Tags:
Node Thumbnail

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

alt="pRQk3u.png"ภาพโดย Cloudflare

อย่างไรก็ตาม อุปสรรคสำคัญของการใช้งานกุญแจฮาร์ดแวร์คือราคา เพราะกุญแจหนึ่งอันมีราคาค่อนข้างสูง หากองค์กรใดจะให้พนักงานทั้งบริษัทใช้งานก็นับเป็นค่าใช้จ่ายก้อนใหญ่ทีเดียว (ยังไม่นับว่าต้องมีคนทำหายอยู่ตลอด) และส่วนใหญ่ยังมองว่าการรับเลข OTP ทาง SMS หรือแอพ Authenticator ก็เพียงพอแล้ว

Cloudflare ซึ่งมีภารกิจที่ต้องการทำอินเทอร์เน็ตให้ปลอดภัย และต้องการลดกำแพงด้านราคานี้ลง จึงร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง เปิดขายกุญแจที่ราคาอันละเพียง 10 ดอลลาร์สหรัฐ หรือราว 380 บาทเท่านั้น จากปกติกุญแจของ Yubico เริ่มต้นที่ 25 ดอลลาร์สหรัฐ (950 บาท) หรือหากเป็นรุ่น YubiKey 5 ที่รองรับโปรโตคอลมากกว่าก็เริ่มต้นที่ 45 ดอลลาร์สหรัฐ (1,700 บาท)

ผู้ใช้ Cloudflare ทุกคนไม่ว่าจะจ่ายเงินหรือไม่ก็ตาม สามารถล็อกอินเข้าไปที่ Cloudflare Dashboard และกดที่แบนเนอร์ด้านบน (หรือกดที่นี่) จากนั้นกด "Claim my offer" แล้วจะได้รับอีเมลจาก Yubico เพื่อสั่งซื้อกุญแจต่อไป ซึ่ง Yubico จะเป็นผู้จัดส่งกุญแจให้โดยตรง ทั้งนี้ยังไม่มีข้อมูลว่ากุญแจที่จำหน่ายในโครงการนี้เป็นรุ่นใด โดยกุญแจที่จำหน่ายมีให้เลือกสองรุ่นคือ

  • YubiKey 5 NFC (เป็นหัว USB-A รองรับการแตะ NFC แทนการเสียบ) อันละ 10 ดอลลาร์สหรัฐ (ราคาเต็ม 45 ดอลลาร์สหรัฐ)
  • YubiKey 5C NFC (เป็นหัว USB-C รองรับการแตะ NFC แทนการเสียบ) อันละ 12.22 ดอลลาร์สหรัฐ (ราคาเต็ม 55 ดอลลาร์สหรัฐ)

ทั้งนี้ ต้องซื้อกุญแจอย่างน้อย 2 อันขึ้นไป และจำกัดคนละ 10 อัน ราคาดังกล่าวยังไม่รวมค่าส่งมาไทยและภาษีนำเข้า (หากมี) หรือหากซื้อในสหรัฐอเมริกาก็ต้องบวกภาษีของแต่ละรัฐด้วย นอกจากนี้อีเมลจาก Yubico ยังระบุว่าสองรุ่นด้านบนเป็นการอัพเกรดให้ในช่วงนี้ (หมดเขตสิ้นปี 2022) แปลว่าหากปีหน้ายังมีโครงการนี้อยู่ อาจได้รุ่นที่ต่ำกว่านี้

alt="pxfhxJ.png"

ฝั่งองค์กรขนาดใหญ่ก็สามารถสั่งซื้อกุญแจราคาพิเศษได้เช่นกัน ผ่านโครงการ YubiEnterprise Subscription รับส่วนลด 50% ในปีแรก หากเป็นสมาชิกอย่างน้อยสามปี และมีผู้ใช้อย่างน้อย 500 คน

Cloudflare ย้ำว่าการใช้กุญแจยืนยันตัวตนนั้นสำคัญมากในการป้องกันการถูกแฮ็ก เพราะ Cloudflare เองก็เป็นหนึ่งในหลายบริษัทที่ถูกโจมตีเมื่อช่วงต้นเดือนสิงหาคม (Twilio โดนแฮ็กสำเร็จ) แต่ Cloudflare ให้พนักงานทุกคนใช้กุญแจ FIDO2 และห้ามใช้รหัส OTP ทำให้ป้องกันการเข้าถึงระบบไว้ได้

ที่มา - Cloudflare

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 29 September 2022 - 22:21 #1263577
hisoft's picture

องค์กรนี้จะภาพลักษณ์ดีไปไหน

By: NoppawanConan
ContributoriPhoneAndroidWindows
on 30 September 2022 - 00:21 #1263590 Reply to:1263577
NoppawanConan's picture

กลัวจะเป็นแบบกูเกิลในอนาคตจัง ทำดีตอนนี้ พอติดตลาดมากๆ ต้องทวงคืนร้อยเท่าพันเท่า


แค่มนุษย์คนนึงที่อยากรู้เกี่ยวกับวงการไอที

By: sMaliHug on 29 September 2022 - 22:38 #1263581

ทำไมผมคิดว่า แบบ HW ไม่ปลอดภัยเท่า แอฟ Authenticator

HW ถ้าหลุดไปสู่คนอื่นก็ดูได้แล้ว แบบ แอฟมีหลายชั้นอีก ต้องปลดล็อคก่อน

แน่นอน แบบ sms ปลอดภัยต่ำที่สุด เพราะเป็นแค่ text แอฟอื่นเข้สถึงได้ กอปข้อความไปได้

อยากให้ แอฟ sms ต้องปลดล็อคก่อนเหมือนกัน

By: hisoft
ContributorWindows PhoneWindows
on 29 September 2022 - 22:50 #1263583 Reply to:1263581
hisoft's picture

แล้วแต่ protocol ด้วยครับ ตัวที่ต้องใส่รหัสของ key อีกชั้นก็มีนะ
ตัว TOTP เองก็เก็บใน Yubikey ได้ด้วย ใส่รหัสแยกกันต่างหากได้อีก

By: zda98
Windows Phone
on 30 September 2022 - 18:55 #1263754 Reply to:1263583

ตอนนี้ที่ผมใช้อยู่มันให้ check กับลายนิ้วมือเราด้วยครับ

By: willwill
ContributorAndroid
on 29 September 2022 - 23:24 #1263587 Reply to:1263581
willwill's picture

ผมไม่แน่ใจว่าคุณ sMaliHug อาจจะคิดถึงแบบ hardware สมัยก่อนที่เป็นหน้าจอแล้วมีรหัสเปลี่ยนไปเรื่อยๆ หรือเปล่านะครับ U2F เดี๋ยวนี้ไม่มีหน้าจอแล้วครับ เวลาใช้ก็คือกรอก username password ในคอมแล้วแตะที่ key ทีนึงก็เข้าได้เลย ซึ่งถ้าทำตกหายไป คนไม่รู้ username ได้ไปก็ทำอะไรไม่ได้นอกจากเอาไปผูกกับไอดีตัวเอง

ปัญหาของแบบแอพคือถ้าเราทำเว็บ phishing เกิด user มองไม่ออกว่าเป็น phishing แล้วใส่รหัสจากแอพ/กด Yes ให้ (หรือตั้งใจขายไอดีให้โจรและบอกรหัส OTP ด้วย) ก็เท่ากับว่าโจรเอารหัสนั้นไป replay บนเว็บจริงได้ทันที ในขณะที่แบบ hardware นั้นเวลาแตะแล้วมันจะส่ง signature ให้ browser ตาม domain ที่ browser เปิดอยู่ ทำให้ไม่สามารถเอาไป replay บนเว็บจริงได้จึงไม่สามารถที่จะ phishing ได้ หรือถ้าจะขาย ID ก็ต้องเอา key ส่งให้ด้วยหรือลงทะเบียน key ของ attacker เข้ามา

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 September 2022 - 00:36 #1263592 Reply to:1263581
lew's picture

ขึ้นกับว่ามองภัยอันไหนครับ ถ้าภัยคือคนร้ายมาขโมยกระเป๋าตังค์ออกไปได้ก็ใช่ครับ Authenticator ในโทรศัพท์ที่ล็อกไว้ก็ปลอดภัยกว่า

แต่ในโลกความเป็นจริง มีเคสคนร้ายมาขโมยกุญแจถึงตัวน้อยมากๆ (ผมยังไม่เคยได้ยินข่าว ใครจะทำ? CIA?) กุญแจหายไปจริงๆ ส่วนมากก็ revoke แล้ว enroll กุญแจใหม่ ตรวจสอบได้ว่าใช้กุญแจไหนตอนไหน

ภัยที่เราเจอทุกวันทุกองค์กร จำนวนมากคือเว็บปลอม phishing ซึ่งกุญแจ FIDO ขจัดได้หมด เรียกว่าแทบหมดยังเรียกไม่ได้ จะ phishing กับ FIDO ได้ต้องลงเบราว์เซอร์ปลอมในเครื่องเหยื่อได้ด้วย

ถ้าเชื่อว่าตาไวพอ มอง URL แม่นทุกรอบไม่มีใครส่ง link หลอกได้ก็อาจจะพอพูดได้ว่าแอป Authenticator ปลอดภัยกว่า แต่ในระดับองค์กรคนเป็นร้อยเป็นพันนี่ไม่สามารถพูดแบบนั้นได้แน่ๆ

พวก login approve ผ่าน app ก็เหมือนกัน ช่วงหลังโดนยิง noti แล้วพนักงานเผลอกดกันมาหลายรายแล้ว


lewcpe.com, @wasonliw

By: OXYGEN2
ContributoriPhoneAndroidWindows
on 30 September 2022 - 04:32 #1263602 Reply to:1263581
OXYGEN2's picture

ผมใช้รุ่นใหม่ๆ อยู่ เวลาเสียบครั้งแรกมันให้ตั้ง PIN ครับ และตอนใช้ (เสียบใหม่) ต้องใส่ PIN ก่อน 1 รอบครับ

ส่วนรุ่นเก่าๆ ใช้มาตั้งแต่ปี 15-16 ไม่ต้องใส่ PIN ครับ


oxygen2.me, panithi's blog

Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6

By: sMaliHug on 30 September 2022 - 07:48 #1263614 Reply to:1263581

ผมนึกถึง HW ที่ใช้เป็น OTP สมัยก่อนจริงๆครับ แบบมีตัวเลขวิ่งเหมือน Authenticators และใช้งานเหมือนกัน ต่างกันแต่เป็นแอฟกับHW

ความเสี่ยงจากภายใน จากคนใกล้ตัวก็มีนะครับ

หลายระบบสามารถ Reset password ผ่านการพิสูจน์ตัวตนด้วย OTP

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 September 2022 - 09:54 #1263639 Reply to:1263614
lew's picture

ความเสี่ยงคนใกล้ตัวต้องโจมตีสองจังหวะอยู่ดีครับ ขโมยรหัส+ขโมยกุญแจ ถ้าใช้ phishing จะเหลือจังหวะเดียว


lewcpe.com, @wasonliw

By: rattananen
AndroidWindows
on 30 September 2022 - 12:27 #1263645 Reply to:1263581

เวลา Password/OTP มันหลุดเพราะว่ามันมีการส่ง password/OTP ระหว่าง authentication ครับ
ทำให้คนร้ายเจาะ server, XSS, phishing อะไรสักอย่างเอา password/OTP ไปได้ครับ

แต่ authentication แบบ Hardware จะใช้ Asymmetric key (public/private key pair)
วิธีนี้ไม่มีการส่ง key ขณะ authentication แต่จะเก็บ public key (ใช้ decode ได้อย่างเดียว) ไว้ที่ server แต่แรก
เวลา authentication server แค่ส่ง data (code challenge) อะไรสักอย่างให้เราใช้ private key (ใช้ decode/encode /create public key) ในHardware encode แล้วส่งกลับไปที่ server
server ก็ใช้ public key decode ถ้า data ยังเหมือนตอนที่ส่งไปให้แสดงว่า verify ผ่าน

คือต่อให้ hacker เจาะระบบเอา code challenge ระหว่าง authentication หรือเจาะ server เอา public key ไปก็ทำอะไรไม่ได้ ถ้าไม่มี private key

ทำให้วิธีนี้ทนทานต่อการ hack บน NETWORK มากกว่าวิธีอื่นครับ

ส่วนจะรักษา private key ยังไง ก็ว่ากันอีกที

By: xlightman
iPhoneAndroidWindows
on 30 September 2022 - 02:18 #1263599
xlightman's picture

ได้รับเมล์ละครับ ได้เป็นรุ่น 5 NFC / 5C NFC ครับ

You are now eligible to purchase up to 10 individual YubiKey 5 NFC or YubiKey 5C NFC (minimum 2) starting as low as $10 USD.

By: BlackMiracle
WriterAndroidUbuntuWindows
on 30 September 2022 - 09:16 #1263625 Reply to:1263599

ขอบคุณครับ ได้รับเมลแล้วเหมือนกัน อัพเดตเนื้อหาข่าวแล้วครับ


Pitawat's Blog :: บล็อกผมเองครับ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 30 September 2022 - 09:25 #1263629 Reply to:1263599
osmiumwo1f's picture

ถ้าจะรบกวนขอส่วนบุญส่วนกุศลส่วนลดนี่ จะต้องทำอะไรบ้างครับ

By: xlightman
iPhoneAndroidWindows
on 30 September 2022 - 09:51 #1263637 Reply to:1263629
xlightman's picture

ไม่ทันแล้วคร้าบบ พอดีผมสั่งไปแล้วครับ

เข้าใจว่าหากมี account Cloudflare แล้วกดลิงก์ขอรับสิทธิ์ในเนื้อข่าว ก็น่าจะได้เหมือนกันหมดนนะครับ

แต่ไม่รู้ท่านอื่นถูกจำกัดจำนวนเหมือนหันหรือเปล่า ของผมได้สูงสุด 10 ชิ้น (รวมทั้งสองรุ่น) ครับ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 30 September 2022 - 09:56 #1263640 Reply to:1263637
osmiumwo1f's picture

(╯‵□′)╯︵┻━┻

By: whitebigbird
Contributor
on 30 September 2022 - 12:05 #1263685 Reply to:1263640
whitebigbird's picture

โอ๋ โอ๋

By: PH41
ContributorAndroidUbuntuWindows
on 30 September 2022 - 06:28 #1263609
PH41's picture

หลังหัก เพิ่งสั่งมาเมื่อ 14Aug

5 NFC 45USD
5 Nano 50USD
5C Nano 60USD
5C NFC 55USD

โดนศุลกากร กับค่าดำเนินการ DHL อีก

By: dsn10498
ContributorAndroidWindows
on 30 September 2022 - 09:40 #1263634

ผมได้โค้ดส่วนลดมาแล้วครับ รองรับเฉพาะ
You are now eligible to purchase up to 10 individual YubiKey 5 NFC or YubiKey 5C NFC (minimum 2) starting as low as $10 USD.


Nobody Perfect in the world

By: exboy
iPhoneAndroidWindows
on 30 September 2022 - 10:18 #1263647
exboy's picture

ต้องซื้อ 2 ชิ้น เป็น 20USD แต่ค่าส่ง 30USD 😅

By: LagSeeN
ContributorWindows PhoneWindows
on 30 September 2022 - 10:59 #1263657 Reply to:1263647
LagSeeN's picture

ค่าส่งสมัยก่อน 5USD เอง 😢

By: Architec
ContributorWindows PhoneAndroidWindows
on 30 September 2022 - 11:17 #1263666 Reply to:1263647

ผมดองในตะกร้านะแต่เห็นขึ้นค่าส่ง $0

ว่าแต่ขึ้น $30 ตอนไหนครับ

By: BlackMiracle
WriterAndroidUbuntuWindows
on 30 September 2022 - 11:24 #1263673 Reply to:1263666

ขึ้น $30 ตอนใส่ที่อยู่ครับ ส่วนภาษีนำเข้าไม่ทราบว่าจะโดนรึเปล่า เห็นคอมเมนต์นี้บอกว่าโดน


Pitawat's Blog :: บล็อกผมเองครับ

By: osmiumwo1f
ContributorWindows PhoneWindows
on 30 September 2022 - 15:59 #1263728 Reply to:1263673
osmiumwo1f's picture

โดนภาษีเพราะส่งผ่าน DHL และจำได้ว่าเค้าจะสำแดงทุกชิ้นที่ผ่านมือเค้าครับ

By: zda98
Windows Phone
on 5 October 2022 - 23:37 #1264225 Reply to:1263728

ผมก็โดนไป 16.34 รวมๆแล้วก็ 66.34 USD ราวๆ 2,554.09 บาท

By: wegang
ContributorAndroid
on 30 September 2022 - 11:05 #1263660
wegang's picture

ราคามิตรภาพ แต่ค่าส่งโหดมาก

By: GyG on 30 September 2022 - 11:45 #1263668
GyG's picture

หาวิธีประหยัดได้ละ
โชคดี มีเพื่อนอยู่สิงคโปรจะกลับไทยเดือนหน้า
โดนค่าส่งแต่ $5 เองครับ ชิ้นเล็กหิ้วกลับไทยสบาย

By: iDan
ContributorAndroidSUSEUbuntu
on 4 October 2022 - 17:32 #1263681

ค่าส่งโหดมาไทยมาก!! 30 ดอลล่าร์!! แต่เอ... เรามีล็อคเกอร์ส่งของกลับไทยนี่น่าาาาาาา

No Description

โห.... ประหยัดเยอะ...

By: mr_tawan
ContributoriPhoneAndroidWindows
on 30 September 2022 - 21:33 #1263766
mr_tawan's picture

ว่าแต่ถ้าใช้แล้ว เรายังต้องมี password manager อยู่หรือเปล่าครับ แล้วพวกไปไหนมาไหนนี่มันเกะกะไหมนะ (ฮา)

ผมรู้สึกว่าถ้าต้องย้ายคีย์พวกนี้ติดตัวไปไหนมาไหนมันรู้สึกลำบากน่ะครับ ถ้าใช้คงใช้กับเรื่องงานอย่างเดียวมั้ง (และคงให้บริษัทจ่ายในกรณีนี้)


  • 9tawan.net บล็อกส่วนตัวฮับ
By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 30 September 2022 - 21:59 #1263767 Reply to:1263766
Ford AntiTrust's picture

เรียกว่าคนละส่วนครับ security key มันแค่มาแทน TOTP/MFA แม้จะมีบางระบบสามารถ implement ให้แทนรหัสผ่านได้ แต่ส่วนใหญ่มักเป็น MFA มากกว่า

By: Kazu
iPhoneWindows PhoneAndroidUbuntu
on 30 September 2022 - 22:26 #1263769 Reply to:1263766

ตัวคีย์ทนพอสมควรเลยครับ ผมใส่กับพวงกุจแจบ้าน ใช้มาหลายปีก็ยังไม่พัง
ส่วนพวกคีย์ที่สำคัญๆ อย่างพวกที่ใช้ถอนเงินออกจากพอร์ทอะไรพวกนี้ ผมเก็บไว้ที่บ้าน

By: GeBaN on 30 September 2022 - 23:17 #1263770

ใครสั่งบ้างครับ อยากพ่วงด้วย ไว้หารค่าส่งกับภาษีกัน O-o

By: psks
Windows Phone
on 1 October 2022 - 00:06 #1263773 Reply to:1263770
psks's picture

นั่นสิครับอยากสั่งบ้าง แต่เจอค่าส่งมีร้อง

By: hackyhack on 1 October 2022 - 14:57 #1263796 Reply to:1263770

สนใจเหมือนกันครับ

By: LagSeeN
ContributorWindows PhoneWindows
on 1 October 2022 - 20:29 #1263814 Reply to:1263770
LagSeeN's picture

รวมตัวกันไหม จะได้ถูก ๆ

By: sunmoon on 3 October 2022 - 07:45 #1263871 Reply to:1263770

ใครสั่งบ้าง ขอร่วมตี้ด้วยคร้บ

By: Virusfowl
ContributorAndroidSymbianWindows
on 3 October 2022 - 05:33 #1263870

ใครตั้งตี้ขอเข้าด้วยคนครับ..


@ Virusfowl

I'm not a dev. not yet a user.

By: zda98
Windows Phone
on 5 October 2022 - 23:30 #1264223

สั่งไปแล้วผมว่า ถูกนะครับ 2,554.09 ได้ 2 อัน รอบก่อนผมซื้อ อันล่ะ 1700