By: BlackMiracle 
on 29 September 2022 - 21:16
Tags:
Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท
Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง
ภาพโดย Cloudflare
อย่างไรก็ตาม อุปสรรคสำคัญของการใช้งานกุญแจฮาร์ดแวร์คือราคา เพราะกุญแจหนึ่งอันมีราคาค่อนข้างสูง หากองค์กรใดจะให้พนักงานทั้งบริษัทใช้งานก็นับเป็นค่าใช้จ่ายก้อนใหญ่ทีเดียว (ยังไม่นับว่าต้องมีคนทำหายอยู่ตลอด) และส่วนใหญ่ยังมองว่าการรับเลข OTP ทาง SMS หรือแอพ Authenticator ก็เพียงพอแล้ว
Cloudflare ซึ่งมีภารกิจที่ต้องการทำอินเทอร์เน็ตให้ปลอดภัย และต้องการลดกำแพงด้านราคานี้ลง จึงร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง เปิดขายกุญแจที่ราคาอันละเพียง 10 ดอลลาร์สหรัฐ หรือราว 380 บาทเท่านั้น จากปกติกุญแจของ Yubico เริ่มต้นที่ 25 ดอลลาร์สหรัฐ (950 บาท) หรือหากเป็นรุ่น YubiKey 5 ที่รองรับโปรโตคอลมากกว่าก็เริ่มต้นที่ 45 ดอลลาร์สหรัฐ (1,700 บาท)
ผู้ใช้ Cloudflare ทุกคนไม่ว่าจะจ่ายเงินหรือไม่ก็ตาม สามารถล็อกอินเข้าไปที่ Cloudflare Dashboard และกดที่แบนเนอร์ด้านบน (หรือกดที่นี่) จากนั้นกด "Claim my offer" แล้วจะได้รับอีเมลจาก Yubico เพื่อสั่งซื้อกุญแจต่อไป ซึ่ง Yubico จะเป็นผู้จัดส่งกุญแจให้โดยตรง ทั้งนี้ยังไม่มีข้อมูลว่ากุญแจที่จำหน่ายในโครงการนี้เป็นรุ่นใด โดยกุญแจที่จำหน่ายมีให้เลือกสองรุ่นคือ
- YubiKey 5 NFC (เป็นหัว USB-A รองรับการแตะ NFC แทนการเสียบ) อันละ 10 ดอลลาร์สหรัฐ (ราคาเต็ม 45 ดอลลาร์สหรัฐ)
- YubiKey 5C NFC (เป็นหัว USB-C รองรับการแตะ NFC แทนการเสียบ) อันละ 12.22 ดอลลาร์สหรัฐ (ราคาเต็ม 55 ดอลลาร์สหรัฐ)
ทั้งนี้ ต้องซื้อกุญแจอย่างน้อย 2 อันขึ้นไป และจำกัดคนละ 10 อัน ราคาดังกล่าวยังไม่รวมค่าส่งมาไทยและภาษีนำเข้า (หากมี) หรือหากซื้อในสหรัฐอเมริกาก็ต้องบวกภาษีของแต่ละรัฐด้วย นอกจากนี้อีเมลจาก Yubico ยังระบุว่าสองรุ่นด้านบนเป็นการอัพเกรดให้ในช่วงนี้ (หมดเขตสิ้นปี 2022) แปลว่าหากปีหน้ายังมีโครงการนี้อยู่ อาจได้รุ่นที่ต่ำกว่านี้
ฝั่งองค์กรขนาดใหญ่ก็สามารถสั่งซื้อกุญแจราคาพิเศษได้เช่นกัน ผ่านโครงการ YubiEnterprise Subscription รับส่วนลด 50% ในปีแรก หากเป็นสมาชิกอย่างน้อยสามปี และมีผู้ใช้อย่างน้อย 500 คน
Cloudflare ย้ำว่าการใช้กุญแจยืนยันตัวตนนั้นสำคัญมากในการป้องกันการถูกแฮ็ก เพราะ Cloudflare เองก็เป็นหนึ่งในหลายบริษัทที่ถูกโจมตีเมื่อช่วงต้นเดือนสิงหาคม (Twilio โดนแฮ็กสำเร็จ) แต่ Cloudflare ให้พนักงานทุกคนใช้กุญแจ FIDO2 และห้ามใช้รหัส OTP ทำให้ป้องกันการเข้าถึงระบบไว้ได้
ที่มา - Cloudflare
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
องค์กรนี้จะภาพลักษณ์ดีไปไหน
กลัวจะเป็นแบบกูเกิลในอนาคตจัง ทำดีตอนนี้ พอติดตลาดมากๆ ต้องทวงคืนร้อยเท่าพันเท่า
แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที
ทำไมผมคิดว่า แบบ HW ไม่ปลอดภัยเท่า แอฟ Authenticator
HW ถ้าหลุดไปสู่คนอื่นก็ดูได้แล้ว แบบ แอฟมีหลายชั้นอีก ต้องปลดล็อคก่อน
แน่นอน แบบ sms ปลอดภัยต่ำที่สุด เพราะเป็นแค่ text แอฟอื่นเข้สถึงได้ กอปข้อความไปได้
อยากให้ แอฟ sms ต้องปลดล็อคก่อนเหมือนกัน
แล้วแต่ protocol ด้วยครับ ตัวที่ต้องใส่รหัสของ key อีกชั้นก็มีนะ
ตัว TOTP เองก็เก็บใน Yubikey ได้ด้วย ใส่รหัสแยกกันต่างหากได้อีก
ตอนนี้ที่ผมใช้อยู่มันให้ check กับลายนิ้วมือเราด้วยครับ
ผมไม่แน่ใจว่าคุณ sMaliHug อาจจะคิดถึงแบบ hardware สมัยก่อนที่เป็นหน้าจอแล้วมีรหัสเปลี่ยนไปเรื่อยๆ หรือเปล่านะครับ U2F เดี๋ยวนี้ไม่มีหน้าจอแล้วครับ เวลาใช้ก็คือกรอก username password ในคอมแล้วแตะที่ key ทีนึงก็เข้าได้เลย ซึ่งถ้าทำตกหายไป คนไม่รู้ username ได้ไปก็ทำอะไรไม่ได้นอกจากเอาไปผูกกับไอดีตัวเอง
ปัญหาของแบบแอพคือถ้าเราทำเว็บ phishing เกิด user มองไม่ออกว่าเป็น phishing แล้วใส่รหัสจากแอพ/กด Yes ให้ (หรือตั้งใจขายไอดีให้โจรและบอกรหัส OTP ด้วย) ก็เท่ากับว่าโจรเอารหัสนั้นไป replay บนเว็บจริงได้ทันที ในขณะที่แบบ hardware นั้นเวลาแตะแล้วมันจะส่ง signature ให้ browser ตาม domain ที่ browser เปิดอยู่ ทำให้ไม่สามารถเอาไป replay บนเว็บจริงได้จึงไม่สามารถที่จะ phishing ได้ หรือถ้าจะขาย ID ก็ต้องเอา key ส่งให้ด้วยหรือลงทะเบียน key ของ attacker เข้ามา
ขึ้นกับว่ามองภัยอันไหนครับ ถ้าภัยคือคนร้ายมาขโมยกระเป๋าตังค์ออกไปได้ก็ใช่ครับ Authenticator ในโทรศัพท์ที่ล็อกไว้ก็ปลอดภัยกว่า
แต่ในโลกความเป็นจริง มีเคสคนร้ายมาขโมยกุญแจถึงตัวน้อยมากๆ (ผมยังไม่เคยได้ยินข่าว ใครจะทำ? CIA?) กุญแจหายไปจริงๆ ส่วนมากก็ revoke แล้ว enroll กุญแจใหม่ ตรวจสอบได้ว่าใช้กุญแจไหนตอนไหน
ภัยที่เราเจอทุกวันทุกองค์กร จำนวนมากคือเว็บปลอม phishing ซึ่งกุญแจ FIDO ขจัดได้หมด เรียกว่าแทบหมดยังเรียกไม่ได้ จะ phishing กับ FIDO ได้ต้องลงเบราว์เซอร์ปลอมในเครื่องเหยื่อได้ด้วย
ถ้าเชื่อว่าตาไวพอ มอง URL แม่นทุกรอบไม่มีใครส่ง link หลอกได้ก็อาจจะพอพูดได้ว่าแอป Authenticator ปลอดภัยกว่า แต่ในระดับองค์กรคนเป็นร้อยเป็นพันนี่ไม่สามารถพูดแบบนั้นได้แน่ๆ
พวก login approve ผ่าน app ก็เหมือนกัน ช่วงหลังโดนยิง noti แล้วพนักงานเผลอกดกันมาหลายรายแล้ว
lewcpe.com, @wasonliw
ผมใช้รุ่นใหม่ๆ อยู่ เวลาเสียบครั้งแรกมันให้ตั้ง PIN ครับ และตอนใช้ (เสียบใหม่) ต้องใส่ PIN ก่อน 1 รอบครับ
ส่วนรุ่นเก่าๆ ใช้มาตั้งแต่ปี 15-16 ไม่ต้องใส่ PIN ครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
ผมนึกถึง HW ที่ใช้เป็น OTP สมัยก่อนจริงๆครับ แบบมีตัวเลขวิ่งเหมือน Authenticators และใช้งานเหมือนกัน ต่างกันแต่เป็นแอฟกับHW
ความเสี่ยงจากภายใน จากคนใกล้ตัวก็มีนะครับ
หลายระบบสามารถ Reset password ผ่านการพิสูจน์ตัวตนด้วย OTP
ความเสี่ยงคนใกล้ตัวต้องโจมตีสองจังหวะอยู่ดีครับ ขโมยรหัส+ขโมยกุญแจ ถ้าใช้ phishing จะเหลือจังหวะเดียว
lewcpe.com, @wasonliw
เวลา Password/OTP มันหลุดเพราะว่ามันมีการส่ง password/OTP ระหว่าง authentication ครับ
ทำให้คนร้ายเจาะ server, XSS, phishing อะไรสักอย่างเอา password/OTP ไปได้ครับ
แต่ authentication แบบ Hardware จะใช้ Asymmetric key (public/private key pair)
วิธีนี้ไม่มีการส่ง key ขณะ authentication แต่จะเก็บ public key (ใช้ decode ได้อย่างเดียว) ไว้ที่ server แต่แรก
เวลา authentication server แค่ส่ง data (code challenge) อะไรสักอย่างให้เราใช้ private key (ใช้ decode/encode /create public key) ในHardware encode แล้วส่งกลับไปที่ server
server ก็ใช้ public key decode ถ้า data ยังเหมือนตอนที่ส่งไปให้แสดงว่า verify ผ่าน
คือต่อให้ hacker เจาะระบบเอา code challenge ระหว่าง authentication หรือเจาะ server เอา public key ไปก็ทำอะไรไม่ได้ ถ้าไม่มี private key
ทำให้วิธีนี้ทนทานต่อการ hack บน NETWORK มากกว่าวิธีอื่นครับ
ส่วนจะรักษา private key ยังไง ก็ว่ากันอีกที
ได้รับเมล์ละครับ ได้เป็นรุ่น 5 NFC / 5C NFC ครับ
You are now eligible to purchase up to 10 individual YubiKey 5 NFC or YubiKey 5C NFC (minimum 2) starting as low as $10 USD.
ขอบคุณครับ ได้รับเมลแล้วเหมือนกัน อัพเดตเนื้อหาข่าวแล้วครับ
Pitawat's Blog :: บล็อกผมเองครับ
ถ้าจะรบกวนขอส่วนบุญส่วนกุศลส่วนลดนี่ จะต้องทำอะไรบ้างครับ
ไม่ทันแล้วคร้าบบ พอดีผมสั่งไปแล้วครับ
เข้าใจว่าหากมี account Cloudflare แล้วกดลิงก์ขอรับสิทธิ์ในเนื้อข่าว ก็น่าจะได้เหมือนกันหมดนนะครับ
แต่ไม่รู้ท่านอื่นถูกจำกัดจำนวนเหมือนหันหรือเปล่า ของผมได้สูงสุด 10 ชิ้น (รวมทั้งสองรุ่น) ครับ
(╯‵□′)╯︵┻━┻
โอ๋ โอ๋
หลังหัก เพิ่งสั่งมาเมื่อ 14Aug
5 NFC 45USD
5 Nano 50USD
5C Nano 60USD
5C NFC 55USD
โดนศุลกากร กับค่าดำเนินการ DHL อีก
ผมได้โค้ดส่วนลดมาแล้วครับ รองรับเฉพาะ
You are now eligible to purchase up to 10 individual YubiKey 5 NFC or YubiKey 5C NFC (minimum 2) starting as low as $10 USD.
Nobody Perfect in the world
ต้องซื้อ 2 ชิ้น เป็น 20USD แต่ค่าส่ง 30USD 😅
ค่าส่งสมัยก่อน 5USD เอง 😢
ผมดองในตะกร้านะแต่เห็นขึ้นค่าส่ง $0
ว่าแต่ขึ้น $30 ตอนไหนครับ
ขึ้น $30 ตอนใส่ที่อยู่ครับ ส่วนภาษีนำเข้าไม่ทราบว่าจะโดนรึเปล่า เห็นคอมเมนต์นี้บอกว่าโดน
Pitawat's Blog :: บล็อกผมเองครับ
โดนภาษีเพราะส่งผ่าน DHL และจำได้ว่าเค้าจะสำแดงทุกชิ้นที่ผ่านมือเค้าครับ
ผมก็โดนไป 16.34 รวมๆแล้วก็ 66.34 USD ราวๆ 2,554.09 บาท
ราคามิตรภาพ แต่ค่าส่งโหดมาก
หาวิธีประหยัดได้ละ
โชคดี มีเพื่อนอยู่สิงคโปรจะกลับไทยเดือนหน้า
โดนค่าส่งแต่ $5 เองครับ ชิ้นเล็กหิ้วกลับไทยสบาย
ค่าส่งโหดมาไทยมาก!! 30 ดอลล่าร์!! แต่เอ... เรามีล็อคเกอร์ส่งของกลับไทยนี่น่าาาาาาา
โห.... ประหยัดเยอะ...
ว่าแต่ถ้าใช้แล้ว เรายังต้องมี password manager อยู่หรือเปล่าครับ แล้วพวกไปไหนมาไหนนี่มันเกะกะไหมนะ (ฮา)
ผมรู้สึกว่าถ้าต้องย้ายคีย์พวกนี้ติดตัวไปไหนมาไหนมันรู้สึกลำบากน่ะครับ ถ้าใช้คงใช้กับเรื่องงานอย่างเดียวมั้ง (และคงให้บริษัทจ่ายในกรณีนี้)
เรียกว่าคนละส่วนครับ security key มันแค่มาแทน TOTP/MFA แม้จะมีบางระบบสามารถ implement ให้แทนรหัสผ่านได้ แต่ส่วนใหญ่มักเป็น MFA มากกว่า
ตัวคีย์ทนพอสมควรเลยครับ ผมใส่กับพวงกุจแจบ้าน ใช้มาหลายปีก็ยังไม่พัง
ส่วนพวกคีย์ที่สำคัญๆ อย่างพวกที่ใช้ถอนเงินออกจากพอร์ทอะไรพวกนี้ ผมเก็บไว้ที่บ้าน
ใครสั่งบ้างครับ อยากพ่วงด้วย ไว้หารค่าส่งกับภาษีกัน O-o
นั่นสิครับอยากสั่งบ้าง แต่เจอค่าส่งมีร้อง
สนใจเหมือนกันครับ
รวมตัวกันไหม จะได้ถูก ๆ
ใครสั่งบ้าง ขอร่วมตี้ด้วยคร้บ
ใครตั้งตี้ขอเข้าด้วยคนครับ..
@ Virusfowl
I'm not a dev. not yet a user.
สั่งไปแล้วผมว่า ถูกนะครับ 2,554.09 ได้ 2 อัน รอบก่อนผมซื้อ อันล่ะ 1700