Accessories

Mini Review : YubiKey – ลากันทีกับการนั่งพิมพ์รหัสผ่าน

    เรื่องมันมีอยู่ว่า หลังจากกลับมาจากงาน Google I/O ได้ซักพัก ก็มีเมลล์จากทาง Google ส่งเข้ามาพร้อมกับ Promotion Code ของ Yubico เพื่อรับ YubiKey ไปใช้ฟรีๆ สำหรับผู้เข้าร่วมงาน Google I/O ทุกคน และเห็นว่ามันน่าสนใจดี ไม่ค่อยมีใครรู้จัก ก็เลยเอามาเขียนบทความรีวิวสั้นๆซะเลย    เจ้า YubiKey มันคืออุปกรณ์ฮาร์ดแวร์ตัวหนึ่งที่เชื่อมต่อผ่านช่อง USB เพื่อยืนยันผู้ใช้งานเวลาล็อกอินเข้าสู่ระบบ ในแบบง่ายๆเพียงแค่เสียบๆแล้วก็จิ้มๆ ถ้านึกภาพไม่ออกก็ลองนึกถึงเวลาที่คุณล็อกอินเข้าเว็ปซักเว็ปแต่ไม่ต้องมานั่งพิมพ์พาสเวิร์ดอีกต่อไป เพียงแค่เสียบเจ้านี้เค้ากับคอมพิวเตอร์แล้วกดปุ่มบนตัวมัน มันก็จะล็อกอินด้วยรหัสผ่านที่กำหนดไว้ให้โดยอัตโนมัติ

    เรื่องมันมีอยู่ว่า หลังจากกลับมาจากงาน Google I/O ได้ซักพัก ก็มีเมลล์จากทาง Google ส่งเข้ามาพร้อมกับ Promotion Code ของ Yubico เพื่อรับ YubiKey ไปใช้ฟรีๆ สำหรับผู้เข้าร่วมงาน Google I/O ทุกคน และเห็นว่ามันน่าสนใจดี ไม่ค่อยมีใครรู้จัก ก็เลยเอามาเขียนบทความรีวิวสั้นๆซะเลย

    เจ้า YubiKey มันคืออุปกรณ์ฮาร์ดแวร์ตัวหนึ่งที่เชื่อมต่อผ่านช่อง USB เพื่อยืนยันผู้ใช้งานเวลาล็อกอินเข้าสู่ระบบ ในแบบง่ายๆเพียงแค่เสียบๆแล้วก็จิ้มๆ ถ้านึกภาพไม่ออกก็ลองนึกถึงเวลาที่คุณล็อกอินเข้าเว็ปซักเว็ปแต่ไม่ต้องมานั่งพิมพ์พาสเวิร์ดอีกต่อไป เพียงแค่เสียบเจ้านี้เค้ากับคอมพิวเตอร์แล้วกดปุ่มบนตัวมัน มันก็จะล็อกอินด้วยรหัสผ่านที่กำหนดไว้ให้โดยอัตโนมัติ

    ฟังดูสะดวกดีใช่มั้ยล่ะ?

    เพราะทุกวันนี้หลายๆเว็ปเริ่มมีระบบล็อกอินที่ปลอดภัยมากขึ้น โดยเฉพาะการใช้ Two-factor Authentication เพื่อช่วยป้องกันเวลาที่ผู้ใช้ถูกขโมยรหัสผ่าน YubiKey ก็เป็นหนึ่งในอุปกรณ์สำหรับ Two-factor Authentication เพราะว่านอกจากล็อกอินด้วยชื่อผู้ใช้และรหัสผ่านแล้ว ยังต้องใช้เจ้า YubiKey เพื่อช่วยยืนยันผู้ใช้งานด้วย ดังนั้นจึงทำให้มีความปลอดภัยได้มากกว่าเดิมที่ใช้แค่ชื่อผู้ใช้และรหัสผ่าน

 

    YubiKey นั้นมีหลายรุ่นแตกต่างกันออกไปตามการใช้งาน ที่ผมได้จะเป็นรุ่น YubiKey Edge ราคา $30 แต่ต้องจ่ายค่าส่ง $5 (ค่าส่งแบบ Worldwide)

    โดยตัวมันเองนั้นจะเข้ารหัสแบบ AES-128 รองรับการใช้งานบน Windows, OS X, Linux, Firefox และ Chrome สามารถกันน้ำได้ มีน้ำหนักเบา แข็งแรงพอที่จะทำตกกระแทกพื้น และไม่ต้องใช้แบตเตอรี เพราะมันจะใช้ไฟจากช่อง USB และออกแบบมาเพื่อใส่ในพวงกุญแจพกติดตัวได้ตลอดเวลา 

    รองรับ Static Password (รหัสผ่านทั่วไป), YubiKey OTP, OATH – HOTP, OATH – TOTP, PIV-Compliant Smart Card, OpenPGP และ FIDO U2F ซึ่งจะแตกต่างไปตามรุ่นของ YubiKey ซึ่งรุ่นที่ผมได้จะไม่รองรับแค่ PIV-Compliant Smart Card กับ OpenPGP ซึ่งก็ขึ้นอยู่กับผู้ใช้นั่นแหละว่าจะเอาไปใช้งานแบบไหน

    ที่ผมใช้จะเป็น FIDO U2F ไม่ได้ใช้ให้มันเป็นรหัสผ่านโดยตรง เพราะว่าทาง Google มีบริการ 2-Step Verification ที่รองรับการใช้ Hardware Security Key ด้วย จึงทำให้ใช้ YubiKey ในตอนที่ล็อกอิน Google Account ได้ โดยผู้ใช้จะต้องตั้งค่า YubiKey ผ่านโปรแกรมที่ชื่อว่า YubiKey Personalization Tool ก่อน ว่าจะให้ YubiKey ทำงานแบบไหน (จะใช้เป็นตัวใส่รหัสผ่านธรรมดาๆก้ได้)

    ตอนแรกก็งงๆเพราะดูใช้ยาก แต่จริงๆแล้วไม่มีอะไรเลย เพราะแค่กดตั้งค่าเป็น Yubico Mode กดแล้ว Write Configuration กับ Upload to Yubico เท่านั้นเอง

    จากนั้นก็ไปตั้งค่าใน Google Account เพื่อใช้งาน 2-Step Verification ด้วย Security Key

 

    เวลาล็อกอินด้วย Google Account ก็จะใช้ YubiKey แทนการรับรหัส OTP ผ่านทาง SMS ได้ โดยเฉพาะอย่างยิ่งเวลาที่ต้องล็อกอิน Google Account ระหว่างที่อยู่ต่างประเทศแล้ว SIM Card ใช้งานไม่ได้ (พึ่งโดนมากับตัว) 

    และมีข้อดีกว่าการใช้ Backup Code เพราะ Backup Code สามารถทำสำเนาไว้ได้ ดังนั้นจึงช่วยอะไรได้ไม่มากนักถ้าโดนเอา Backup Code ไป แต่ในขณะที่ YubiKey ไม่สามารถทำสำเนาได้ ถ้าจะหายก็คือโดนขโมยไปเลย (ก็ค่อยไปถอดรายชื่ออุปกรณ์ออกได้) 

    แล้วความปลอดภัยของมันเชื่อถือได้มากแค่ไหน?

    YubiKey นั้นผ่าน FIPS 140-2 certification ซึ่งเป็นมาตรฐานของรัฐบาลสหรัฐฯ ด้านเทคโนโลยีสารสนเทศและระบบความปลอดภัยคอมพิวเตอร์ จึงทำให้มีความน่าเชื่อถือในระดับหนึ่ง และในปัจจุบันนี้ YubiKey ถูกนำไปใช้กับพนักงานของบริษัทชื่อดังหลายๆแห่ง ไม่ว่าจะ Google, Facebook, Microsoft หรือแม้กระทั่ง CERN

    จากการทดลองใช้งานก็พบว่าเวลาที่กดปุ่มบน YubiKey มันจะจำลองตัวเองเป็นคีย์บอร์ดแล้วพิมพ์ชุดรหัสตามที่กำหนดไว้ และถ้าเป็นรุ่น Neo จะมี NFC เพื่อใช้งานบนมือถือหรือแทบเล็ตด้วย 

 

    จบท้ายด้วยวีดีโอของ YubiKey

11 Comments

  1. ps000000

    ps000000 Post on June 18, 2015 at 3:36 pm

    #918197

    มันก็น่ากลัวไปอีกแบบ

  2. badpig

    badpig Post on June 18, 2015 at 5:53 pm

    #918222

    ผมละรอ USB Key สำหรับธนาคารไทย มะไหร่จะมางะ

    ขอบคุณรีวิวครับ

  3. mandanai

    mandanai Post on June 18, 2015 at 6:36 pm

    #918227

    แล้วมันสามารถเก็บได้กี่ key ครับ 1 ตัว / 1 เว็บ / 1 key หรือมากกว่าครับ

    • akexorcist

      akexorcist Post on June 19, 2015 at 2:34 am

      #918275

      ถ้าเป็นรหัสผ่านธรรมดา ก็ใช้ให้เหมือนกันทั้งหมดก็ได้ครับ ก็ใช้ตัวเดียวทุกเว็ปได้เลย ตัวมันมีหน้าที่กรอกตัวอักษรตามที่กำหนด

    • mandanai

      mandanai Post on June 19, 2015 at 5:47 pm

      #918336

      ขอบคุณครับ @akexorcist

  4. adc Post on June 19, 2015 at 4:39 pm

    #918326

    พยายามอ่านแล้วแต่ยังไม่เข้าใจว่าถ้าเจ้าอุปกรณ์นี้หาย จะทำอย่างไรครับ หรือว่าก็ใช้งานระบบที่ล็อคไว้ได้ตามปกติแค่ต้องจำรหัสผ่านแบบปกติก็ยังใช้งานได้

    • akexorcist

      akexorcist Post on June 20, 2015 at 12:59 am

      #918376

      ใช่ครับ ตัวคีย์ทำหน้าที่เป็นคีย์บอร์ดพิมพ์รหัสออกมาเฉยๆครับ (ในกรณีที่ใช้แค่ Static Password)

  5. redmachine.fowler

    redmachine.fowler Post on June 19, 2015 at 5:51 pm

    #918337

    มันจะแอบส่ง user password เรา ไปประเทศผู้ผลิตไหมครับ

    • akexorcist

      akexorcist Post on June 20, 2015 at 12:58 am

      #918375

      ตัวมันทำหน้าที่เป็นแค่คีย์บอร์ดพิมพ์รหัสออกมาครับ

  6. kongza73 Post on June 24, 2015 at 3:26 pm

    #918818

    คล้ายๆการ์ดคีย์ในเรื่อง chappie ใช่ไหมครับ

  7. tow1412 Post on December 14, 2016 at 11:53 pm

    #968749

    รุ่นนี้จะเป็นรุ่นใช้กับ Google Account และ Dropbox ครับ ($18)

Leave a Reply

To Top