ภาพของ YubiKey NEO พร้อมซองใส่

YubiKey Universal 2nd Factor เวิร์กไหมสำหรับใช้ทำ 2-Factor Authentication

วันก่อนผมได้เขียนบล็อกเรื่อง 2-Factor Authentication ไป บล็อกตอนนี้ก็ถือว่าเป็นภาคต่อแล้วกัน เพราะผมจะเอา YubiKey ซึ่งเป็น Universal 2nd Factor แบบ USB มาลองใช้ให้ได้อ่านกัน เพราะนี่คืออีกวิธีการป้องกันตนเองที่บริษัทใหญ่ๆ หลายบริษัทเขาให้พนักงานเขาใช้กัน แต่คำถามมันมีอยู่ว่า แล้วในความเป็นจริง ถ้าเป็นผู้ใช้งานทั่วไป มันจะเวิร์กมากน้อยแค่ไหน

เดี๋ยวนี้ YubiKey มันมีหลายแบบครับ มีทั้งแบบ USB-A, USB-C, Lightning + USB-C และยังมีแบบที่มี NFC อีก เรียกว่าแทบจะครอบคลุมทุกการเชื่อมต่อกับอุปกรณ์แล้ว (แต่อุปกรณ์จะรองรับหรือไม่ เป็นอีกเรื่องนะครับ) สามารถไปหาเลือกซื้อเอาไว้ที่เว็บไซต์ https://www.yubico.com/products/yubikey-hardware/ เลย แต่ได้ข่าวว่าใช้เวลาราวๆ 10-20 วันทำการกว่าจะส่งมานะครับ แต่ถ้าอดใจรอไม่ไหว ลองหาซื้อจาก Lazada ดู ค้นๆ ชื่อ YubiKey ครับ มีคนขายอยู่ ของผมซื้อมาจากร้าน WTC Computer ในราคา 900 บาท จะได้มาเป็นรุ่น NEO ซึ่งไม่มีขายแล้ว แม้แต่บนเว็บ Yubico เอง (ฮา)

ภาพของ YubiKey ที่เสียบเข้ากับเครื่องคอมพิวเตอร์แล้ว

หน้าตาของ YubiKey NEO นี่ก็คล้ายๆ กับ USB-A แฟลชไดร์ฟครับ แต่จะแบนกว่า แล้วมันมีส่วนที่เหมือนจะเป็นตัวสแกนลายนิ้วมือ แต่จริงๆ เป็นปุ่มแบบเอาไว้แตะนะครับ มีสัญลักษณ์รูปสัญญาณ WiFi ด้วย ตรงนี้ลองพยายามหาข้อมูลแล้ว มันคือสัญลักษณ์บอกว่า อันนี้รองรับ NFC ครับ ฉะนั้นก็จะสามารถใช้ร่วมกับพวกสมาร์ทโฟนที่มี NFC ได้ด้วย

ภาพแสดงตัวอย่างบริการออนไลน์ หรือโปรแกรม ที่รองรับ YubiKey

วิธีการใช้งานคร่าวๆ ก็คือ เสียบเข้ากับเครื่องคอมพิวเตอร์ จากนั้นก็ไปที่เว็บไซต์ https://www.yubico.com/start แล้วก็ไปเลือกเอาว่าเราจะใช้ YubiKey กับบริการอะไร หรือโปรแกรมอะไร ซึ่งบอกเลยว่า ไม่ใช้ทุกบริการออนไลน์ หรือทุกโปรแกรม จะรองรับการยืนยันตัวตนขั้นตอนที่สองด้วย YubiKey ครับ (และถึงแม้จะรองรับ ก็อาจไม่ได้รองรับทุกรุ่น) แต่พวกบริการหลักๆ เช่น Google, Facebook, Twitter, Dropbox, Windows logon, macOS logon อะไรพวกนี้สามารถใช้ YubiKey ได้ แล้วตัวมันเองก็มี SDK ให้นักพัฒนาสามารถเอาไปใช้เขียนโปรแกรม เผื่อในกรณีของผู้ใช้ระดับองค์กร ที่อยากจะใช้ YubiKey ในการร่วมยืนยันตัวตนบนแอปพลิเคชันของตนเอง

หน้าจอการตั้งค่า 2-Step Verification ของ Google เพื่อใช้ Security Key
หน้าจอแสดงผลว่าการตั้งค่า Security Key เสร็จแล้ว อันนี้ผมตั้งชื่อเป็น kafaakYubiKey

ทีนี้ แต่ละบริการ แต่ละโปรแกรม ก็จะมีวิธีการตั้งค่าเพื่อใช้ YubiKey แตกต่างกันไป ยากง่ายก็ต่างกันครับ อย่างเช่นของ Google นี่ แค่ไปที่ Google Account > Security > 2-Step Verification เพื่อเปิดใช้ฟีเจอร์นี้ก่อน แล้วไปตรงหัวข้อ Security Key แล้วก็ทำการ Add Security Key เข้าไป ทำตามขั้นตอนที่บอกบนหน้าเว็บ ซึ่งก็คือ อย่าเพิ่มเสียบ YubiKey เข้าไป คลิก Next ไปก่อน มันจะถามหาให้เราเสียบ YubiKey จากนั้นพอเสียบเข้าไปปุ๊บ มันก็จะตรวจเจอ เราก็แค่ตั้งชื่อซะ แล้วคลิก Done ก็เรียบร้อยแล้ว

ในการยืนยันตัวตนด้วย YubiKey ก็แค่แตะไปที่ปุ่มเบาๆ ตอนที่หน้าจอเด้งมาให้เราแตะปุ่ม

ทีนี้ เวลาที่ล็อกอินเข้าบริการ Google (เช่น Gmail) พอกรอก Username และ Password เรียบร้อยแล้ว ถ้าเราเสียบเจ้า YubiKey นี่อยู่ มันก็จะทำการยืนยันตัวตนในขั้นตอนที่สองให้เองโดยอัตโนมัติ ที่เราต้องทำเพิ่มก็แค่ แตะเบาๆ ตรงปุ่มบนตัว YubiKey นั่นแหละ พอแตะเสร็จแล้ว ก็จะล็อกอินได้เลยครับ

หน้าจอที่บอกให้เราแตะปุ่มบน YubiKey เพื่อยืนยันว่าจะล็อกอิน

แต่ในขณะเดียวกัน ถ้าเกิดจะใช้ YubiKey นี่ ในการล็อกอินเข้า Windows ละก็ จะต้องดาวน์โหลดโปรแกรม YubiKey Personalization Tool และ Computer Login Tool มาติดตั้ง (มีทั้งเวอร์ชัน Windows และ macOS) แล้วก็ต้องทำตามขั้นตอนที่ระบุไว้สำหรับระบบปฏิบัติการแต่ละตัวครับ (ของ Linux นี่แอบโหด ขอบอก) ซึ่งบอกเลยว่า คนทั่วไปไม่เหมาะจะเอามาใช้แน่นอน และผมว่าการป้องกันตัวเองถึงระดับนั้น มันไม่จำเป็นสำหรับผู้ใช้งานทั่วไปครับ แต่ถ้าเป็นพวกบริษัทใหญ่ๆ ที่คอมพิวเตอร์ของออฟฟิศมีการเก็บข้อมูลสำคัญเอาไว้ หรือสามารถใช้เข้าถึงข้อมูลสำคัญๆ ได้ การใช้ YubiKey นี่ผมว่าก็จำเป็น และก็หมดห่วงเรื่องการตั้งค่า เพราะมีแผนกไอทีนิ

ตัว YubiKey เขาบอกว่าเบราวเซอร์ที่รองรับก็มี Google Chrome, Mozilla Firefox และ Opera แต่ก็อย่างที่เห็น ผมลองใช้ด้วย Microsoft Edge กับ Safari (บน macOS) มันก็ใช้ได้ไม่มีปัญหาอะไรนะ แต่ก็อีกนั่นแหละ และยังไงๆ การรองรับแค่เบราวเซอร์ที่ว่ามานี่ ผมว่ามันก็ครอบคลุมเบราวเซอร์สำหรับ Desktop เกือบหมดแล้ว

YubiKey ตัวเดียว สามารถเก็บข้อมูลการยืนยันตัวตนบนบริการออนไลน์ต่างๆ และโปรแกรมต่างๆ ได้หลากหลายครับ นี่ผมลองทั้งกับ Google Account (2 บัญชีพร้อมๆ กัน), Facebook, Twitter คือ ยัดเข้าไปได้เรื่อยๆ บางบริการมันมีข้อจำกัด เช่น LastPass นี่ แม้จะรองรับ Multi-Factor Authentication แต่ว่าถ้าจะใช้ Security Key จะต้องเป็นแพ็กเกจแบบ Premium (เสียตังค์ $3/เดือน)​ ขึ้นไป ถึงจะใช้ฟีเจอร์นี้ได้ หรือ Wordpress ก็จะต้องลงปลั๊กอินก่อน เป็นต้น ก็ต้องไปไล่ดูเอาในเว็บไซต์ของ Yubico นั่นแหละว่าจะเซ็ตอะไรยังไง สำหรับบริการไหน

Google Account สามารถใช้ Security Key ที่มีใน Android smartphone ยืนยันตัวตนได้

โดยส่วนตัวของผม YubiKey นี่ไม่ค่อยมีประโยชน์ชัดเจนเท่าไหร่ เพราะปัจจุบัน พวกสมาร์ทโฟนก็สามารถทำหน้าที่แทนได้ครับ ขอแค่ลงแอปจำพวก Authenticator เอาไว้ เพียงแต่มันจะไม่สะดวกเท่าเอา USB มาจิ้มแบบนี้ เพราะ Authenticator มักจะมาในรูปของการใช้ TOTP (Time-based One-Time Password) เป็นรหัส 6 หลักให้กรอกหลังล็อกอิน แต่ก็มีหลายบริการ ที่ใช้วิธีเด้ง Notification ขึ้นมาบนสมาร์ทโฟน แล้วให้เราแตะยืนยันการล็อกอิน แบบนี้ก็ง่ายหน่อย เพียงแต่เราก็ต้องหยิบสมาร์ทโฟนขึ้นมาไง แต่ถ้าเทียบกับการที่จะต้องหยิบ YubiKey มาเสียบ ก็วุ่นพอกันแหละ … ที่สำคัญคือ ถ้าเกิด YubiKey หายนี่ก็ชิบหายได้เหมือนกัน และใครๆ เขาก็แนะนำว่าถ้าไม่หาซื้อ YubiKey มาอีกอัน (ซึ่งราคาเฉียดพัน หรือพันกว่าบาท สำหรับบางรุ่น ยี่ห้ออื่นๆ นอกจาก YubiKey ก็มีราคาเป็นพันกว่าบาท เช่นกัน) ก็ต้องใช้วิธี 2-Factor Authentication แบบอื่น เช่น ส่ง SMS, โทรมาบอกรหัส หรือใช้แอป Authenticator เป็นตัวสำรองเอาไว้อยู่ดีครับ แต่ก็ไม่ใช่ทุกบริการออนไลน์หรือทุกโปรแกรม ที่จะรองรับการใช้วิธีสำรองหลายๆ แบบด้วยนะ บางบริการเองไม่รองรับการใช้แอป Authenticator หลายตัวด้วยเหอะ (คือ ถ้าจะเปลี่ยนไปใช้แอป Authenticator ตัวอื่น ก็ต้องลบของเก่าออกก่อน)

ฉะนั้น ในภาพรวม ก็ต้องบอกว่า YubiKey มีประโยชน์ในฐานะที่เป็น 2nd Factor Authentication ได้ดี แต่ก็แค่สะดวกสำหรับบางบริการหรือบางโปรแกรม ในขณะที่บางบริการและบางโปรแกรมนั้น การตั้งค่าทำได้ยากเอาเรื่องอยู่ ถ้าคิดจะใช้ ผมว่าก็ต้องเป็นคนที่มีพื้นฐานด้านไอทีประมาณนึงเลยแหละ และอย่างน้อยๆ ต้องอ่านภาษาอังกฤษออก และใจเย็น อดทนมากพอที่จะทำการตั้งค่าตามคู่มือของมัน (ลองอ่านคู่มือสำหรับการตั้งค่าสำหรับ Windows ก่อนก็ได้)

Post Author: นายกาฝาก

บล็อกเกอร์ต๊อกต๋อย ผู้นิยมชมชอบการรีวิวแบบไม่เกรงใจหน้าอินทร์หน้าพรหม ด้วยความเชื่อที่ว่า ถ้าคนอ่านเขาได้ทราบถึงข้อดีข้อเสียของผลิตภัณฑ์แล้วยังตัดสินใจซื้อ เขาจะมีปัญหากับผลิตภัณฑ์นั้นน้อยกว่าซื้อเพราะอ่านบล็อกที่เขียนมาอวย ... ก็เท่านั้นเอง

ใส่ความเห็น

This site uses Akismet to reduce spam. Learn how your comment data is processed.