【烽巢網】谷歌發布了一份針對其藍牙巨頭安全密鑰的安全建議，該建議嚴重到足以讓谷歌免費更換這些密鑰。該公司表示，“泰坦安全密鑰的藍牙配對協議存在一個錯誤配置”，這可能會讓攻擊者進入你的賬戶或設備——盡管只有在一些特定的情況下(而且很難實現)。該公司告訴我們，今天的新聞是一個協調的披露——這意味著，在一定程度上，生產受影響產品的公司同時披露了這個問題。飛天公司生產谷歌的泰坦密鑰，但也以自己的品牌銷售密鑰。該公司今天披露了同樣的漏洞，并為用戶提供了一個替換程序。

谷歌說，微軟最初發現了這個漏洞，并向生產受影響產品的公司披露了它。

谷歌長期以來一直引領著雙因素認證(2FA)的潮流。尤其值得一提的是，比起簡單的認證應用程序(或者更糟糕的短信)，它一直在推動它的Titan安全密鑰作為一種更安全的方式來啟用2FA。谷歌在這一點上并沒有錯，但是考慮到它的目的是提供更高級別的安全性，對任何潛在的安全漏洞都將進行更高級別的檢查。

相關的

用于雙因素身份驗證的最佳硬件安全密鑰
谷歌披露了兩個漏洞。首先，如果攻擊者在您按下按鈕驗證登錄時處于您密鑰的30英尺藍牙低能量范圍內，那么他們可以將自己的設備連接到您的安全密鑰。如果他們有你的密碼，他們就可以進入你的賬戶。第二個可能的情況是,當你對一個關鍵的第一次,攻擊者可以“冒充你的影響安全關鍵和連接到你的設備,”然后做同樣的事情在你的設備,其他藍牙設備,如鍵盤或鼠標。

因此:攻擊者需要意識到這個漏洞，讓軟件能夠利用它，并且需要在正確的時間執行攻擊。這是一系列不太可能的事件，但是像泰坦這樣的物理安全密鑰需要達到更高的標準，才能保持人們的信任。

正如TechCrunch指出的，Yubico的創始人批評谷歌推出BLE密鑰，因為她認為它不會像USB或NFC那樣安全。谷歌披露的泰坦安全密鑰藍牙漏洞并不影響最近發布的使用Android手機作為物理安全密鑰的能力。這種方法不像泰坦和飛天密鑰那樣依賴藍牙配對。

如果你的泰坦密鑰上有一個“T1”或“T2”，你就有資格換一個。這似乎是顯而易見的，但是這些FIDO密鑰被設計成不能作為軟件升級的安全措施。在您等待它到達時，谷歌建議您繼續使用您的安全密鑰。它仍然可能比其他2FA方法更安全，而且絕對比完全不使用2FA更安全。