ประสบการณ์ใช้ U2F Yubikey

Bhuridech Sudsee
Jul 26, 2017 · 2 min read

ช่วงนี้ต้องกลับมาใช้ FIDO U2F ที่ซื้อมาจาก Yubikey อีกรอบหนึ่งเพราะต้องทำงานแล้ว เลยคิดว่าอยากให้งานที่ทำปลอดภัยขึ้น เพราะตัวเราเองชอบเบลอๆ เลยป้องกันไว้ก่อนด้วยการใช้ 2-Factor ซึ่งมือลั่นไปซื้อมาหลังจากอ่าน Blog https://droidsans.com/mini-review-yubikey-two-factor-authentication-device/ แล้วไปเจอว่า Gihub ทำโปรโมชันร่วมกับ Yubico บริษัทที่ขาย U2F ลด 25% มั้งช่วงนั้น เลยใจง่ายสอยมาตัวนึ่ง เด๊ะเหลาให้ฟังว่าจากการที่ใช้มาเป็นไงมั่ง (นี่ใช้มาเรื่อยๆ เป็นปีแหละ)

แกะห่ออกมาใช้ได้เลยไม่ต้องติดตั้งอะไรให้ยุ่งยาก ถ้าเราจะใช้ที่เว็บไหนให้เอามันไปลงทะเบียนไว้กับเว็บนั้นๆ ก่อน วิธีการก็ไม่ยุ่งยากแต่ละเจ้าก็จะมีหน้าที่เอาไว้กดของแต่ละเว็บเองครับ ยกตัวอย่าง Github และกันเพราะเข้าใจดีให้โค้ดลดมา

  1. ไปที่หน้า Setting

2. กด Security

3. กด Edit ตรง Security (ตรงนี้ถ้าจะใช้ 2-Factor มันต้องเป็นสถานะ On นะ จะกดก่อนกดหลังก็ได้)

4. จากนั้นไปที่ Register new device

5. ใส่ชื่อแล้วก็กด Add

6. เสียบ Key เข้าไปที่เครื่องเรามันจะกระพริบ ปริ๊บๆ ให้เราเอามือไปสัมผัสเบาๆ ที่ตรงไฟนั่น ถ้ายังไม่ไปอนุญาตให้ลองคลึงดูนิดนึง

เรียบร้อยแล้วพร้อมใช้งาน ถ้าเราลอง Login Github หลังจากที่ Login ด้วยรหัสผ่านปกติมันจะเด้งหน้าต่างมาถาม 2-Factor ให้เสียบกดที่ Key อีกรอบ

เอาหล่ะทีนี้มาถึงประสบการณ์หล่ะ ที่ผมต้องใช้ Yubikey เพราะว่าเดี๋ยวนี้ผมได้เมลล์ Phishing บ่อยมากครับ เฉลี่ยอาทิตย์ละครั้งเห็นจะได้แลมาทีแบบว่า เหมือนเป๊ะมากๆๆ แม้กระทั้ง Email ที่ส่งมา ที่ผมงงหนักคือเมื่อวานเพิ่งเปลี่ยนรหัสผ่านไป มันส่งมาบอกเราได้ด้วยว่ารหัสเราเปลี่ยนไปแล้วนะ เหมือนว่า Service บางอย่างหลุดไปให้ตามกลับไป Login มันหน่อยทั้งๆที่เราไม่เคยสมัครบริการอะไร ซึ่งตัว Yubikey สามารถป้องกัน Phishing ได้ รายละเอียดทางเทคนิคเขียนไว้ดีมากที่ Blognone : FIDO U2F ก้าวต่อไปของการยืนยันตัวตนสองขั้นตอน

ผมพบว่ายังมีปัญหาอยู่อีกเยอะครับ เช่น Browser ที่ลองรับเท่าที่ลองดูเหมือนมีแค่ Chrome กับ Opera นะ และถ้าเปิด 2-Factor ความบรรลัยมาเยือนแน่นวล ยิ่งถ้าคนไม่ค้นกับเรื่องเทคโนโลยี เลี่ยงไปใช้ 2-Factor วิธีอื่นผมว่าดีกว่าครับ อย่าง Github หลังจากที่เปิด 2-Factor ก็ Push code อีกแบบหนึ่งคือต้องไปเอา Token มาใส่ตอน push แทน password

ปล. ตอนนี้เพิ่งออก Github Soft U2F มาไปลองใช้กันได้ครัส ไม่ต้องซื้อกุญแจแล้ว GitHub เปิดโครงการ Soft U2F ยืนยันตัวตนสองขั้นตอนบนแมคได้โดยไม่ต้องซื้อกุญแจจริง

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade