YubiKey sigue vendiendo inventario antiguo con firmware vulnerable

Comentarios de Hacker News

• Se pasó por alto el anuncio de la vulnerabilidad de YubiKey, pero no afecta mucho al modelo de amenazas personal

  • El atacante necesita poseer físicamente la YubiKey, además de conocimiento sobre la cuenta objetivo y equipo especializado
  • Puede requerirse información adicional como nombre de usuario, PIN, contraseña de la cuenta y claves de autenticación

• Hay señalamientos de que Yubico sigue vendiendo llaves vulnerables en lugar de retirarlas

  • Las llaves con firmware nuevo se suministran primero a instituciones y a "clientes prioritarios"

• Se plantean dudas sobre si los clientes pueden confiar en Yubico

  • Existe la expectativa de que el fabricante debe esforzarse por proteger a los clientes
  • Vender llaves vulnerables se considera una violación de la confianza

• Si se pierde una YubiKey, los datos podrían verse comprometidos

  • Existió una vulnerabilidad que no fue descubierta durante 14 años
  • Hay una forma de extraer secretos sin desarmar la YubiKey

• La razón por la que Yubico vende estas llaves es que marcar claramente la versión del firmware resulta costoso

  • Parece una oportunidad para que surja un competidor
  • Se presenta a Nitrokey como una buena alternativa

• Al comprar un token de seguridad, se prefieren productos con firmware y hardware abiertos

  • Se busca un producto inspeccionado de forma independiente
  • Sería bueno contar con la capacidad de cargar y actualizar el firmware

• Se recomienda Nitrokey

  • Su software está publicado en GitHub

• Habría disposición a comprar YubiKey antiguas con descuento

  • En el modelo de amenazas personal, no se necesita tanta resistencia frente al robo de llaves

• El cliente estaba en la etapa final de elegir un token de seguridad

  • YubiKey ya no es una opción
  • Hay decepción por la forma en que se manejó el defecto

• Al comprar llaves de Yubico, podrías recibir correos de venta pasivo-agresivos