Hacker News 의견

• 공격자는 사용자 이름과 비밀번호뿐만 아니라 물리적 접근이 필요함

  • 장치를 분해하고 다시 조립해야 함
  • 손톱 매니큐어를 플라스틱 이음새에 바르는 것이 유용할 수 있음
  • FIDO 토큰의 약점 중 하나는 등록된 목록을 수동으로 유지해야 한다는 점임
  • 토큰이 분실되거나 도난당하면 모든 등록을 수동으로 취소해야 함

• YubiKey를 단순히 교체할 수 없다는 점이 가장 성가심

  • 계정을 하나씩 수동으로 업데이트해야 함
  • 과거에 YubiKey를 어디에 사용했는지 기억나지 않음
  • YubiKey는 사용자 인증 보호 기능을 제공함 (PIN 코드, 지문, 얼굴 인식 등)

• YubiKey 5 시리즈 (펌웨어 버전 5.7 이하)가 공격에 취약함

  • 펌웨어 업데이트가 불가능함
  • Yubico가 무료 교체를 제공해야 함

• 비상수 시간 모듈러 반전 문제로 인해 발생함

  • 모든 작업이 동일한 클록 사이클 수를 가져야 함
  • 감사자가 이를 놓친 이유가 궁금함

• NinjaLab의 연구가 훌륭함

  • Webauthn 프로토콜의 인증도 이 공격에 의해 무력화됨
  • 공격자는 인증 키를 사용하여 가짜 YubiKey를 만들 수 있음

• EUCLEAK 공격은 물리적 접근이 필요함

  • 공격자는 유사한 외관의 YubiKey로 교체할 수 있음
  • 이 공격은 매우 가치 있는 목표에만 유효함

• Yubico 웹사이트에 따르면 5.7 버전 이상은 영향을 받지 않음

  • Yubico는 자체 암호화 라이브러리를 사용함
  • 많은 사람들이 이 라이브러리를 검토했기를 바람

• Infineon의 취약점이 다시 발생함

  • 동일한 내부 암호화 라이브러리를 사용하는 모든 Infineon 신뢰 플랫폼 모듈 및 마이크로컨트롤러에 존재함