Thomas Roche นักวิจัยจาก NinjaLab รายงานช่องโหว่ EUCLEAK ช่องโหว่ของชิปความปลอดภัย (secure element) Infineon SLE78 ที่ใช้งานในกุญแจ YubiKey 5
ช่องโหว่อยู่ที่ กระบวนการเซ็นลายเซ็น ECDSA ที่สามารถสังเกตระยะเวลาตอบกลับเพื่อตรวจสอบถึงค่ากุญแจภายในได้ แม้ว่าจะมีมาตรการสุ่มหยุดทำงานเป็นช่วงๆ แต่ Roche ก็สามารถตรวจพบการหยุดประมวลผลอย่างจงใจได้ไม่ยาก ทำให้แฮกเกอร์ที่มีกุญแจในมือสามารถยิงขอลายเซ็นไปเรื่อยๆ นับล้านครั้ง จนกู้คืนกุญแจออกมาได้
ผลกระทบจากช่องโหว่นี้นอกจากกุญแจ YubiKey แล้ว ชิปรักษาความปลอดภัยที่ใช้ชิป SLE78 ทั้งหมดก็กระทบไปด้วย เช่น สมาร์ตการ์ดในกลุ่ม JavaCard บางรุ่น, ชิป TPM, HSM เก็บกุญแจในเซิร์ฟเวอร์ต่างๆ, หรือชิปรักษาความปลอดภัยในอุปกรณ์ IoT
Red Hat ประกาศรองรับการล็อกอินแบบ Passkey ในระบบปฏิบัติการ Red Hat Enterprise Linux 9.4 เวอร์ชันล่าสุด ถือเป็นระบบปฏิบัติการองค์กรที่รองรับเทคโนโลยีการยืนยันตัวตนยุคใหม่ 3 มิติ ได้แก่
Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท
Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง
Yubico เปิดตัวกุญแจ YubiKey Bio Series กุญแจล็อกอินสองขั้นตอนตามมาตรฐาน FIDO ที่จะตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะล็อกอินมาแล้วก่อนหน้านี้ ล่าสุด Yubico ก็ได้ประกาศเปิดวางจำหน่ายอย่างเป็นทางการแล้ว
Yubico ระบุว่า ตัว YubiKey Bio รองรับทั้ง FIDO2/WebAuthn, U2F และ YubiKey Enterprise โดยภายในตัวกุญแจใช้ three-chip architecture โดยตัวเก็บลายนิ้วมือจะแยกออกจาก secure element เพื่อป้องกันการโจมตีทาง physical ได้ดียิ่งขึ้น
YubiKey Bio Series ปัจจุบันมีให้เลือก 2 แบบ คือ YubiKey Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-A ราคา 80 ดอลลาร์ และ YubiKey C Bio - FIDO Edition สำหรับเสียบกับพอร์ต USB-C ราคา 85 ดอลลาร์
GitHub ประกาศรองรับกุญแจ U2F เมื่อผู้ใช้จัดการ repository ผ่านทาง SSH ทำให้แน่ใจได้ว่าคำสั่งนั้นมาจากผู้ใช้จริง
ตัวโครงการ OpenSSH นั้นรองรับกุญแจ U2F มาตั้งแต่ปีที่แล้ว โดยขณะสร้างคู่กุญแจเพื่อล็อกอิน สามารถเลือกเป็นกุญแจแบบ ecdsa-sk
หรือ ed25519-sk
และผูกเข้ากับกุญแจ U2F ได้ ตอนนี้ทาง GitHub เปิดให้ผู้ใช้สามารถอัพโหลดกุญแจทั้งสองแบบเข้าไปยัง GitHub ได้
เมื่อผู้ใช้เปลี่ยนไปใช้กุญแจ SSH แบบผูกกับกุญแจ U2F แล้วเมื่อทำงานกับเซิร์ฟเวอร์ เช่น การ clone หรือ push ตัวคำสั่ง Git จะขอให้เอานิ้วแตะกุญแจ U2F เพื่อยืนยันความตั้งใจอีกครั้ง แนวทางนี้ทำให้ลดความเสี่ยงที่มัลแวร์จะดึงโค้ดหรือลบโค้ดบนเซิร์ฟเวอร์
Yubico เปิดตัวกุญแจ YubiKey 5C NFC ตัวใหม่ในไลน์ YubiKey 5 ที่เป็นการรวมเอารุ่น YubiKey 5C ที่เป็นหัว USB-C และ YubiKey 5 NFC ที่รองรับ NFC เข้าด้วยกัน
YubiKey 5C NFC รองรับโปรโตคอลยืนยันตัวตนไม่ต่างจาก YubiKey 5 รุ่นอื่น ๆ คือ FIDO2, FIDO, WebAuthn, smart card (PIV) , Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response วางจำหน่ายที่ราคา 55 เหรียญ (ราว 1,700 บาท)
ที่มา - Yubico
Yubico เปิดตัวกุญแจ YubiKey Bio กุญแจล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ที่ตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะยอมล็อกอิน
กุญแจ FIDO ปกติแล้วต้องการให้ผู้ใช้กดปุ่มเพื่อยืนยันการลงทะเบียนกุญแจ หรือล็อกอิน หากผู้ใช้ทำกุญแจหาย ผู้ใช้ต้องรีบล็อกอินไปยังบริการต่างๆ เพื่อยกเลิกการลงทะเบียนกุญแจที่หายไป การใช้งานเดิมของ FIDO นั้นเป็นการใช้งานเพื่อล็อกอินขั้นตอนที่สองหลังจากผู้ใช้ใส่รหัสผ่านทำให้ความเสี่ยงไม่สูงนัก แต่หากเป็นบริการที่ล็อกอินแบบไร้รหัสผ่านเลย การที่กุญแจสูญหายก็จะมีความเสี่ยงสูงขึ้น การที่กุญแจตรวจสอบผู้ใช้อีกครั้งด้วยลายนิ้วมือช่วยให้ความเสี่ยงลดลง
ทาง Yubico ยังไม่เปิดเผยราคาและช่วงเวลาวางจำหน่าย
Yubico ออกแอปใหม่สำหรับผู้ใช้ Windows และ YubiKey ให้สามารถใช้กุญแจเพื่อความปลอดภัยในการล็อกอินเพื่อเข้าใช้งาน Windows สามารถใช้งานได้ทั้ง Windows 7, 8.1 และ 10
Yubico Login for Windows Application ในตอนนี้จะเน้นการใช้งานกับ local user บน Windows (ล็อกอินแบบไม่ใช้ Active Directory หรือ Microsoft Account) และผู้ใช้ที่ยังไม่ได้เปิดใช้งาน Windows Hello, PIN หรือ Picture Password ของ Windows
การที่ Yubico ลงมาทำแอปเองโดยตรง ก็เพื่อให้การล็อคอิน Windows ด้วย YubiKey ใช้งานได้ง่าย และยังทำให้ Yubico ใส่ฟีเจอร์ใหม่ ๆ ในแอปได้ด้วย เช่น ลงทะเบียน YubiKey สำรอง หรือกู้คืนระบบเมื่อทำ YubiKey หาย เป็นต้น
Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ
Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว
อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ
Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019
สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก
Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store
Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano
กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384
สำหรับ YubiKey 5 NFC จะรองรับการยืนยันตัวตนผ่าน NFC ด้วยการแตะกับอุปกรณ์และเสียบกับพอร์ต USB-A, 5 Nano รองรับการเสียบกับพอร์ต USB-A และ 5C กับ 5C Nano รองรับการเสียบกับพอร์ต USB-C โดย YubiKey 5 ขายเริ่มต้นที่ 45 ดอลลาร์หรือราว 1,500 บาท
YubiKey อุปกรณ์ยืนยันตัวตนจาก Yubico ได้เพิ่มฟีเจอร์ใหม่คือการยืนยันตัวตนผ่านระบบ NFC ของ iPhone
ปกติแล้วตัว YubiKey นั้นจะออกแบบไว้ให้ใช้งานกับอุปกรณ์ USB ซึ่งจะยากต่อการใช้งานบนอุปกรณ์พกพาที่ไม่มีพอร์ตเสียบ แต่ช่วงหลังก็เริ่มออก YubiKey NEO ที่รองรับ NFC แล้วก็ทำให้ผู้ใช้เพียงแตะอุปกรณ์เข้ากับสมาร์ทโฟน Android ก็ใช้เพื่อยืนยันตัวตนได้เลยทันที ซึ่งการเพิ่ม iPhone เข้ามาก็จะช่วยอำนวยความสะดวกในการใช้งานฮาร์ดแวร์ในการยืนยันตัวตนให้ใช้งานได้หลากหลายขึ้น
ตอนนี้บริการที่รับ YubiKey และมีแอพบน iPhone ที่รองรับฟีเจอร์นี้แล้วคือ LastPass ส่วนบริการอื่น ๆ น่าจะรองรับฟีเจอร์นี้ผ่านแอพของตัวเองในอนาคตด้วย
Yubico ผู้ผลิตฮาร์ดแวร์ยืนยันตัวตน Yubikey พัฒนาแอพเพื่อให้เชื่อมต่อ Yubikey กับระบบล็อกอิน Windows Hello ของ Windows 10 แล้ว
แอพตัวนี้ช่วยให้การล็อกอิน Windows 10 ง่ายและปลอดภัยขึ้นมาก เพียงแค่เราเสียบ Yubikey ค้างไว้ที่พอร์ต USB ก็สามารถล็อกอิน Windows 10 ได้ทันที การใช้งานมีเพียงแค่ดาวน์โหลดแอพจาก Windows Store แล้วตั้งค่าเชื่อมต่อ Windows Hello กับ Yubikey เท่านั้น
ปัญหาความปลอดภัยพื้นฐานที่สุดที่เราพบกันได้เสมอในทุกวันนี้ไม่ใช่ช่องโหว่ซอฟต์แวร์ที่ต้องอาศัยความรู้ทางเทคนิค แต่ยังคงเป็นการขโมยรหัสผ่านด้วยวิธีการต่างๆ ไม่ว่าจะเป็นผู้ใช้บอกให้ผู้อื่นรับรู้ หรือแม้แต่เก็บรหัสผ่านไว้อย่างไม่ปลอดภัย ไม่ว่าจะเป็นการจดไว้ตามที่ต่างๆ หรือเก็บไว้ในไฟล์ หรือกระทั่งการตั้งรหัสผ่านี่ง่ายมากๆ เช่น "1234" หรือ "password"
Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่
Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง
Dropbox ประกาศรองรับการใช้ USB key เป็นการยืนยันตัวตนสองชั้น (two factors authentication) นอกเหนือจากการใส่รหัส PIN จากมือถือแบบของเดิม วิธีใช้งานคือเสียบ USB key (เป็นอุปกรณ์เฉพาะ คนละอย่างกับไดรฟ์ USB ทั่วไป) ที่ลงทะเบียนไว้กับ Dropbox ค้างไว้ แล้วป้อนรหัสผ่านได้เลย
Dropbox บอกว่าการยืนยันตัวตนด้วยฮาร์ดแวร์นั้นปลอดภัยว่าการป้อน PIN เพราะในบางกรณี เราอาจโดนหลอกให้เข้าหน้าเว็บ Dropbox ปลอม เพื่อแฮ็กเกอร์จะได้รหัส PIN ของเราไปกรอกเข้าเว็บ Dropbox ของจริงอีกทีหนึ่ง แต่ถ้าเป็นการใช้ฮาร์ดแวร์ด้วยก็ไม่สามารถหลอกข้อมูลแบบนี้ได้