Cloudflare ร่วมกับ Yubico ขายกุญแจ YubiKey ที่ราคาเพียงอันละ $10

By BlackMiracle Writer on Tag: Cloudflare, Yubico, Security, Authentication
Cloudflare

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

pRQk3u.png
ภาพโดย Cloudflare

อย่างไรก็ตาม อุปสรรคสำคัญของการใช้งานกุญแจฮาร์ดแวร์คือราคา เพราะกุญแจหนึ่งอันมีราคาค่อนข้างสูง หากองค์กรใดจะให้พนักงานทั้งบริษัทใช้งานก็นับเป็นค่าใช้จ่ายก้อนใหญ่ทีเดียว (ยังไม่นับว่าต้องมีคนทำหายอยู่ตลอด) และส่วนใหญ่ยังมองว่าการรับเลข OTP ทาง SMS หรือแอพ Authenticator ก็เพียงพอแล้ว

Cloudflare ซึ่งมีภารกิจที่ต้องการทำอินเทอร์เน็ตให้ปลอดภัย และต้องการลดกำแพงด้านราคานี้ลง จึงร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง เปิดขายกุญแจที่ราคาอันละเพียง 10 ดอลลาร์สหรัฐ หรือราว 380 บาทเท่านั้น จากปกติกุญแจของ Yubico เริ่มต้นที่ 25 ดอลลาร์สหรัฐ (950 บาท) หรือหากเป็นรุ่น YubiKey 5 ที่รองรับโปรโตคอลมากกว่าก็เริ่มต้นที่ 45 ดอลลาร์สหรัฐ (1,700 บาท)

ผู้ใช้ Cloudflare ทุกคนไม่ว่าจะจ่ายเงินหรือไม่ก็ตาม สามารถล็อกอินเข้าไปที่ Cloudflare Dashboard และกดที่แบนเนอร์ด้านบน (หรือกดที่นี่) จากนั้นกด "Claim my offer" แล้วจะได้รับอีเมลจาก Yubico เพื่อสั่งซื้อกุญแจต่อไป ซึ่ง Yubico จะเป็นผู้จัดส่งกุญแจให้โดยตรง ทั้งนี้ยังไม่มีข้อมูลว่ากุญแจที่จำหน่ายในโครงการนี้เป็นรุ่นใด โดยกุญแจที่จำหน่ายมีให้เลือกสองรุ่นคือ

  • YubiKey 5 NFC (เป็นหัว USB-A รองรับการแตะ NFC แทนการเสียบ) อันละ 10 ดอลลาร์สหรัฐ (ราคาเต็ม 45 ดอลลาร์สหรัฐ)
  • YubiKey 5C NFC (เป็นหัว USB-C รองรับการแตะ NFC แทนการเสียบ) อันละ 12.22 ดอลลาร์สหรัฐ (ราคาเต็ม 55 ดอลลาร์สหรัฐ)

ทั้งนี้ ต้องซื้อกุญแจอย่างน้อย 2 อันขึ้นไป และจำกัดคนละ 10 อัน ราคาดังกล่าวยังไม่รวมค่าส่งมาไทยและภาษีนำเข้า (หากมี) หรือหากซื้อในสหรัฐอเมริกาก็ต้องบวกภาษีของแต่ละรัฐด้วย นอกจากนี้อีเมลจาก Yubico ยังระบุว่าสองรุ่นด้านบนเป็นการอัพเกรดให้ในช่วงนี้ (หมดเขตสิ้นปี 2022) แปลว่าหากปีหน้ายังมีโครงการนี้อยู่ อาจได้รุ่นที่ต่ำกว่านี้

pxfhxJ.png

ฝั่งองค์กรขนาดใหญ่ก็สามารถสั่งซื้อกุญแจราคาพิเศษได้เช่นกัน ผ่านโครงการ YubiEnterprise Subscription รับส่วนลด 50% ในปีแรก หากเป็นสมาชิกอย่างน้อยสามปี และมีผู้ใช้อย่างน้อย 500 คน

Cloudflare ย้ำว่าการใช้กุญแจยืนยันตัวตนนั้นสำคัญมากในการป้องกันการถูกแฮ็ก เพราะ Cloudflare เองก็เป็นหนึ่งในหลายบริษัทที่ถูกโจมตีเมื่อช่วงต้นเดือนสิงหาคม (Twilio โดนแฮ็กสำเร็จ) แต่ Cloudflare ให้พนักงานทุกคนใช้กุญแจ FIDO2 และห้ามใช้รหัส OTP ทำให้ป้องกันการเข้าถึงระบบไว้ได้

ที่มา - Cloudflare

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

NoppawanConan Fri, 30/09/2022 - 00:21

กลัวจะเป็นแบบกูเกิลในอนาคตจัง ทำดีตอนนี้ พอติดตลาดมากๆ ต้องทวงคืนร้อยเท่าพันเท่า

sMaliHug Thu, 29/09/2022 - 22:38

ทำไมผมคิดว่า แบบ HW ไม่ปลอดภัยเท่า แอฟ Authenticator

HW ถ้าหลุดไปสู่คนอื่นก็ดูได้แล้ว แบบ แอฟมีหลายชั้นอีก ต้องปลดล็อคก่อน

แน่นอน แบบ sms ปลอดภัยต่ำที่สุด เพราะเป็นแค่ text แอฟอื่นเข้สถึงได้ กอปข้อความไปได้

อยากให้ แอฟ sms ต้องปลดล็อคก่อนเหมือนกัน

hisoft Thu, 29/09/2022 - 22:50

แล้วแต่ protocol ด้วยครับ ตัวที่ต้องใส่รหัสของ key อีกชั้นก็มีนะ
ตัว TOTP เองก็เก็บใน Yubikey ได้ด้วย ใส่รหัสแยกกันต่างหากได้อีก

willwill Thu, 29/09/2022 - 23:24

ผมไม่แน่ใจว่าคุณ sMaliHug อาจจะคิดถึงแบบ hardware สมัยก่อนที่เป็นหน้าจอแล้วมีรหัสเปลี่ยนไปเรื่อยๆ หรือเปล่านะครับ U2F เดี๋ยวนี้ไม่มีหน้าจอแล้วครับ เวลาใช้ก็คือกรอก username password ในคอมแล้วแตะที่ key ทีนึงก็เข้าได้เลย ซึ่งถ้าทำตกหายไป คนไม่รู้ username ได้ไปก็ทำอะไรไม่ได้นอกจากเอาไปผูกกับไอดีตัวเอง

ปัญหาของแบบแอพคือถ้าเราทำเว็บ phishing เกิด user มองไม่ออกว่าเป็น phishing แล้วใส่รหัสจากแอพ/กด Yes ให้ (หรือตั้งใจขายไอดีให้โจรและบอกรหัส OTP ด้วย) ก็เท่ากับว่าโจรเอารหัสนั้นไป replay บนเว็บจริงได้ทันที ในขณะที่แบบ hardware นั้นเวลาแตะแล้วมันจะส่ง signature ให้ browser ตาม domain ที่ browser เปิดอยู่ ทำให้ไม่สามารถเอาไป replay บนเว็บจริงได้จึงไม่สามารถที่จะ phishing ได้ หรือถ้าจะขาย ID ก็ต้องเอา key ส่งให้ด้วยหรือลงทะเบียน key ของ attacker เข้ามา

lew Fri, 30/09/2022 - 00:36

ขึ้นกับว่ามองภัยอันไหนครับ ถ้าภัยคือคนร้ายมาขโมยกระเป๋าตังค์ออกไปได้ก็ใช่ครับ Authenticator ในโทรศัพท์ที่ล็อกไว้ก็ปลอดภัยกว่า

แต่ในโลกความเป็นจริง มีเคสคนร้ายมาขโมยกุญแจถึงตัวน้อยมากๆ (ผมยังไม่เคยได้ยินข่าว ใครจะทำ? CIA?) กุญแจหายไปจริงๆ ส่วนมากก็ revoke แล้ว enroll กุญแจใหม่ ตรวจสอบได้ว่าใช้กุญแจไหนตอนไหน

ภัยที่เราเจอทุกวันทุกองค์กร จำนวนมากคือเว็บปลอม phishing ซึ่งกุญแจ FIDO ขจัดได้หมด เรียกว่าแทบหมดยังเรียกไม่ได้ จะ phishing กับ FIDO ได้ต้องลงเบราว์เซอร์ปลอมในเครื่องเหยื่อได้ด้วย

ถ้าเชื่อว่าตาไวพอ มอง URL แม่นทุกรอบไม่มีใครส่ง link หลอกได้ก็อาจจะพอพูดได้ว่าแอป Authenticator ปลอดภัยกว่า แต่ในระดับองค์กรคนเป็นร้อยเป็นพันนี่ไม่สามารถพูดแบบนั้นได้แน่ๆ

พวก login approve ผ่าน app ก็เหมือนกัน ช่วงหลังโดนยิง noti แล้วพนักงานเผลอกดกันมาหลายรายแล้ว

OXYGEN2 Fri, 30/09/2022 - 04:32

ผมใช้รุ่นใหม่ๆ อยู่ เวลาเสียบครั้งแรกมันให้ตั้ง PIN ครับ และตอนใช้ (เสียบใหม่) ต้องใส่ PIN ก่อน 1 รอบครับ

ส่วนรุ่นเก่าๆ ใช้มาตั้งแต่ปี 15-16 ไม่ต้องใส่ PIN ครับ

sMaliHug Fri, 30/09/2022 - 07:48

ผมนึกถึง HW ที่ใช้เป็น OTP สมัยก่อนจริงๆครับ แบบมีตัวเลขวิ่งเหมือน Authenticators และใช้งานเหมือนกัน ต่างกันแต่เป็นแอฟกับHW

ความเสี่ยงจากภายใน จากคนใกล้ตัวก็มีนะครับ

หลายระบบสามารถ Reset password ผ่านการพิสูจน์ตัวตนด้วย OTP

lew Fri, 30/09/2022 - 09:54

ความเสี่ยงคนใกล้ตัวต้องโจมตีสองจังหวะอยู่ดีครับ ขโมยรหัส+ขโมยกุญแจ ถ้าใช้ phishing จะเหลือจังหวะเดียว

rattananen Fri, 30/09/2022 - 12:27

เวลา Password/OTP มันหลุดเพราะว่ามันมีการส่ง password/OTP ระหว่าง authentication ครับ
ทำให้คนร้ายเจาะ server, XSS, phishing อะไรสักอย่างเอา password/OTP ไปได้ครับ

แต่ authentication แบบ Hardware จะใช้ Asymmetric key (public/private key pair)
วิธีนี้ไม่มีการส่ง key ขณะ authentication แต่จะเก็บ public key (ใช้ decode ได้อย่างเดียว) ไว้ที่ server แต่แรก
เวลา authentication server แค่ส่ง data (code challenge) อะไรสักอย่างให้เราใช้ private key (ใช้ decode/encode /create public key) ในHardware encode แล้วส่งกลับไปที่ server
server ก็ใช้ public key decode ถ้า data ยังเหมือนตอนที่ส่งไปให้แสดงว่า verify ผ่าน

คือต่อให้ hacker เจาะระบบเอา code challenge ระหว่าง authentication หรือเจาะ server เอา public key ไปก็ทำอะไรไม่ได้ ถ้าไม่มี private key

ทำให้วิธีนี้ทนทานต่อการ hack บน NETWORK มากกว่าวิธีอื่นครับ

ส่วนจะรักษา private key ยังไง ก็ว่ากันอีกที

xlightman Fri, 30/09/2022 - 09:51

ไม่ทันแล้วคร้าบบ พอดีผมสั่งไปแล้วครับ

เข้าใจว่าหากมี account Cloudflare แล้วกดลิงก์ขอรับสิทธิ์ในเนื้อข่าว ก็น่าจะได้เหมือนกันหมดนนะครับ

แต่ไม่รู้ท่านอื่นถูกจำกัดจำนวนเหมือนหันหรือเปล่า ของผมได้สูงสุด 10 ชิ้น (รวมทั้งสองรุ่น) ครับ

BlackMiracle Fri, 30/09/2022 - 11:24

ขึ้น $30 ตอนใส่ที่อยู่ครับ ส่วนภาษีนำเข้าไม่ทราบว่าจะโดนรึเปล่า เห็นคอมเมนต์นี้บอกว่าโดน

GyG Fri, 30/09/2022 - 11:45

หาวิธีประหยัดได้ละ
โชคดี มีเพื่อนอยู่สิงคโปรจะกลับไทยเดือนหน้า
โดนค่าส่งแต่ $5 เองครับ ชิ้นเล็กหิ้วกลับไทยสบาย

mr_tawan Fri, 30/09/2022 - 21:33

ว่าแต่ถ้าใช้แล้ว เรายังต้องมี password manager อยู่หรือเปล่าครับ แล้วพวกไปไหนมาไหนนี่มันเกะกะไหมนะ (ฮา)

ผมรู้สึกว่าถ้าต้องย้ายคีย์พวกนี้ติดตัวไปไหนมาไหนมันรู้สึกลำบากน่ะครับ ถ้าใช้คงใช้กับเรื่องงานอย่างเดียวมั้ง (และคงให้บริษัทจ่ายในกรณีนี้)

Ford AntiTrust Fri, 30/09/2022 - 21:59

เรียกว่าคนละส่วนครับ security key มันแค่มาแทน TOTP/MFA แม้จะมีบางระบบสามารถ implement ให้แทนรหัสผ่านได้ แต่ส่วนใหญ่มักเป็น MFA มากกว่า

Kazu Fri, 30/09/2022 - 22:26

ตัวคีย์ทนพอสมควรเลยครับ ผมใส่กับพวงกุจแจบ้าน ใช้มาหลายปีก็ยังไม่พัง
ส่วนพวกคีย์ที่สำคัญๆ อย่างพวกที่ใช้ถอนเงินออกจากพอร์ทอะไรพวกนี้ ผมเก็บไว้ที่บ้าน