Yubico está retirando su línea de YubiKeys, herramientas utilizadas para la autenticación de dos factores que generan contraseñas de un solo uso y utilizadas por miles de empleados del gobierno federal (a través de Engadget).
Defecto de firmware de YubiKeys
Las claves de la serie YubiKey FIPS con versiones de firmware 4.4.2 y 4.4.4 tienen una falla que reduce la aleatoriedad de los códigos de acceso de un solo uso que generan. Según Yubico, sucede después de que se encienden las YubiKeys. Un error mantiene “algún contenido predecible” dentro del búfer de datos de las claves.
Las YubiKeys con algoritmo de señal digital de curva elíptica (ECDSA) son particularmente vulnerables. 80 de los 256 bits de generación no cambian, lo que significa que un atacante que obtenga acceso a varias firmas podría recrear la clave privada. Todos los clientes afectados recibirán una clave de reemplazo.
Otras lecturas:
[Google Builds HTTPS Directly Into Top Level Domains]
[AdGuard 3 Brings DNS Privacy, 250,000 Filter Rules, Premium Features]
