Svakhet i Yubikey nøkkelbrikker

Svakheten gjør det i teorien mulig å lage en kopi av sikkerhetsnøkkelen på brikken. For å kunne utnytte svakheten, kreves det tilgang til avansert og dyrt utstyr, fysisk tilgang til brukerens nøkkelbrikke og kjennskap til brukerens PIN. Sannsynligheten for at noen vil kunne utnytte svakheten er derfor liten, slik vi vurderer det. Sannsynligheten reduseres ytterligere fordi dette er en tidkrevende prosess som krever at nøkkelbrikken åpnes, noe som forventes å gi synlige endringer på brikken. Vurderingen støttes av diskusjonene som har gått i sikkerhetsmiljøet etter at svakheten ble kjent. Se Yubico sin beskrivelse av svakheten og berørte enheter: Security Advisory YSA-2024-03. 

Etter en grundig vurdering av situasjonen har Buypass besluttet å ikke gjøre noen endringer knyttet til de berørte nøkkelbrikkene. Vi vil imidlertid understreke viktigheten av fortsatt å følge etablerte sikkerhetsrutiner for administrasjon og bruk av nøkkelbrikker. 

Til brukerne: 

• Pass på nøkkelbrikken din: Hold den på et trygt sted og unngå å miste den. 

• Hold PIN-koden hemmelig 

• Si ifra med en gang: Hvis du mister eller blir frastjålet nøkkelbrikken din, slett nøkkelen via Brukerportal eller meld fra der du fikk nøkkelen så fort som mulig. 

Til de som administrerer nøkkelbrikkene: 

• Deaktiver raskt: Hvis en bruker melder om mistet eller stjålet nøkkelbrikke, fjern den raskt fra alle systemer. 

• Oppfordre til varsling: Sørg for at brukerne vet hvem de skal kontakte og hvor viktig det er å melde fra raskt ved tap eller tyveri.