เรื่องมันมีอยู่ว่า หลังจากกลับมาจากงาน Google I/O ได้ซักพัก ก็มีเมลล์จากทาง Google ส่งเข้ามาพร้อมกับ Promotion Code ของ Yubico เพื่อรับ YubiKey ไปใช้ฟรีๆ สำหรับผู้เข้าร่วมงาน Google I/O ทุกคน และเห็นว่ามันน่าสนใจดี ไม่ค่อยมีใครรู้จัก ก็เลยเอามาเขียนบทความรีวิวสั้นๆซะเลย
เจ้า YubiKey มันคืออุปกรณ์ฮาร์ดแวร์ตัวหนึ่งที่เชื่อมต่อผ่านช่อง USB เพื่อยืนยันผู้ใช้งานเวลาล็อกอินเข้าสู่ระบบ ในแบบง่ายๆเพียงแค่เสียบๆแล้วก็จิ้มๆ ถ้านึกภาพไม่ออกก็ลองนึกถึงเวลาที่คุณล็อกอินเข้าเว็ปซักเว็ปแต่ไม่ต้องมานั่งพิมพ์พาสเวิร์ดอีกต่อไป เพียงแค่เสียบเจ้านี้เค้ากับคอมพิวเตอร์แล้วกดปุ่มบนตัวมัน มันก็จะล็อกอินด้วยรหัสผ่านที่กำหนดไว้ให้โดยอัตโนมัติ
ฟังดูสะดวกดีใช่มั้ยล่ะ?
เพราะทุกวันนี้หลายๆเว็ปเริ่มมีระบบล็อกอินที่ปลอดภัยมากขึ้น โดยเฉพาะการใช้ Two-factor Authentication เพื่อช่วยป้องกันเวลาที่ผู้ใช้ถูกขโมยรหัสผ่าน YubiKey ก็เป็นหนึ่งในอุปกรณ์สำหรับ Two-factor Authentication เพราะว่านอกจากล็อกอินด้วยชื่อผู้ใช้และรหัสผ่านแล้ว ยังต้องใช้เจ้า YubiKey เพื่อช่วยยืนยันผู้ใช้งานด้วย ดังนั้นจึงทำให้มีความปลอดภัยได้มากกว่าเดิมที่ใช้แค่ชื่อผู้ใช้และรหัสผ่าน
YubiKey นั้นมีหลายรุ่นแตกต่างกันออกไปตามการใช้งาน ที่ผมได้จะเป็นรุ่น YubiKey Edge ราคา $30 แต่ต้องจ่ายค่าส่ง $5 (ค่าส่งแบบ Worldwide)
โดยตัวมันเองนั้นจะเข้ารหัสแบบ AES-128 รองรับการใช้งานบน Windows, OS X, Linux, Firefox และ Chrome สามารถกันน้ำได้ มีน้ำหนักเบา แข็งแรงพอที่จะทำตกกระแทกพื้น และไม่ต้องใช้แบตเตอรี เพราะมันจะใช้ไฟจากช่อง USB และออกแบบมาเพื่อใส่ในพวงกุญแจพกติดตัวได้ตลอดเวลา
รองรับ Static Password (รหัสผ่านทั่วไป), YubiKey OTP, OATH – HOTP, OATH – TOTP, PIV-Compliant Smart Card, OpenPGP และ FIDO U2F ซึ่งจะแตกต่างไปตามรุ่นของ YubiKey ซึ่งรุ่นที่ผมได้จะไม่รองรับแค่ PIV-Compliant Smart Card กับ OpenPGP ซึ่งก็ขึ้นอยู่กับผู้ใช้นั่นแหละว่าจะเอาไปใช้งานแบบไหน
ที่ผมใช้จะเป็น FIDO U2F ไม่ได้ใช้ให้มันเป็นรหัสผ่านโดยตรง เพราะว่าทาง Google มีบริการ 2-Step Verification ที่รองรับการใช้ Hardware Security Key ด้วย จึงทำให้ใช้ YubiKey ในตอนที่ล็อกอิน Google Account ได้ โดยผู้ใช้จะต้องตั้งค่า YubiKey ผ่านโปรแกรมที่ชื่อว่า YubiKey Personalization Tool ก่อน ว่าจะให้ YubiKey ทำงานแบบไหน (จะใช้เป็นตัวใส่รหัสผ่านธรรมดาๆก้ได้)
ตอนแรกก็งงๆเพราะดูใช้ยาก แต่จริงๆแล้วไม่มีอะไรเลย เพราะแค่กดตั้งค่าเป็น Yubico Mode กดแล้ว Write Configuration กับ Upload to Yubico เท่านั้นเอง
จากนั้นก็ไปตั้งค่าใน Google Account เพื่อใช้งาน 2-Step Verification ด้วย Security Key
เวลาล็อกอินด้วย Google Account ก็จะใช้ YubiKey แทนการรับรหัส OTP ผ่านทาง SMS ได้ โดยเฉพาะอย่างยิ่งเวลาที่ต้องล็อกอิน Google Account ระหว่างที่อยู่ต่างประเทศแล้ว SIM Card ใช้งานไม่ได้ (พึ่งโดนมากับตัว)
และมีข้อดีกว่าการใช้ Backup Code เพราะ Backup Code สามารถทำสำเนาไว้ได้ ดังนั้นจึงช่วยอะไรได้ไม่มากนักถ้าโดนเอา Backup Code ไป แต่ในขณะที่ YubiKey ไม่สามารถทำสำเนาได้ ถ้าจะหายก็คือโดนขโมยไปเลย (ก็ค่อยไปถอดรายชื่ออุปกรณ์ออกได้)
แล้วความปลอดภัยของมันเชื่อถือได้มากแค่ไหน?
YubiKey นั้นผ่าน FIPS 140-2 certification ซึ่งเป็นมาตรฐานของรัฐบาลสหรัฐฯ ด้านเทคโนโลยีสารสนเทศและระบบความปลอดภัยคอมพิวเตอร์ จึงทำให้มีความน่าเชื่อถือในระดับหนึ่ง และในปัจจุบันนี้ YubiKey ถูกนำไปใช้กับพนักงานของบริษัทชื่อดังหลายๆแห่ง ไม่ว่าจะ Google, Facebook, Microsoft หรือแม้กระทั่ง CERN
จากการทดลองใช้งานก็พบว่าเวลาที่กดปุ่มบน YubiKey มันจะจำลองตัวเองเป็นคีย์บอร์ดแล้วพิมพ์ชุดรหัสตามที่กำหนดไว้ และถ้าเป็นรุ่น Neo จะมี NFC เพื่อใช้งานบนมือถือหรือแทบเล็ตด้วย
จบท้ายด้วยวีดีโอของ YubiKey
มันก็น่ากลัวไปอีกแบบ
ผมละรอ USB Key สำหรับธนาคารไทย มะไหร่จะมางะ
ขอบคุณรีวิวครับ
แล้วมันสามารถเก็บได้กี่ key ครับ 1 ตัว / 1 เว็บ / 1 key หรือมากกว่าครับ
ถ้าเป็นรหัสผ่านธรรมดา ก็ใช้ให้เหมือนกันทั้งหมดก็ได้ครับ ก็ใช้ตัวเดียวทุกเว็ปได้เลย ตัวมันมีหน้าที่กรอกตัวอักษรตามที่กำหนด
ขอบคุณครับ @akexorcist
พยายามอ่านแล้วแต่ยังไม่เข้าใจว่าถ้าเจ้าอุปกรณ์นี้หาย จะทำอย่างไรครับ หรือว่าก็ใช้งานระบบที่ล็อคไว้ได้ตามปกติแค่ต้องจำรหัสผ่านแบบปกติก็ยังใช้งานได้
ใช่ครับ ตัวคีย์ทำหน้าที่เป็นคีย์บอร์ดพิมพ์รหัสออกมาเฉยๆครับ (ในกรณีที่ใช้แค่ Static Password)
มันจะแอบส่ง user password เรา ไปประเทศผู้ผลิตไหมครับ
ตัวมันทำหน้าที่เป็นแค่คีย์บอร์ดพิมพ์รหัสออกมาครับ
คล้ายๆการ์ดคีย์ในเรื่อง chappie ใช่ไหมครับ
รุ่นนี้จะเป็นรุ่นใช้กับ Google Account และ Dropbox ครับ ($18)
https://www.youtube.com/watch?v=GyP7n03Hk1Q