ยืนยันตัวตนด้วย Yubikey ดียังไง มารู้จักมาตรฐาน Fido U2F กัน
ยืนยันตัวตัวด้วย Yubikey

Date

เรื่องความปลอดภัยสำหรับคนที่เข้ามาลงทุนในโลกของคริปโตเป็นเรื่องที่สำคัญมาก ๆ หากเราต้องการยกระดับความปลอดภัยให้สูงขึ้น Yubikey เป็นทางเลือกนึง

Follow Us

Categories

Categories

Spread the love

เรื่องความปลอดภัยสำหรับคนที่เข้ามาลงทุนในโลกของคริปโตเป็นเรื่องที่สำคัญมาก ๆ หากเราต้องการยกระดับความปลอดภัยให้สูงขึ้น Yubikey เป็นทางเลือกนึง

ทำไมผมถึงแนะนำ Yubikey ในเมื่อทุกวันนี้ทุกคนก็จะบอกว่าผมได้เปิด 2FA โหมดแล้วผมน่าจะปลอดภัยแล้ว ใช่ครับมันปลอดภัยแต่มันแค่ระดับนึงเท่านั้น

2FA ด้วย SMS ที่ทุกคนคุ้นเคย

ทำไมเราต้องใช้ 2FA สาเหตุเพราะในโลกของไซเบอร์ปัจจุบัน Username/Password  มันไม่เพียงพอต่อการป้องกันการเข้าถึงข้อมูลเราจากผู้ไม่ประสงค์ดี. ผมเคยเขียนบทความเกี่ยวกับเรื่องของการลงทุนคริปโตอย่างไรให้ปลอดภัยลองไปอ่านบทความนี้ได้นะครับ

2FA ย่อมาจาก Two-factor authentication แปลเป็นไทยง่ายๆ ก็คือ เอาปัจจัยที่สองนอกเหนือจาก Username/Password มายืนยันระบบว่าเป็นตัวเรา ง่ายสุดและคุ้นเคยสุดก็เป็น SMS ตามรูป

Google Authenticator 2-Step Verification

หลายๆ Exchange มักจะตกเป็นเป้าโจมตีจากพวก Hacker ดังนั้น Exchange จึงทำ Function สนับสนุนการป้องกันความปลอดภัยด้วยการให้ผู้ใช้เปิด Function 2FA ด้วย Pre-shared secret key ดังรูป ที่เราคุ้นเคยกันก็จะเป็น Google Authenticare หรือบางคนอาจใช้ Authy

รูปแบบการทำงาน TOTP ใน Google Authenticator ที่มีการ Shared Secret Key

หลักการของ 2FA แบบที่เราใช้กันส่วนใหญ่จะเป็น TOTP ซึ่งมันจะเอาเวลาเข้ามาคำนวนด้วย จึงเป็นสาเหตุที่ทำให้ Code ของ Google Authenticator เปลี่ยนตลอดเวลาเพื่อความปลอดภัย

ตัวเลขเหล่านี้คำนวนมาจากการที่เอาเวลามาบวกกับ Srecret Key ที่เราต่างคนต่างเก็บกันไว้ที่ Server ที่นึงเราที่นึง ซึ่ง

หลาย ๆ คนไม่รู้ว่ามันก็คือไอ้ QR Code ตอนที่เรา Scan ใน Google Authenticator นั่นแหละ คือ Secret Key แล้วก็ถ่ายรูปเก็บเอาไว้บนคอมพิวเตอร์หรือหรือมือถือ ทำให้ส่วนใหญ่ 2FA มันจะหลุดก็ตรงนี้แหละ บางคน Copy Text Backup เอาไว้ก็มี โอกาศหลุดก็ตรงนี้เหมือนกัน

ช่องโหวอันนีงของ วิธีการนี้คือการที่มันต้องแชร์ข้อมูลความลับระเหว่างเรากับเซิร์ฟเวอร์ หรือที่เรียกว่า Pre-Shared Secret นี่แหละที่ทำให้ข้อมูลมันหลุดออกไปบ่อยครั้ง

แล้ววิธีกการของ Yubikey มันทำยังไง

Yubikey มันใช้มาตรฐานที่เรียกว่า Fido U2F(Universal 2nd Factor Authentication) ซึ่งเป็นมาตรฐานที่ได้รับความร่วมมือจากหลาย ๆ องค์กรรวมกัน

หลักการทำงานของ U2F ซึ่งจะไม่แชร์ Private Key ให้กับ Server

โดยหลักการทำงานของมันเราจะเห็นได้ว่ามันจะไม่แชร์ข้อมูล Private Key ให้กับ Server ซึ่ง Server จะยืนยันว่าเป็นเราจริง ๆ จากการส่ง Challenge มา ถ้าเรา Sign Challenge ถูกแปลว่าเป็นเราจริงๆ

ถ้าเรานึกภาพไม่ออกให้คิดแบบนี้แล้วกันว่า มีโทรศัพท์อยู่เครื่องนึง

ถ้าผมบอกว่าโทรศัพท์เครื่องนั้นเป็นของผม คุณก็อาจจะถามว่าผมจะรู้ได้ไงว่าเป็นของคุณ แล้วคุณก็ท้าว่าถ้าของผมจริงๆ งั้นปลดล๊อกโทรศัพท์ให้ดูหน่อยสิ (ตอนนี้คุณกำลังเป็น Server ที่กำลัง Challenge ผมว่าแน่จริงก็ปลดล๊อกให้ดูสิ)

ผมก็หยิบโทรศัพท์มากด PIN โดยที่คุณไม่เห็นว่า PIN ผมคืออะไร แล้วผมก็เอาให้คุณดูว่าผมปลอดล๊อกได้แล้ว (อันนี้คือผม Signed Challenge เรียบร้อยแล้ว)

ถ้าปลดล๊อกได้แปลว่าผมเป็นเจ้าของ ถ้าปลอดล๊อกไม่ได้แปลว่าผมมั่ว

จะสังเกตว่าผมไม่จำเป็นต้องบอก PIN คุณเลย เหมือนกับ Server ไม่จำเป็นต้องรู้ Private Key

ผมอยากแนะนำให้ทุกคนใช้วิธีนี้ในการลงทุนเพราะราคามันเทียบกับความคุ้มค่าแล้วผมว่ามันคุ้มค่ามาก ผมได้ทำ Reivew Yubikey ไว้ใน VDO นี้ใครสนใจลองดูได้นะครับ

ส่วนใครที่มี Trezor หรือ Ledger อยู่แล้วก็สามารถใช้ Function นี้ได้เลย ผมทำ VDO ไว้แล้วเข้าไปดูได้เลยครับ

การตั้งค่า U2F โดยใข้ Trezor
การตั้งค่า U2F ใน Ledger

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

More
articles

error: Content is protected !!