Chrome หยุดซัพพอร์ต U2F API รุ่นเดิม ย้ายไป WebAuthn เพื่อล็อกอินด้วย USB Key

By mk

on 15 January 2022 - 14:16 Tag: U2F, Chrome, Security, Authentication, FIDO

U2F

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

ในฐานะเบราว์เซอร์ของกูเกิล Chrome รองรับ U2F API มาตั้งแต่เวอร์ชัน 38 และภายหลังก็รองรับ WebAuthn เพิ่มตามมาในเวอร์ชัน 67 แต่หลังจากรองรับ API ทั้งสองตัวคู่กันมาสักระยะหนึ่ง ก็ได้เวลาที่ Chrome จะหยุดสนับสนุน U2F API ใน Chrome 98 ที่จะออกเดือนกุมภาพันธ์ 2022

กูเกิลประกาศข่าวนี้ตั้งแต่กลางปี 2021 โดยนักพัฒนาเว็บไซต์ที่รองรับเฉพาะ U2F API จำเป็นต้องปรับโค้ดมาใช้ WebAuthn แทน (ซึ่งเปลี่ยนแปลงไม่เยอะนัก) ส่วนผู้ใช้ก็สามารถใช้ USB key อันเดิมล็อกอินได้เลย (ฮาร์ดแวร์ไม่ได้ล้าสมัย เลิกใช้เฉพาะตัว API ของเดิม)

ที่มา - The New Stack

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

รอว่าเมื่อไหร่จะเป็นที่แพร่หล

Rapier Sun, 16/01/2022 - 01:22

รอว่าเมื่อไหร่จะเป็นที่แพร่หลายเหมือน Flash Drive แบบทุกวันนี้ที่หาซื้อได้ง่ายและราคาไม่แพง

ราคาตอนนี้ไม่แพงแล้วครับ

OXYGEN2 Sun, 16/01/2022 - 07:47

ราคาตอนนี้ไม่แพงแล้วครับ ผมซื้ออันละ 990 บาท จาก Lazada ยี่ห้อ Thetis

ส่วนตัวผมก็ยังรู้สึกว่าเกือบพ

Rapier Sun, 16/01/2022 - 21:16

ส่วนตัวผมก็ยังรู้สึกว่าเกือบพันก็ยังแพงอยู่ดีอ่ะครับ อยากให้ราคาต่ำกว่า 500
อาจจะเพราะเห็นตัวจริงมันดูเป็นพลาสติกและก็เบาด้วย

มันอาจจะดูเป็น H/W โง่ๆ

Ford AntiTrust Sun, 16/01/2022 - 22:53

มันอาจจะดูเป็น H/W โง่ๆ แต่จริงๆ แล้วมันถูกออกแบบมาให้ทนทานสูง และป้องกันการโดน hack จากกระบวนการทางกายภาพด้วย ยิ่ง key ที่เป็นไปตามมาตราฐาน FIPS ยิ่งแพงหนักเข้าไปอีก

+1

sukjai Sun, 16/01/2022 - 05:53

จะซื้อ yubico

checkmate95 Sun, 16/01/2022 - 12:30

จะซื้อ yubico มาใช้แต่เห็นราคาแล้ว เอิ่มม ยอมเปิด authy ในมือถือก่อนละกัน ขนาดพี่แกเป็นคนผลักดันนะ แต่ login google account ยังต้องใช้ email กับ password อยู่ ใช้ security key แทนเหมือน ms account ได้เมื่อไหร่ค่อยคิดอีกที

เอ่อขอถามแบบคนไม่รู้และไม่เคย

olo Sun, 16/01/2022 - 12:58

เอ่อขอถามแบบคนไม่รู้และไม่เคยใช้หน่อยนะครับ
แล้ว USB Key หรือ YubiKey 1 อันนี่ สามารถเก็บหรือใช้ยืนยันได้กี่บัญชีครับ
หรือว่าไม่เกี่ยวกับรหัสผ่านบัญชีใดๆ จะเว็บไหน รหัสอะไร กี่เว็บก็ได้
เว็บหรือระบบมันจะตรวจสอบว่าบัญชีหรือรหัสผ่านนั้น ตรงกับรหัสตัว USB Key ที่ใช้เสียบตอนตั้งค่า 2FA หรือเปล่าแค่นั้นครับ

เก็บกี่อันก็ได้ครับ

LagSeeN Sun, 16/01/2022 - 13:28

เก็บกี่อันก็ได้ครับ เพราะตัวเว็บจะเป็นคนจำตัว key เองไม่ใช่ USB key จำบัญชีของเรา

ถ้าเกิดว่าใช้ key เดียวกับ 2

i3i4i5 Sun, 16/01/2022 - 21:36

ถ้าเกิดว่าใช้ key เดียวกับ 2 บัญชี ตัวเว็บจะรู้หรือเปล่าครับ ว่าเป็นทั้ง 2 แชร์ key กัน (เช่นจาก "Key ID"?)

อ้างอิงจาก https://developers

Ford AntiTrust Sun, 16/01/2022 - 23:01

อ้างอิงจาก https://developers.yubico.com/U2F/Protocol_details/Overview.html

คำตอบคือ "ไม่รู้" เพราะการจะได้ public key ต้องผ่าน key pair อีกชั้นหนึ่งโดยใช้ตัวแปรอีกหลายตัวแปรก่อนจะได้ public key มาเก็บ

ทางเทคนิคมาเลย ขอบคุณครับ

i3i4i5 Mon, 17/01/2022 - 11:04

ทางเทคนิคมาเลย ขอบคุณครับ

https://youtu.be/dDZNDVO5EFQ

rattananen Mon, 17/01/2022 - 12:41

https://youtu.be/dDZNDVO5EFQ?t=1561 วิธีการทำงานของ Asymmetric key
private key => ใช้ encode, export public key
public key => ใช้ decode

ส่วนการ implement ก็ reply บน

มันปลอดภัยกว่า password ตรงมันหลุดยากครับ ดูตาม flow reply บน
คือไม่มี flow ตรงที่เราส่ง private key ให้ใครเลย

ส่วนคนมี public key ทำได้แค่เอาไป verify signature
และ decode data ที่เขาส่งให้ว่ามันยังเหมือนเดิมหรือไม่เท่านั้น

How many accounts can I register my YubiKey with?