▲neo 19일전 | parent | favorite | on: GN⁺: 취약한 펌웨어를 가진 구형 재고를 여전히 판매하는 YubiKey(news.ycombinator.com)Hacker News 의견 YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음 공격자가 YubiKey를 물리적으로 소유하고, 타겟 계정에 대한 지식과 전문 장비가 필요함 사용자 이름, PIN, 계정 비밀번호, 인증 키 등의 추가 정보가 필요할 수 있음 Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음 새로운 펌웨어가 있는 키는 우선적으로 기관 및 "우선 고객"에게 공급됨 고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨 제조사가 고객 보호를 위해 노력해야 한다는 기대가 있음 취약한 키를 판매하는 것은 신뢰 위반으로 간주됨 YubiKey를 분실하면 데이터가 손상될 수 있음 14년 동안 발견되지 않은 취약점이 존재함 YubiKey를 분해하지 않고도 비밀을 추출할 수 있는 방법이 있음 Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임 경쟁자가 등장할 기회로 보임 Nitrokey가 좋은 대안으로 제시됨 보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함 독립적으로 검사된 제품을 원함 펌웨어를 로드하고 업데이트할 수 있는 기능이 있으면 좋음 Nitrokey를 추천함 소프트웨어가 GitHub에 공개되어 있음 구형 YubiKey를 할인된 가격에 구매할 의향이 있음 개인의 위협 모델에서는 도난된 키에 대한 저항이 크게 필요하지 않음 고객이 보안 토큰을 선택하는 최종 단계에 있었음 YubiKey는 더 이상 옵션이 아님 결함 처리 방식에 실망함 Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음
Hacker News 의견
YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음
Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음
고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨
YubiKey를 분실하면 데이터가 손상될 수 있음
Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임
보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함
Nitrokey를 추천함
구형 YubiKey를 할인된 가격에 구매할 의향이 있음
고객이 보안 토큰을 선택하는 최종 단계에 있었음
Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음