Yubico เปิดตัวกุญแจ YubiKey Bio กุญแจล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ที่ตรวจสอบลายนิ้วมือผู้ใช้ก่อนที่จะยอมล็อกอิน

กุญแจ FIDO ปกติแล้วต้องการให้ผู้ใช้กดปุ่มเพื่อยืนยันการลงทะเบียนกุญแจ หรือล็อกอิน หากผู้ใช้ทำกุญแจหาย ผู้ใช้ต้องรีบล็อกอินไปยังบริการต่างๆ เพื่อยกเลิกการลงทะเบียนกุญแจที่หายไป การใช้งานเดิมของ FIDO นั้นเป็นการใช้งานเพื่อล็อกอินขั้นตอนที่สองหลังจากผู้ใช้ใส่รหัสผ่านทำให้ความเสี่ยงไม่สูงนัก แต่หากเป็นบริการที่ล็อกอินแบบไร้รหัสผ่านเลย การที่กุญแจสูญหายก็จะมีความเสี่ยงสูงขึ้น การที่กุญแจตรวจสอบผู้ใช้อีกครั้งด้วยลายนิ้วมือช่วยให้ความเสี่ยงลดลง

ทาง Yubico ยังไม่เปิดเผยราคาและช่วงเวลาวางจำหน่าย

กูเกิลมีฟีเจอร์รักษาความปลอดภัยระดับสูง Advanced Protection Program เปิดตัวมาตั้งแต่ปี 2017 โดยเปิดให้ผู้ใช้ Google Account ใช้งาน ล่าสุดฟีเจอร์นี้ขยายมายังผู้ใช้ฝั่งองค์กร G Suite เรียบร้อยแล้ว

ผู้ใช้ที่เปิด Advanced Protection Program จะถูกบังคับให้ต้องล็อกอินด้วยอุปกรณ์ยืนยันตัวตน U2F มาตรฐาน FIDO, บล็อคการเข้าถึงแอพ 3rd party ทั้งหมด (ยกเว้นที่แอดมินองค์กร whitelist), อีเมลจะถูกสแกนไวรัส มัลแวร์ ฟิชชิ่ง และการกู้คืนบัญชีจะต้องให้แอดมินองค์กรเป็นคนทำให้เท่านั้น (เพื่อแก้ปัญหาบัญชีผู้ใช้บางบัญชีโดนแฮ็กง่าย และกลายเป็นจุดเริ่มต้นของการเจาะเข้ามาในองค์กร)

กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว

ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น

กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป

Yubico ผู้ผลิตกุญแจยืนยันตัวตนรายงานปัญหาบั๊กในกุญแจ YubiKey ซีรีส์ FIPS ที่รันเฟิร์มแวร์เวอร์ขัน 4.4.2 และ 4.4.4 ที่ตัวเลขที่ถูกสร้างขึ้นไม่ได้ถูกสุ่มขึ้นมาทั้งหมด โดยปัญหานี้เกิดขึ้นเฉพาะการสุ่มตัวเลขครั้งแรกทุกครั้งหลังเสียบกุญแจ

Yubico ระบุว่ากุญแจแบบ RSA ตัวเลขที่ไม่สุ่มอยู่ที่ไม่เกิน 80 บิตจาก 2056 บิต ขณะที่กุญแจแบบ ECDA และ ECC จะหนักหน่อยเพราะไม่สุ่มไป 80 บิตจาก 256 บิต ส่วนทางแก้ปัญหาทาง Yubico ระบุว่าได้แจ้งลูกค้า เรียกคืนกุญแจเก่าและเปลี่ยนเป็นกุญแจรุ่นใหม่ให้บ้างแล้ว

อย่างไรก็ตามกุญแจ FIPS เวอร์ชัน 4.4.5 และกุญแจรุ่นอื่นๆ ของ YubiKey ไม่ได้รับผลกระทบใดๆ

กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้

คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด

Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019

สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก

Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store

Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano

กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384

สำหรับ YubiKey 5 NFC จะรองรับการยืนยันตัวตนผ่าน NFC ด้วยการแตะกับอุปกรณ์และเสียบกับพอร์ต USB-A, 5 Nano รองรับการเสียบกับพอร์ต USB-A และ 5C กับ 5C Nano รองรับการเสียบกับพอร์ต USB-C โดย YubiKey 5 ขายเริ่มต้นที่ 45 ดอลลาร์หรือราว 1,500 บาท

Titan Security Key กุญแจยืนยันตัวตนมาตรฐาน U2F ของ Google ที่เปิดตัวไปเมื่อเดือนกรกฎาคม วันนี้่เริ่มวางขายบน Google Store แล้ว สนนราคาอยู่ที่ 50 ดอลลาร์ต่อชุด ประกอบไปด้วยตัว NFC/Bluetooth LE และ USB/NFC

Google บอกว่าตัว NFC/Bluetooth LE สามารถใช้งานได้ราว 6 เดือนต่อการชาร์จ 1 ครั้ง สามารถใช้กับบัญชี Google ผ่าน Advanced Protection ไปจนถึงบริการอื่นๆ อย่าง Dropbox, GitHub, Twitter, หรือเฟซบุ๊กที่รองรับ FIDO2

ทั้งนี้ก่อนหน้านี้ Google เคยบอกด้วยว่าตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย

กูเกิลเปิดตัวกุญแจยืนยันตัวตน Titan Security Key โดยใช้ชื่อเดียวกับชิป Titan ที่ใช้ยืนยันสถานะของเซิร์ฟเวอร์ แต่ชิปภายในไม่ได้เกี่ยวข้องกัน

กุญแจมาเป็นชุด ชุดละ 50 ดอลลาร์โดยเป็นรุ่น USB/NFC ตัวหนึ่ง และ USB/Bluetooth อีกตัว ชุดละ 50 ดอลลาร์ เข้าคู่กันตามแนวทางของกูเกิลที่ต้องการให้กุญแจตัวหนึ่งรองรับ Bluetooth เพื่อใช้งานกับโทรศัพท์ได้ โดยตัวฮาร์ดแวร์เองน่าจะผลิตโดยบริษัท Feitian ผู้ผลิตระบบรักษาความปลอดภัยฮาร์ดแวร์รายใหญ่ของจีน เช่น บัตรยืนยันตัวตน, หรืออุปกรณ์รับจ่ายบัตรเครดิตต่างๆ แต่กูเกิลไม่ตอบว่าใครคือผู้ผลิตฮาร์ดแวร์ ระบุเพียงว่าไม่ได้ผลิตโดย Yubico

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

ถึงแม้จะเปิดตัวมาแล้วซักพักใหญ่ๆ และ Google ก็เก็บเงียบมาตลอด แต่ล่าสุดเพิ่งมีคนค้นพบว่า Google ติดตั้งโทเคน U2F สำหรับการยืนยันตน 2 ขั้นเอาไว้ให้ใน Pixelbook แต่แรกด้วย ลักษณะเดียวกับที่ Lenovo ติดตั้งมาในโน้ตบุ๊คบางรุ่น

การยืนยันตน 2 ชั้นด้วย U2F บน Pixelbook จะใช้ปุ่ม Power แทน อย่างไรก็ตามฟีเจอร์นี้ไม่ได้เป็นฟีเจอร์ที่เปิดใช้งานมาแต่แรก การเปิดใช้ทำงานต้องตั้งให้ Pixelbook เป็น Developer Mode แล้วจึงเปิดแฟลก U2F ขึ้นมาใน shell และ Chrome OS ต้องเป็นเวอร์ชัน 66 ขึ้นไป ก่อนจะเข้าไปเพิ่ม Security Key ในหน้า 2-Step Verification ใน Setting ของแอคเคาท์ Google

กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้

• บังคับล็อกอิน 2-Step Verification ด้วยฮาร์ดแวร์ Security Keys เสมอ ถือเป็นการยืนยันตัวตนที่ปลอดภัยขั้นสูงสุด
• ป้องกันการเผลอหลุดข้อมูลโดยไม่ตั้งใจ บริการอย่าง Gmail และ Google Drive จะไม่อนุญาตให้แอพภายนอกเข้าถึงได้ ยกเว้นแต่แอพของกูเกิลเองเท่านั้น
• หน้ากู้คืนรหัสผ่านจะเพิ่มความเข้มงวดในการตรวจสอบ ถามคำถามหรือขอข้อมูลมากกว่าปกติ เพื่อยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ

โครงการ U2F ที่เริ่มมาจากกูเกิล มีความแข็งแกร่งสำคัญเมื่อเทียบกับการยืนยันตัวตนสองขั้นตอนอื่นคือมันช่วยลดความเสี่ยงจากการปลอมโดเมนได้เป็นอย่างดี แต่ข้อเสียสำคัญอีกเช่นกันคือมันต้องอาศัยกุญแจ USB ที่มีราคาตั้งแต่ 10 ดอลลาร์ขึ้นไป แม้ราคาจะไม่แพงนักแต่ก็อาจจะทำให้หลายคนตัดสินใจไม่ใช้งาน ตอนนี้ GitHub ก็เปิดโครงการ Soft U2F สำหรับแมคแล้ว

Soft U2F จะจำลองตัวเองเป็นอุปกรณ์ USB HID แบบเดียวกับกุญแจ U2F ทั่วไป ทำให้สามารถใช้งานได้กับ Chrome และ Opera ได้ทันที (เพราะเบราว์เซอร์นึกว่ามีกุญแจ USB อยู่) แม้ว่าจะเก็บข้อมูลกุญแจไว้ในคอมพิวเตอร์แต่ Soft U2F ก็อาศัย keychain ของ OS X ช่วยรักษาความลับให้

Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่

• รองรับ Yubico OTP, smartcard, และ U2F
• มี secure element ในตัว
• รองรับกุญแจ RSA 4096 บิต
• รองรับ PKCS#11

Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง