เรื่องความปลอดภัยสำหรับคนที่เข้ามาลงทุนในโลกของคริปโตเป็นเรื่องที่สำคัญมาก ๆ หากเราต้องการยกระดับความปลอดภัยให้สูงขึ้น unikey เป็นทางเลือกนึง
ทำไมผมถึงแนะนำ unikeyในเมื่อทุกวันนี้ทุกคนก็จะบอกว่าผมได้เปิด 2FA โหมดแล้วผมน่าจะปลอดภัยแล้ว ใช่ครับมันปลอดภัยแต่มันแค่ระดับนึงเท่านั้น
ทำไมเราต้องใช้ 2FA สาเหตุเพราะในโลกของไซเบอร์ปัจจุบัน Username/Password มันไม่เพียงพอต่อการป้องกันการเข้าถึงข้อมูลเราจากผู้ไม่ประสงค์ดี. ผมเคยเขียนบทความเกี่ยวกับเรื่องของ การลงทุนคริปโตอย่างไรให้ปลอดภัยลองไปอ่านบทความนี้ได้นะครับ
2FA ย่อมาจาก Two-factor authentication แปลเป็นไทยง่ายๆ ก็คือ เอาปัจจัยที่สองนอกเหนือจาก Username/Password มายืนยันระบบว่าเป็นตัวเรา ง่ายสุดและคุ้นเคยสุดก็เป็น SMS ตามรูป
หลายๆ Exchange มักจะตกเป็นเป้าโจมตีจากพวก Hacker ดังนั้น Exchange จึงทำ Function สนับสนุนการป้องกันความปลอดภัยด้วยการให้ผู้ใช้เปิด Function 2FA ด้วย Pre-shared secret key ดังรูป ที่เราคุ้นเคยกันก็จะเป็น Google Authenticare หรือบางคนอาจใช้ Authy
หลักการของ 2FA แบบที่เราใช้กันส่วนใหญ่จะเป็น TOTP ซึ่งมันจะเอาเวลาเข้ามาคำนวนด้วย จึงเป็นสาเหตุที่ทำให้ Code ของ Google Authenticator เปลี่ยนตลอดเวลาเพื่อความปลอดภัย
ตัวเลขเหล่านี้คำนวนมาจากการที่เอาเวลามาบวกกับ Srecret Key ที่เราต่างคนต่างเก็บกันไว้ที่ Server ที่นึงเราที่นึง ซึ่ง
หลาย ๆ คนไม่รู้ว่ามันก็คือไอ้ QR Code ตอนที่เรา Scan ใน Google Authenticator นั่นแหละ คือ Secret Key แล้วก็ถ่ายรูปเก็บเอาไว้บนคอมพิวเตอร์หรือหรือมือถือ ทำให้ส่วนใหญ่ 2FA มันจะหลุดก็ตรงนี้แหละ บางคน Copy Text Backup เอาไว้ก็มี โอกาศหลุดก็ตรงนี้เหมือนกัน
ช่องโหวอันนีงของ วิธีการนี้คือการที่มันต้องแชร์ข้อมูลความลับระเหว่างเรากับเซิร์ฟเวอร์ หรือที่เรียกว่า Pre-Shared Secret นี่แหละที่ทำให้ข้อมูลมันหลุดออกไปบ่อยครั้ง
แล้ววิธีการของ unikey มันทำยังไง
unikey มันใช้มาตรฐานที่เรียกว่า Fido U2F(Universal 2nd Factor Authentication) ซึ่งเป็นมาตรฐานที่ได้รับความร่วมมือจากหลาย ๆ องค์กรรวมกัน
โดยหลักการทำงานของมันเราจะเห็นได้ว่ามันจะไม่แชร์ข้อมูล Private Key ให้กับ Server ซึ่ง Server จะยืนยันว่าเป็นเราจริง ๆ จากการส่ง Challenge มา ถ้าเรา Sign Challenge ถูกแปลว่าเป็นเราจริงๆ
ถ้าเรานึกภาพไม่ออกให้คิดแบบนี้แล้วกันว่า มีโทรศัพท์อยู่เครื่องนึง
ถ้าผมบอกว่าโทรศัพท์เครื่องนั้นเป็นของผม คุณก็อาจจะถามว่าผมจะรู้ได้ไงว่าเป็นของคุณ แล้วคุณก็ท้าว่าถ้าของผมจริงๆ งั้นปลดล๊อกโทรศัพท์ให้ดูหน่อยสิ (ตอนนี้คุณกำลังเป็น Server ที่กำลัง Challenge ผมว่าแน่จริงก็ปลดล๊อกให้ดูสิ)
ผมก็หยิบโทรศัพท์มากด PIN โดยที่คุณไม่เห็นว่า PIN ผมคืออะไร แล้วผมก็เอาให้คุณดูว่าผมปลอดล๊อกได้แล้ว (อันนี้คือผม Signed Challenge เรียบร้อยแล้ว)
ถ้าปลดล๊อกได้แปลว่าผมเป็นเจ้าของ ถ้าปลอดล๊อกไม่ได้แปลว่าผมมั่ว
จะสังเกตว่าผมไม่จำเป็นต้องบอก PIN คุณเลย เหมือนกับ Server ไม่จำเป็นต้องรู้ Private Key
ตอนนี้ unikey กำลัง pre-sale ลดราคาพิเศษ ดูรายละเอียดได้ที่นี่เลยครับ
ผมอยากแนะนำให้ทุกคนใช้วิธีนี้ในการลงทุนเพราะราคามันเทียบกับความคุ้มค่าแล้วผมว่ามันคุ้มค่ามาก ผมได้ทำ Reivew Yubikey ไว้ใน VDO นี้ใครสนใจลองดูได้นะครับ ซึ่งหลักการทำงานของมันจะคล้ายกับตัว unikey เลยครับ
ส่วนใครที่มี Trezor หรือ Ledger อยู่แล้วก็สามารถใช้ Function นี้ได้เลย ผมทำ VDO ไว้แล้วเข้าไปดูได้เลยครับ
