การยืนยันตัวตนแบบ 2 ปัจจัยด้วย Security Key (Yubikey)

27 กันยายน 2019

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

เป็นที่ยอมรับกันว่าการเข้ารหัส หรือ การเข้าสู่ระบบใด ๆ ที่ปลอดภัยที่สุด คือการยืนยันตนแบบสองปัจจัย 2FA (2-Factor Authentication) ที่อิงกับ SMS หรือแอป ซึ่งจะปลอดภัยกว่าการใช้รหัสผ่านเพียงแค่ชั้นเดียว ถึงแม้การยืนยันตนแบบสองปัจจัยจะปลอดภัยที่สุดแล้ว แต่ก็ยังมีข้อเสี่ยงได้เช่นกัน ยกตัวอย่างเช่น ถูกแอบดูรหัสผ่านที่ส่งมาทาง SMS หรือ อาจถูกโทรจันที่แฝงในมือถือดักจับข้อความ SMS เป็นต้น

Security Key จึงเป็นอีกทางเลือกหนึ่ง ซึ่งเป็นอุปกรณ์ฮาร์ดแวร์ ใช้งานร่วมกับ 2FA โดยไม่ต้องพึ่งพามือถือให้ยุ่งยาก หรือ ต้องคอยดูรหัสผ่านที่ส่งทาง SMS

Security Key (Yubikey) คืออะไร

YubiKey มีลักษณะคล้าย Flashdrive ใช้งานโดยไม่ต้องติดตั้งซอฟต์แวร์ หรือแบตเตอรี่ เพียงเสียบเข้ากับ พอร์ต USB และแตะปุ่มบนอุปกรณ์เมื่อไฟกระพริบหรือที่เรียกว่า Tap-n-Go เพื่อยืนยันตัวตนในการเข้าสู่ระบบ อีเมล บริการออนไลน์และแอป ในบทความนี้เราใช้ Yubikey รุ่น Security Key NFC ที่เสียบกับพอร์ต USB-A ซึ่งสามารถหาซื้อได้จากเว็บไซต์ผู้ผลิตในราคาประมาณ $20 (ประมาณ 600 บาท ยังไม่รวมค่าขนส่งและภาษี)

Yubikey มาตรฐาน FIDO U2F ซึ่งเป็นโปรโตคอลความปลอดภัยที่ทำให้ยากต่อการดักจับเนื่องจากใช้ Public Key Cryptography (หรือการเข้ารหัส-ถอดรหัสด้วยกุญแจคนละดอก) ได้รับการพัฒนาโดย Google และ Yubico ซึ่งเป็นบริษัทสัญชาติสวีเดน ผู้นำด้านการผลิต Security Key

วิธีการใช้งาน Yubikey

  1. ลงทะเบียน YubiKey เพื่อจับคู่ใช้งานกับผู้ให้บริการ โดยไปที่การตั้งค่าความปลอดภัยของเว็บไซต์หรือแอปที่รองรับ Security Key
  2. เสียบ YubiKey เข้ากับพอร์ต USB และต้องแตะที่ปุ่มด้านบนที่มีไฟกระพริบ วิธีนี้เพื่อยืนยันว่าผู้ใช้เป็นมนุษย์ไม่ใช่แฮ็คเกอร์ที่แฝงเข้ามาในเครือข่าย

สำหรับ Yubikey รุ่น NFC ใช้งานได้กับมือถือ Android ที่รองรับการใช้งาน NFC เพียงแตะ YubiKey กับมือถือก็สามารถใช้งานได้

เว็ปไซต์และแอปพลิเคชั่น ที่การรองรับการใช้งานของ Yubikey มีหลากหลายสามารถแบ่งเป็นประเภทได้ดังนี้:

  1. การเข้าสู่ระบบ เช่น Windows / MacOS
  2. บริการออนไลน์ เช่น Office 365 / Gmail / Dropbox / Facebook & Instagram
  3. บริการเก็บข้อมูลรหัสผ่าน (Password Managers) เช่น Lastpass หรือ Dashlane
  4. สำหรับนักพัฒนา เช่น เว็บไซต์ GitHub
  5. บริการ VPN หรือ Remote Access เช่น AuthLite / RSA

และประเภทอื่น ๆ เช่น CMS, Identity Access Management และ Privileged Access

ตัวอย่างการติดตั้งใช้งาน Security Key กับเว็บไซต์และแอปต่าง ๆ

Microsoft และ Office365

  • ไปที่หน้าบัญชี Microsoft และลงชื่อเข้าใช้ตามปกติ
  • เลือก Secutity > เลือก More security options > ภายใต้ Windows Hello and security keys > เลือก Set up a security key
    ระบุประเภทของ Security Key ที่มี (USB หรือ NFC) แล้วเลือก Next
  • ระบบจะนำไปยังการตั้งค่าที่ต้องเสียบหรือแตะที่ปุ่ม
  • สร้าง PIN (หรือป้อน PIN ที่มีอยู่) และแตกที่ปุ่ม พร้อมตั้งชื่อ Security Key
  • สามารถตั้งค่าเพียงครั้งเดียวเพื่อใช้บริการต่าง ๆ ในเครือของ Microsoft ได้ เช่น Office 365 เป็นต้น

Google และ Gmail

  • ต้องตั้งค่าการยืนยันตนแบบสองปัจจัย (2FA) ไว้แล้ว
  • เข้าสู่บัญชี Google และคลิกที่ไอคอน Profile ที่มุมขวาบน เลือก “Google Account”
  • ที่เมนูด้านซ้าย คลิกที่ “Security” เลื่อนลงเรื่อย ๆ จนกว่าจะพบ “Signing in to Google” คลิกที่ “2-Step verification” (ระบบอาจต้องให้ลงชื่อเข้าบัญชีอีกครั้ง)
  • เลื่อนลงจนพบ “Set up alternative second step.” ค้นหาตัวเลือก “ Security Key” และคลิกที่ “Add Security Key.” ขั้นตอนนี้ให้เลือกชนิดของ Security Key ที่มี
  • ยังไม่ต้องเสียบ Security Key และคลิก “Next”
  • เสียบ Security Key และแตะที่ปุ่ม คลิก “Next” และจะพบ Pop-up ให้กด “Allow” และตั้งชื่อ Security Key เป็นอันพร้อมใช้งาน

Facebook และ Instagram

  • เข้าสู่บัญชี Facebook ของคุณ คลิกที่ไอคอน Menu เลื่อนลงมาที่มุมขวาบนและเลือก “Settings”
  • ตอนนี้คุณอยู่ที่ “General Account Settings” เลือกลิงก์ “ Security and Login” จากแถบด้านข้างซ้าย
  • เลื่อนลงจนกว่าคุณจะเห็นส่วนที่ระบุว่า“ Two-Factor Authentication” คลิก “Edit” ในตัวเลือก“ Use Two-Factor Authentication”
  • คลิกที่ “Get Started” เพื่อตั้งค่า 2FA แบบข้อความ SMS หรือแอปตรวจสอบความถูกต้อง (Authentication App) เช่น Google Authenticator
  • กลับไปที่ “Two-Factor Authentication” แล้วเลื่อนลงไปที่ “Add a Backup” เลือก “Settings”
  • เสียบ Security Key และแตะที่ปุ่ม เมื่อเห็น Pop-up ยืนยันให้ คลิก “Allow”
  • หาก Security Key ถูกเชื่อมต่อกับบัญชี Facebook สำเร็จ จะมี Pop-up ยืนยัน
  • ทุกครั้งที่เข้าสู่บัญชี Facebook หลังจากที่กรอกข้อมูลผู้ใช้และรหัสผ่านที่ถูกต้องแล้วนั้น จะมี Pop-up ให้เสียบ Security Key และกดปุ่มเพื่อยืนยันตนเข้าใช้งานโดยไม่ต้องกรอก 2FA ผ่านมือถืออีกต่อไป

หากผู้ใช้ได้เชื่อมบัญชี Facebook และ Instagram ไว้แล้ว สามารถเข้าสู่บัญชี Instagram ผ่าน Facebook โดยใช้ Security Key ที่ติดตั้งไว้แล้วได้

Security Key ปลอดภัยจริงและมีประโยชน์หรือไม่

Google ได้ทดลองใช้งาน Security Key ภายในองค์กรนานถึงสองปี ตั้งแต่ 2017 จึงออกมายืนยันว่า Security Key เหมาะสมที่สุดในการตอบสนองความต้องการด้านความปลอดภัยและการใช้งานของ บริษัท และได้แจกจ่าย Yubikey ให้กับพนักงานมากกว่า 85,000 คนและซัพพลายเออร์เพื่อใช้งาน Log-in เข้าสู่ระบบคอมพิวเตอร์และเซิร์ฟเวอร์ โดยจากการทดลองใช้งาน ไม่มีพนักงาน Google รายใดถูกแฮกเกอร์เล่นงานได้สำเร็จเลย นอกจากนี้ได้สรุปประโยชน์สำคัญหลายประการไว้ ดังนี้:

  1. ความปลอดภัยที่ดียิ่งขึ้น: บัญชีภายในที่ได้รับการปกป้องด้วย YubiKey และ FIDO U2F นั้นมีระดับความปลอดภัยที่เพิ่มขึ้นอย่างมาก
  2. ประสิทธิภาพการทำงานดีขึ้น: พนักงานใช้เวลาลดลงครึ่งหนึ่ง เมื่อเปรียบเทียบกับการใช้รหัสผ่านครั้งเดียว (OTP) ผ่านทาง SMS และการเข้าสู่ระบบนั้นเร็วขึ้นเกือบ 4 เท่าเมื่อเปรียบเทียบ YubiKey กับ Google Authenticator ซึ่งการประหยัดเวลาส่วนใหญ่เกิดจากการรับรองความถูกต้องเพียงการแตะที่ปุ่มแทน
  3. ลดค่าใช้จ่ายในการจัดการและสนับสนุน: YubiKey ใช้งานง่าย ทนทาน กันน้ำและไม่แตกง่าย Google พบว่าการ Suppport พนักงาน ลดลงถึง 92% ช่วยประหยัดค่าใช้จ่ายหลายพันชั่วโมงต่อปี

จริงอยู่ ที่ผ่านมา Security Key ถูกมองว่าเป็นอุปกรณ์เสริมความปลอดภัยสำหรับผู้ใช้งานระดับสูง เช่น ผู้ดูแลระบบ หรือนักพัฒนาเท่านั้น แต่หากพิจารณาถึงข้อดีต่าง ๆ รวมทั้งความสะดวก รวดเร็วในการใช้งานของอุปกรณ์ตัวนี้ ผู้ใช้ระดับปฏิบัติการ หรือ ระดับผู้ใช้งานทั่วไปก็ไม่ควรมองข้าม หากคิดว่าความปลอดภัยของข้อมูลที่มีมากยิ่งขึ้นเท่าใด ย่อมเป็นสิ่งที่ดีสำหรับตนเองและองค์กรมากขึ้นเท่านั้น

อ้างอิงข้อมูล:

บทความที่เกี่ยวข้อง