เรื่องมันมีอยู่ว่า หลังจากกลับมาจากงาน Google I/O ได้ซักพัก ก็มีเมลล์จากทาง Google ส่งเข้ามาพร้อมกับ Promotion Code ของ Yubico เพื่อรับ YubiKey ไปใช้ฟรีๆ สำหรับผู้เข้าร่วมงาน Google I/O ทุกคน และเห็นว่ามันน่าสนใจดี ไม่ค่อยมีใครรู้จัก ก็เลยเอามาเขียนบทความรีวิวสั้นๆซะเลย

    เจ้า YubiKey มันคืออุปกรณ์ฮาร์ดแวร์ตัวหนึ่งที่เชื่อมต่อผ่านช่อง USB เพื่อยืนยันผู้ใช้งานเวลาล็อกอินเข้าสู่ระบบ ในแบบง่ายๆเพียงแค่เสียบๆแล้วก็จิ้มๆ ถ้านึกภาพไม่ออกก็ลองนึกถึงเวลาที่คุณล็อกอินเข้าเว็ปซักเว็ปแต่ไม่ต้องมานั่งพิมพ์พาสเวิร์ดอีกต่อไป เพียงแค่เสียบเจ้านี้เค้ากับคอมพิวเตอร์แล้วกดปุ่มบนตัวมัน มันก็จะล็อกอินด้วยรหัสผ่านที่กำหนดไว้ให้โดยอัตโนมัติ

    ฟังดูสะดวกดีใช่มั้ยล่ะ?

    เพราะทุกวันนี้หลายๆเว็ปเริ่มมีระบบล็อกอินที่ปลอดภัยมากขึ้น โดยเฉพาะการใช้ Two-factor Authentication เพื่อช่วยป้องกันเวลาที่ผู้ใช้ถูกขโมยรหัสผ่าน YubiKey ก็เป็นหนึ่งในอุปกรณ์สำหรับ Two-factor Authentication เพราะว่านอกจากล็อกอินด้วยชื่อผู้ใช้และรหัสผ่านแล้ว ยังต้องใช้เจ้า YubiKey เพื่อช่วยยืนยันผู้ใช้งานด้วย ดังนั้นจึงทำให้มีความปลอดภัยได้มากกว่าเดิมที่ใช้แค่ชื่อผู้ใช้และรหัสผ่าน

 

    YubiKey นั้นมีหลายรุ่นแตกต่างกันออกไปตามการใช้งาน ที่ผมได้จะเป็นรุ่น YubiKey Edge ราคา $30 แต่ต้องจ่ายค่าส่ง $5 (ค่าส่งแบบ Worldwide)

    โดยตัวมันเองนั้นจะเข้ารหัสแบบ AES-128 รองรับการใช้งานบน Windows, OS X, Linux, Firefox และ Chrome สามารถกันน้ำได้ มีน้ำหนักเบา แข็งแรงพอที่จะทำตกกระแทกพื้น และไม่ต้องใช้แบตเตอรี เพราะมันจะใช้ไฟจากช่อง USB และออกแบบมาเพื่อใส่ในพวงกุญแจพกติดตัวได้ตลอดเวลา 

    รองรับ Static Password (รหัสผ่านทั่วไป), YubiKey OTP, OATH – HOTP, OATH – TOTP, PIV-Compliant Smart Card, OpenPGP และ FIDO U2F ซึ่งจะแตกต่างไปตามรุ่นของ YubiKey ซึ่งรุ่นที่ผมได้จะไม่รองรับแค่ PIV-Compliant Smart Card กับ OpenPGP ซึ่งก็ขึ้นอยู่กับผู้ใช้นั่นแหละว่าจะเอาไปใช้งานแบบไหน

    ที่ผมใช้จะเป็น FIDO U2F ไม่ได้ใช้ให้มันเป็นรหัสผ่านโดยตรง เพราะว่าทาง Google มีบริการ 2-Step Verification ที่รองรับการใช้ Hardware Security Key ด้วย จึงทำให้ใช้ YubiKey ในตอนที่ล็อกอิน Google Account ได้ โดยผู้ใช้จะต้องตั้งค่า YubiKey ผ่านโปรแกรมที่ชื่อว่า YubiKey Personalization Tool ก่อน ว่าจะให้ YubiKey ทำงานแบบไหน (จะใช้เป็นตัวใส่รหัสผ่านธรรมดาๆก้ได้)

    ตอนแรกก็งงๆเพราะดูใช้ยาก แต่จริงๆแล้วไม่มีอะไรเลย เพราะแค่กดตั้งค่าเป็น Yubico Mode กดแล้ว Write Configuration กับ Upload to Yubico เท่านั้นเอง

    จากนั้นก็ไปตั้งค่าใน Google Account เพื่อใช้งาน 2-Step Verification ด้วย Security Key

 

    เวลาล็อกอินด้วย Google Account ก็จะใช้ YubiKey แทนการรับรหัส OTP ผ่านทาง SMS ได้ โดยเฉพาะอย่างยิ่งเวลาที่ต้องล็อกอิน Google Account ระหว่างที่อยู่ต่างประเทศแล้ว SIM Card ใช้งานไม่ได้ (พึ่งโดนมากับตัว) 

Play video

    และมีข้อดีกว่าการใช้ Backup Code เพราะ Backup Code สามารถทำสำเนาไว้ได้ ดังนั้นจึงช่วยอะไรได้ไม่มากนักถ้าโดนเอา Backup Code ไป แต่ในขณะที่ YubiKey ไม่สามารถทำสำเนาได้ ถ้าจะหายก็คือโดนขโมยไปเลย (ก็ค่อยไปถอดรายชื่ออุปกรณ์ออกได้) 

    แล้วความปลอดภัยของมันเชื่อถือได้มากแค่ไหน?

    YubiKey นั้นผ่าน FIPS 140-2 certification ซึ่งเป็นมาตรฐานของรัฐบาลสหรัฐฯ ด้านเทคโนโลยีสารสนเทศและระบบความปลอดภัยคอมพิวเตอร์ จึงทำให้มีความน่าเชื่อถือในระดับหนึ่ง และในปัจจุบันนี้ YubiKey ถูกนำไปใช้กับพนักงานของบริษัทชื่อดังหลายๆแห่ง ไม่ว่าจะ Google, Facebook, Microsoft หรือแม้กระทั่ง CERN

    จากการทดลองใช้งานก็พบว่าเวลาที่กดปุ่มบน YubiKey มันจะจำลองตัวเองเป็นคีย์บอร์ดแล้วพิมพ์ชุดรหัสตามที่กำหนดไว้ และถ้าเป็นรุ่น Neo จะมี NFC เพื่อใช้งานบนมือถือหรือแทบเล็ตด้วย 

 

    จบท้ายด้วยวีดีโอของ YubiKey