ประสบการณ์ใช้ U2F Yubikey

ช่วงนี้ต้องกลับมาใช้ FIDO U2F ที่ซื้อมาจาก Yubikey อีกรอบหนึ่งเพราะต้องทำงานแล้ว เลยคิดว่าอยากให้งานที่ทำปลอดภัยขึ้น เพราะตัวเราเองชอบเบลอๆ เลยป้องกันไว้ก่อนด้วยการใช้ 2-Factor ซึ่งมือลั่นไปซื้อมาหลังจากอ่าน Blog https://droidsans.com/mini-review-yubikey-two-factor-authentication-device/ แล้วไปเจอว่า Gihub ทำโปรโมชันร่วมกับ Yubico บริษัทที่ขาย U2F ลด 25% มั้งช่วงนั้น เลยใจง่ายสอยมาตัวนึ่ง เด๊ะเหลาให้ฟังว่าจากการที่ใช้มาเป็นไงมั่ง (นี่ใช้มาเรื่อยๆ เป็นปีแหละ)

แกะห่ออกมาใช้ได้เลยไม่ต้องติดตั้งอะไรให้ยุ่งยาก ถ้าเราจะใช้ที่เว็บไหนให้เอามันไปลงทะเบียนไว้กับเว็บนั้นๆ ก่อน วิธีการก็ไม่ยุ่งยากแต่ละเจ้าก็จะมีหน้าที่เอาไว้กดของแต่ละเว็บเองครับ ยกตัวอย่าง Github และกันเพราะเข้าใจดีให้โค้ดลดมา

  1. ไปที่หน้า Setting

2. กด Security

3. กด Edit ตรง Security (ตรงนี้ถ้าจะใช้ 2-Factor มันต้องเป็นสถานะ On นะ จะกดก่อนกดหลังก็ได้)

4. จากนั้นไปที่ Register new device

5. ใส่ชื่อแล้วก็กด Add

6. เสียบ Key เข้าไปที่เครื่องเรามันจะกระพริบ ปริ๊บๆ ให้เราเอามือไปสัมผัสเบาๆ ที่ตรงไฟนั่น ถ้ายังไม่ไปอนุญาตให้ลองคลึงดูนิดนึง

เรียบร้อยแล้วพร้อมใช้งาน ถ้าเราลอง Login Github หลังจากที่ Login ด้วยรหัสผ่านปกติมันจะเด้งหน้าต่างมาถาม 2-Factor ให้เสียบกดที่ Key อีกรอบ

เอาหล่ะทีนี้มาถึงประสบการณ์หล่ะ ที่ผมต้องใช้ Yubikey เพราะว่าเดี๋ยวนี้ผมได้เมลล์ Phishing บ่อยมากครับ เฉลี่ยอาทิตย์ละครั้งเห็นจะได้แลมาทีแบบว่า เหมือนเป๊ะมากๆๆ แม้กระทั้ง Email ที่ส่งมา ที่ผมงงหนักคือเมื่อวานเพิ่งเปลี่ยนรหัสผ่านไป มันส่งมาบอกเราได้ด้วยว่ารหัสเราเปลี่ยนไปแล้วนะ เหมือนว่า Service บางอย่างหลุดไปให้ตามกลับไป Login มันหน่อยทั้งๆที่เราไม่เคยสมัครบริการอะไร ซึ่งตัว Yubikey สามารถป้องกัน Phishing ได้ รายละเอียดทางเทคนิคเขียนไว้ดีมากที่ Blognone : FIDO U2F ก้าวต่อไปของการยืนยันตัวตนสองขั้นตอน

ผมพบว่ายังมีปัญหาอยู่อีกเยอะครับ เช่น Browser ที่ลองรับเท่าที่ลองดูเหมือนมีแค่ Chrome กับ Opera นะ และถ้าเปิด 2-Factor ความบรรลัยมาเยือนแน่นวล ยิ่งถ้าคนไม่ค้นกับเรื่องเทคโนโลยี เลี่ยงไปใช้ 2-Factor วิธีอื่นผมว่าดีกว่าครับ อย่าง Github หลังจากที่เปิด 2-Factor ก็ Push code อีกแบบหนึ่งคือต้องไปเอา Token มาใส่ตอน push แทน password

ปล. ตอนนี้เพิ่งออก Github Soft U2F มาไปลองใช้กันได้ครัส ไม่ต้องซื้อกุญแจแล้ว GitHub เปิดโครงการ Soft U2F ยืนยันตัวตนสองขั้นตอนบนแมคได้โดยไม่ต้องซื้อกุญแจจริง

Like what you read? Give Bhuridech Sudsee a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.