發現安全漏洞後，Google提供免費的2FA藍牙Titan安全密鑰交換

如果您使用Google的Titan安全密鑰之一進行雙因素身份驗證，您可能認為您的帳戶盡可能安全。事實上，Google在其網站上承諾，Titan Security Keys“與Google內部使用的安全級別相同”，並且“禁止任何不應該訪問您的在線帳戶的人”。

讓大多數人成為現實。在其安全博客上的一篇文章中，谷歌週三透露，它發現其Titan安全密鑰的藍牙低功耗版本存在“錯誤配置”，可能允許附近的攻擊者“與您的安全密鑰通信，或與設備通信你的鑰匙是配對的。“

正如穀歌解釋的那樣，攻擊者可以通過兩種方式攻擊。在將密鑰與您的PC或手機配對時，如果攻擊者以某種方式已經獲得您的用戶名和密碼，則有人可能“在您自己的設備連接之前將自己的設備連接到受影響的安全密鑰（並）使用他們自己的設備登錄您的帳戶可以準確地計算這些事件。“

（進一步閱讀：適用於Windows PC的最佳防病毒軟件）

此外，如果您使用該設備獲取身份驗證，則攻擊者“可以使用其設備偽裝成受影響的安全密鑰，並在您被要求按下密鑰上的按鈕時連接到您的設備。之後，他們可能會嘗試將設備更改為藍牙鍵盤或鼠標，並可能會對您的設備採取措施。“

這對你意味著什麼： 雖然這是一個罕見的情況 - 因為它是一個藍牙鍵，當你按下按鈕時，攻擊者需要與你30英尺的距離 - 對於購買密鑰以保護帳戶的任何人來說，它仍然可能會令人擔憂。 Google不會試圖通過軟件修補漏洞，而是免費更換所有受影響的安全密鑰。要檢查您的密鑰是否在受影響的單元中，請查看背面USB端口上方的小數字。如果它讀取T1或T2，則需要更換密鑰。

Google建議在更換之前使用基於NFC或USB的安全身份驗證，因為這些方法不受此問題的影響。此外，即將推出的針對Android設備的2019年6月安全補丁將自動取消受影響的藍牙安全密鑰以消除攻擊風險。

所有受影響的用戶都可以訪問google.com/replacemykey申請免費更換。

要評論本文和其他PCWorld內容，請訪問我們的Facebook頁面或我們的Twitter提要。 （tagsToTranslate）谷歌（t）的安全性