mobil – dels för att aktivera signering. En angripare kan både ta över parkopplingen och signeringen genom att maskera sig som ett trådlöst tangentbord eller en trådlös mus, skriver Ars Technica.

För att angreppen ska fungera måste angriparen dels befiinna sig inom ble:s räckvidd, det vill säga i samma rum eller på bara ett fåtal meters avstånd, dels i fallet inloggning måste angriparen känna till offrets användarnamn och lösenord. Sårbarheten gäller inte säkerhetsnycklar som använder usb eller nfc (Near Field Communication). För att identifiera en sårbar nyckel kan man titta på baksidan - om det står T1 eller T2 är nyckeln sårbar och bör bytas ut.

TechWorld Summit 4 juni 2019, nätverka med 300 IT-proffs och få samtidigt en heltäckande överblick av den senaste tekniken.

För dem som har en T1 eller T2 rekommenderar Google dels att inte använda den nära potentiella angripare, hur man nu ska veta det, dels att koppla bort parningen så fort man loggat in på den tjänst där man vill logga in. Utförliga beskrivningar av sårbarheten, rekommendationer och information om hur du byter ut din nyckel finns i denna bloggpost från Google.

Att just BLE är orsaken till detta problem kommer för många inte som en blixt från klar himmel, BLE är den svaga länken i kedjan för de säkerhetsnycklar som använder protokollet. Den senaste versionen av Apples mobiloperativ IOS (12.3) stödjer överhuvudtaget inte säkerhetsnycklar över BLE, vilket kan ställa till problem för dem som sedan tidigare använder säkerhetsnycklar på sin Iphone. Inte heller Yubico, som levererar säkerhetsnyckeln Yubikey, en konkurrent till Googles Titan, stödjer BLE.

Läs också:
Äntligen! Nu kan du säkra ditt Microsoft-konto med säkerhetsnyckel
Google släpper FIDO2 för Android – en miljard användare kan slippa lösenord