YubiKey: ฮาร์ดแวร์คีย์ความปลอดภัยสำหรับการเข้ารหัสและการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
แผ่นโลหะเล็กๆ ที่คุณแตะด้วยปลายนิ้วทำในสิ่งที่รหัสผ่านไม่เคยทำได้: มันยุติการแฮ็กบัญชีที่บริษัทที่ถูกโจมตีมากที่สุดแห่งหนึ่งของโลก หลังจากที่ Google แจก YubiKey ให้กับ พนักงานกว่า 85,000 คน จำนวนบัญชีพนักงานที่ถูกแฮ็กสำเร็จลดลงเหลือศูนย์และคงที่มาตั้งแต่ต้นปี 2017 นั่นคือจุดเด่นของคีย์ความปลอดภัยแบบฮาร์ดแวร์ มันไม่ใช่โปรแกรมป้องกันไวรัสและมันไม่ได้เก็บเหรียญของคุณ มันเป็นวัตถุทางกายภาพที่พิสูจน์ว่าคุณคือคุณ และแทบเป็นไปไม่ได้เลยที่จะหลอกลวงมัน
คู่มือนี้จะอธิบายว่า YubiKey คืออะไร ทำงานอย่างไร ทำไมมันถึงดีกว่า SMS และแอป ยืนยันตัวตน และวิธีการใช้ YubiKey เพื่อรักษาความปลอดภัยบัญชีคริปโตที่เหล่าโจรหมายตาเป็นอันดับแรก
YubiKey คืออะไร และทำไมจึงสำคัญ
ลองนึกถึง YubiKey ว่าเป็นกุญแจบ้านสำหรับบัญชีของคุณ แต่กุญแจนี้ไม่สามารถคัดลอกได้ มันคืออุปกรณ์รักษาความปลอดภัยขนาดเล็กจาก Yubico บริษัทสัญชาติสวีเดน-อเมริกันที่ผลิตอุปกรณ์นี้มาตั้งแต่ปี 2007 ไม่มีแบตเตอรี่ ไม่มีหน้าจอ มีเพียงแผ่นพลาสติกและโลหะขนาดเท่าแฟลชไดรฟ์ที่เสียบเข้ากับพอร์ต USB หรือแตะกับโทรศัพท์ของคุณผ่าน NFC โดยมีแผ่นสีทองที่คุณกดด้วยปลายนิ้ว
ปลายนิ้วของคุณนั่นแหละคือเคล็ดลับทั้งหมด รหัสผ่านเป็นสิ่งที่คุณรู้ และสิ่งที่คุณรู้สามารถถูกขโมย รั่วไหล หรือเดาได้ บ่อยครั้งที่เกิดขึ้นพร้อมกันทั้งสามอย่าง YubiKey เป็นสิ่งที่คุณมี และคุณไม่สามารถขโมยวัตถุจริงจากกระเป๋าของใครได้ ดังนั้นมันจึงกลายเป็นปัจจัยที่สองสำหรับการยืนยันตัวตนสองขั้นตอน และเป็นปัจจัยที่เชื่อถือได้มาก มันไม่เก็บข้อมูลใดๆ ของคุณ ไม่ว่าจะเป็นเหรียญหรือไฟล์ใดๆ ของคุณ เมื่อเข้าสู่ระบบ มันจะถามคำถามเดียวแล้วก็เงียบไป: เจ้าของตัวจริงยืนอยู่ที่นี่ตอนนี้หรือไม่? แตะ แล้วคุณจะเข้าสู่ระบบได้ ถ้าไม่แตะ การเข้าสู่ระบบก็จะล้มเหลวบนหน้าจอ ไม่ว่ารหัสผ่านที่ถูกขโมยจะดูสมบูรณ์แบบแค่ไหนก็ตาม
YubiKey ช่วยป้องกันการหลอกลวงทางอีเมลได้อย่างไร
ส่วนที่ชาญฉลาดไม่ได้อยู่ที่ฮาร์ดแวร์ แต่เป็นลายเซ็นที่ผูกติดกับโดเมน ซึ่งเว็บไซต์ปลอมไม่สามารถหลอกล่อให้ดึงออกมาจากอุปกรณ์ได้
ความลับที่ไม่เคยหายไป
ลงทะเบียน YubiKey กับบริการใดบริการหนึ่ง แล้วระบบจะสร้างคู่คีย์ใหม่ขึ้นมาโดยอัตโนมัติ หนึ่งคีย์สาธารณะและหนึ่งคีย์ส่วนตัว โดยใช้การเข้ารหัสแบบคีย์สาธารณะ ส่วนที่เป็นส่วนตัวจะถูกบันทึกไว้ในชิปที่ปลอดภัยและจะไม่ถูกนำออกมาอีก ไม่ว่าจะผ่าน USB หรือขณะที่อุปกรณ์อยู่ในมือของคุณ มีเพียงส่วนที่เป็นคีย์สาธารณะเท่านั้นที่จะถูกส่งไปยังเซิร์ฟเวอร์ หลังจากนั้น การเข้าสู่ระบบทุกครั้งจะเป็นการเรียกและตอบสนองอย่างรวดเร็ว: เว็บไซต์จะส่งคำท้าแบบสุ่ม คีย์จะลงนามด้วยส่วนที่เป็นส่วนตัวซึ่งไม่มีใครอ่านได้ และเซิร์ฟเวอร์จะตรวจสอบลายเซ็นนั้นกับส่วนที่เป็นคีย์สาธารณะที่เก็บไว้ นี่คือมาตรฐาน FIDO2 และ WebAuthn ซึ่งสร้างขึ้นบน U2F รุ่นเก่า และเป็นเหตุผลที่ข้อมูลประจำตัวของคุณไม่สามารถถูกขโมยไปจากอุปกรณ์ได้
เหตุใดการหลอกลวงแบบฟิชชิ่งจึงไม่ได้ผล
ส่วนที่สำคัญที่สุดในการป้องกันฟิชชิงคือ ในการแลกเปลี่ยนข้อมูลนั้น เบราว์เซอร์จะบอกโดเมนที่คุณกำลังใช้งานอยู่กับ YubiKey YubiKey จะเปรียบเทียบกับเว็บไซต์ที่ลงทะเบียนไว้ครั้งแรก หากเป็นหน้าเว็บปลอม โดเมนจะผิด YubiKey จะปฏิเสธการลงนาม คุณอาจถูกหลอกได้ง่ายๆ ด้วยเว็บไซต์ปลอมนั้น แต่ฮาร์ดแวร์นั้นไม่เป็นเช่นนั้น และฮาร์ดแวร์นี่แหละคือสิ่งที่สำคัญที่สุด เมื่อรวมกับการแตะหน้าจอเพื่อตรวจสอบว่ามีคนอยู่จริง คุณก็จะได้สิ่งที่หน่วยงานด้านความปลอดภัยเรียกว่าการตรวจสอบสิทธิ์ที่ป้องกันฟิชชิงได้ คุณสามารถพิมพ์รหัสผ่านลงในช่องปลอมได้ แต่ลายเซ็นที่ผูกกับโดเมนนั้นทำไม่ได้
OTP, สมาร์ทการ์ด และรหัสผ่าน
YubiKey รุ่นเรือธงนั้นพูดได้หลายภาษา ไม่ใช่แค่ภาษาเดียว มันสามารถสร้างรหัสผ่านแบบใช้ครั้งเดียวของ Yubico ซึ่งเป็นรหัสยาวถึง 44 ตัวอักษร ซึ่งแตกต่างจากรหัส 6 หลักที่แอปแสดง นอกจากนี้ยังรองรับรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ซึ่งเป็นมาตรฐานเดียวกับที่แอปตรวจสอบสิทธิ์ของคุณใช้ มันยังทำหน้าที่เป็นสมาร์ทการ์ดสำหรับการเข้าสู่ระบบขององค์กรและหน่วยงานรัฐบาล และมันยังจัดเก็บรหัสผ่านสำหรับระบบตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านอย่างสมบูรณ์ โดยที่รหัสผ่านนั้นคือชื่อผู้ใช้ ไม่ใช่ข้อมูลสำรอง คุณสมบัติสุดท้ายนี้กำลังได้รับความนิยมอย่างรวดเร็ว: FIDO Alliance กล่าวว่าเกือบครึ่งหนึ่งของเว็บไซต์ 100 อันดับแรกยอมรับรหัสผ่านแล้ว
| โปรโตคอล | มันทำอะไรได้บ้าง | แทนที่ |
|---|---|---|
| FIDO2 / WebAuthn | ชื่อผู้ใช้และรหัสผ่านที่ป้องกันการฟิชชิ่ง | รหัสผ่านและระบบยืนยันตัวตนสองขั้นตอนที่ไม่ปลอดภัย |
| ยู2เอฟ | ปัจจัยที่สองที่ผูกกับจุดกำเนิด | รหัส SMS และรหัสแอป |
| ยูบิโก้ โอทีพี | รหัสผ่านใช้ครั้งเดียว 44 ตัวอักษร | รหัสยืนยันตัวตนแบบสั้น |
| TOTP / คำสาบาน | รหัสตามเวลาที่จัดเก็บไว้ในคีย์ | แอปยืนยันตัวตนแยกต่างหาก |
| สมาร์ทการ์ด (PIV) | การเข้าสู่ระบบโดยใช้ใบรับรอง | การเข้าสู่ระบบด้วยบัตรประจำตัวพนักงานของบริษัท |
เหตุใด YubiKey จึงเหนือกว่า SMS และแอปยืนยันตัวตน
ปัจจัยอื่นๆ ทั่วไปที่ใช้ในการตรวจสอบความถูกต้องของข้อมูล สามารถส่งต่อไปยังเว็บไซต์ปลอมได้แบบเรียลไทม์ แต่ YubiKey ทำไม่ได้ และช่องโหว่เพียงจุดเดียวนี้เองที่เป็นจุดอ่อนของการโจรกรรมคริปโตเคอร์เรนซี
SMS คือจุดอ่อนที่สุด
การส่งรหัสยืนยันตัวตนผ่านข้อความ SMS นั้นดูสะดวกสบาย แต่ก็เป็นตัวเลือกที่แย่ที่สุด รหัสจะถูกส่งไปยังหมายเลขโทรศัพท์ของคุณ และหมายเลขโทรศัพท์ของคุณอาจถูกขโมยไปได้ ในกรณีการสลับซิม ผู้โจมตีจะหลอกผู้ให้บริการเครือข่ายของคุณให้ย้ายหมายเลขของคุณไปยังซิมของพวกเขา จากนั้นก็ดักจับรหัสของคุณโดยตรง นี่ไม่ใช่กรณีที่เกิดขึ้นไม่บ่อยนัก การฉ้อโกงโดยการสลับซิมในสหราชอาณาจักรเพิ่มขึ้นมากกว่า 1,055% ในปี 2024 นี่คือเหตุผลที่ CISA และ FBI ปฏิเสธที่จะนับ SMS เป็นการยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่ป้องกันการฟิชชิ่งได้เลย สำหรับบัญชีที่เก็บเงิน การเชื่อถือ SMS เป็นความผิดพลาด และนี่คือจุดอ่อนที่ทำให้คีย์ฮาร์ดแวร์มีความสำคัญมากกว่าสำหรับผู้ถือคริปโตเคอร์เรนซีมากกว่าคนอื่นๆ เกือบทุกคน
แม้แต่แอปยืนยันตัวตนก็ยังมีช่องโหว่ต่อการหลอกลวง
แอป Authenticator เป็นการพัฒนาที่ก้าวหน้ากว่า SMS มาก และถือเป็นการยืนยันตัวตนสองขั้นตอนที่แข็งแกร่งควบคู่ไปกับรหัสข้อความ แต่ก็ยังมีจุดอ่อนอยู่ การเปิดใช้งาน MFA ทุกรูปแบบนั้นคุ้มค่า เพราะ Microsoft พบว่ามันสามารถบล็อกการโจมตีอัตโนมัติได้ถึง 99.9% อย่างไรก็ตาม รูปแบบการใช้งานจะเป็นตัวตัดสินว่ามิจฉาชีพที่เป็นมนุษย์จะสามารถเจาะระบบได้หรือไม่ รหัสหกหลักที่แอปแสดงนั้นเป็นเพียงตัวเลข และสามารถพิมพ์ตัวเลขลงในช่องปลอมได้ หน้าเว็บฟิชชิ่งสมัยใหม่จะขอรหัสของคุณและส่งต่อไปยังบริการจริงภายใน 30 วินาที YubiKey สามารถอุดช่องโหว่นี้ได้ เพราะลายเซ็นของมันเชื่อมโยงกับโดเมนจริงและไม่สามารถนำไปใช้ซ้ำกับโดเมนอื่นได้ นี่ไม่ใช่ทฤษฎี แต่เป็นเหตุผลที่พนักงาน 85,000 คนของ Google หยุดถูกฟิชชิ่งตั้งแต่วันที่คีย์ฮาร์ดแวร์เข้ามาแทนที่ทุกอย่าง
| วิธี | ป้องกันฟิชชิ่ง | ป้องกันการสลับซิม | ใช้งานได้แม้ไม่มีการเชื่อมต่ออินเทอร์เน็ต |
|---|---|---|---|
| รหัส SMS | เลขที่ | เลขที่ | เลขที่ |
| แอปตรวจสอบสิทธิ์ | เลขที่ | ใช่ | ใช่ |
| ยูบิคีย์ | ใช่ | ใช่ | ใช่ |
การใช้ YubiKey เพื่อรักษาความปลอดภัยให้กับคริปโตเคอร์เรนซีของคุณ
นี่คือข้อดีสำหรับทุกคนในวงการคริปโต: YubiKey สามารถล็อกบัญชีที่พวกมิจฉาชีพมักเล็งเป้าหมายเป็นอันดับแรกได้ ปัจจุบันเว็บเทรดหลักๆ ส่วนใหญ่รองรับการใช้ฮาร์ดแวร์รักษาความปลอดภัยของบัญชี และหลายแห่งอนุญาตให้ล็อกอินด้วย FIDO2 หรือรหัสผ่านได้ เช่น Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com และ KuCoin ส่วน Kraken และ Bitfinex ยอมรับฮาร์ดแวร์เป็นปัจจัยยืนยันตัวตนที่สอง การเปิดใช้งานฟังก์ชันนี้หมายความว่า แม้แต่โจรที่มีรหัสผ่านและหมายเลขโทรศัพท์ของคุณ ก็ยังไม่สามารถเข้าถึงบัญชีได้หากไม่มีฮาร์ดแวร์คีย์
อย่าหยุดแค่ที่เว็บแลกเปลี่ยน บัญชีที่สำคัญที่สุดคืออีเมลของคุณ เพราะมันคือเส้นทางกู้คืนสำหรับทุกอย่าง ดังนั้นให้ใส่รหัสรักษาความปลอดภัยไว้ที่อีเมลก่อน จากนั้นใส่รหัสรักษาความปลอดภัยไว้ที่โปรแกรมจัดการรหัสผ่านของคุณ แล้วก็เว็บแลกเปลี่ยนและบริการกระเป๋าเงินดิจิทัลใดๆ ที่รองรับ เป้าหมายนั้นง่ายมาก: กำจัดทุกการเข้าสู่ระบบที่ขึ้นอยู่กับรหัสที่มิจฉาชีพสามารถหลอกลวงหรือดักจับได้ รหัสเดียวกันนี้จะช่วยรักษาความปลอดภัยให้กับบริการออนไลน์อื่นๆ ของคุณด้วยการกระทำเพียงครั้งเดียว และเนื่องจากเทคโนโลยีนี้ถูกสร้างขึ้นมาโดยเฉพาะเพื่อป้องกันการโจมตีแบบฟิชชิ่ง มันจึงทำให้ขั้นตอนที่พวกมิจฉาชีพที่พยายามดูดเงินในกระเป๋าหรือสร้างหน้าเว็บแจกเหรียญปลอมใช้เป็นโมฆะ สำหรับบัญชีออนไลน์ทั้งหมดเหล่านั้น YubiKey จะกลายเป็นข้อมูลประจำตัวเดียวที่ไม่มีใครสามารถคัดลอกจากระยะไกลได้ ซึ่งเป็นการปิดประตูที่พวกมิจฉาชีพที่พยายามดูดเงินในกระเป๋าหรือสร้างหน้าเว็บแจกเหรียญปลอมใช้ประโยชน์ได้อย่างเงียบๆ
รุ่นต่างๆ ของ YubiKey และวิธีการเลือก
แคตตาล็อกของ Yubico ดูซับซ้อนกว่าความเป็นจริง มีเพียงสามคำถามที่จะช่วยตัดสินใจได้: อุปกรณ์ของคุณมีพอร์ตอะไรบ้าง คุณต้องการ NFC สำหรับโทรศัพท์หรือไม่ และคุณต้องการเครื่องอ่านลายนิ้วมือหรือไม่
สำหรับคนส่วนใหญ่ คำตอบคือ YubiKey 5 NFC ราคาประมาณ 58 ดอลลาร์ มันรองรับทุกโปรโตคอลข้างต้น และให้ทั้ง USB-A และ NFC อุปกรณ์ของคุณเป็น USB-C ทั้งหมดใช่ไหม? YubiKey 5C NFC ก็คือคีย์เดียวกันแต่เปลี่ยนรูปแบบการใช้งาน อยากประหยัดกว่านั้น? Security Key ราคาประมาณ 29 ดอลลาร์ ตัดฟังก์ชั่นเสริมออกไป และรองรับเฉพาะ FIDO2 และ U2F ซึ่งเพียงพอสำหรับการเข้ารหัสและการเข้าสู่ระบบทั่วไป ชอบใช้ลายนิ้วมือ? YubiKey Bio Series ราคาเกือบ 98 ดอลลาร์ เพิ่มเซ็นเซอร์ไบโอเมตริกสำหรับการใช้งานแบบไม่ต้องใช้ PIN และยังมีรุ่น FIPS สำหรับสถานที่ทำงานที่อยู่ภายใต้ข้อกำหนด ไม่ว่าคุณจะเลือกแบบไหน ซื้อไว้สองอัน อันที่สองเป็นสำรอง และคุณจะรู้สึกขอบคุณในวันที่อันแรกเสียหายจากการซัก
การตั้งค่าและการใช้งาน YubiKey
การตั้งค่าใช้เวลาประมาณสิบนาทีต่อบัญชี ส่วนที่ไม่มีใครเตือนคุณเลยก็คือการสำรองข้อมูล
ลงทะเบียนกุญแจของคุณ
เริ่มต้นที่หน้าการตั้งค่าอย่างเป็นทางการ เลือกบริการ และเปิดการตั้งค่าการตรวจสอบสิทธิ์แบบสองขั้นตอนหรือรหัสผ่าน จากนั้นเลือกหนึ่งในสามวิธีในการกำหนดค่าคีย์: ลงทะเบียนเป็นคีย์ความปลอดภัย บันทึกรหัสผ่านลงในคีย์ หรือวางลงในช่องแอปตรวจสอบสิทธิ์ แตะเมื่อได้รับแจ้งและเสร็จสิ้น คนส่วนใหญ่มักจะมี Yu-Bike สองตัวและตัวเลือกการตรวจสอบสิทธิ์สองสามแบบในแต่ละบัญชี ดังนั้นการสูญเสียอุปกรณ์หนึ่งเครื่องจึงไม่ทำให้เข้าใช้งานไม่ได้ คีย์เดียวกันนี้ใช้งานได้กับ Windows, macOS, Linux, Android และ iOS ดังนั้นจึงปกป้องทั้งแล็ปท็อปและโทรศัพท์ของคุณ เริ่มจากอีเมลก่อน จากนั้นตัวจัดการรหัสผ่าน และสุดท้าย Exchange สามอย่างนี้ครอบคลุมความเสี่ยงส่วนใหญ่ของคุณแล้ว
ข้อสำคัญคือ: การสำรองข้อมูลและการกำหนดขีดจำกัดอย่างตรงไปตรงมา
YubiKey ไม่ใช่ของวิเศษ และข้อดีข้อเสียก็คุ้มค่าที่จะรู้ ลงทะเบียนคีย์เพียงอันเดียว หากทำหาย คุณอาจล็อกตัวเองออกจากเครื่องได้ ดังนั้นควรลงทะเบียนคีย์สำรองหรือเก็บรหัสกู้คืนไว้ในที่ปลอดภัยเสมอ ไม่ใช่ทุกบริการที่รองรับคีย์ฮาร์ดแวร์ แต่รายชื่อก็เพิ่มขึ้นทุกปี ยังมีค่าใช้จ่ายเริ่มต้นประมาณ 58 ดอลลาร์ และฮาร์ดแวร์ก็เคยมีข้อบกพร่อง: ข้อบกพร่องในปี 2017 ที่เรียกว่า ROCA และปัญหาของ Infineon ในปี 2024 ซึ่งทั้งสองกรณีจำเป็นต้องเข้าถึงทางกายภาพและได้รับการแก้ไขในเฟิร์มแวร์เวอร์ชันใหม่แล้ว ทั้งหมดนี้เป็นเพียงรายละเอียดปลีกย่อย ไม่ใช่ข้อเสียร้ายแรง ไม่มีข้อใดสำคัญไปกว่าสิ่งสำคัญที่สุด นั่นคือการป้องกันการเข้ายึดบัญชีจากระยะไกลได้อย่างเด็ดขาด
YubiKey คุ้มค่าสำหรับผู้ใช้คริปโตหรือไม่?
สำหรับใครก็ตามที่ถือคริปโตเคอร์เรนซี คำตอบคือใช่เลย YubiKey เป็นการซื้อครั้งเดียวจบ ราคาประมาณ 58 ดอลลาร์สหรัฐฯ บวกกับค่าสำรอง และไม่มีค่าสมัครสมาชิกรายเดือน ลองเปรียบเทียบกับความเสี่ยงจากการสลับซิมหรือการหลอกลวงผ่านหน้าเว็บฟิชชิ่งที่ทำให้บัญชีแลกเปลี่ยนของคุณว่างเปล่า จะเห็นได้ว่าคุ้มค่ากว่ามาก รหัสผ่านและแอปยืนยันตัวตนช่วยเพิ่มความปลอดภัย แต่ YubiKey MFA ยกระดับความปลอดภัยไปอีกขั้น จนผู้โจมตีจากระยะไกลไม่สามารถเข้าถึงได้เลย หากบัญชีออนไลน์ของคุณมีเงินอยู่แม้เพียงบัญชีเดียว นี่คือการประกันภัยที่ถูกที่สุดที่คุณจะซื้อได้
YubiKey เปลี่ยนนิ้วของคุณให้เป็นรหัสผ่าน
ตัดเรื่องโปรโตคอลและหมายเลขรุ่นออกไป สิ่งสำคัญที่สุดอย่างหนึ่งของ YubiKey คือ มันทำให้ส่วนที่แข็งแกร่งที่สุดของการเข้าสู่ระบบของคุณเป็นวัตถุที่จับต้องได้ การหลอกลวงแบบฟิชชิ่งสามารถคัดลอกรหัสผ่านและส่งรหัสได้ แต่ไม่สามารถคัดลอกกุญแจที่อยู่ในกระเป๋าของคุณ หรือปลอมแปลงการแตะนิ้วของคุณได้ นั่นคือเหตุผลทั้งหมดที่มันได้ผลในขณะที่สิ่งอื่น ๆ รั่วไหล ลองติด YubiKey ไว้ที่อีเมลและบัญชี Exchange หลักของคุณในสัปดาห์นี้ และเพิ่มตัวสำรองอีกตัว ดังนั้นคำถามเดียวที่เหลืออยู่คือคำถามเชิงปฏิบัติ: บัญชีใดที่เก็บเงินของคุณอยู่ คุณยังคงปกป้องด้วยรหัสที่คนแปลกหน้าสามารถหลอกลวงได้ในวันนี้?
