Yubico บริษัทผลิตกุญแจอิเล็กทรอนิกส์เปิดตัวกุญแจความปลอดภัยใหม่ Security Key NFC และโชว์ YubiKey สำหรับพอร์ต Lightning ในงาน CES 2019
สำหรับ Security Key NFC เป็นกุญแจความปลอดภัยใหม่ในกลุ่ม Security Key Series สามารถเชื่อมต่ออุปกรณ์ได้ทั้ง USB-A และ NFC ที่รองรับการยืนยันตัวตนแบบ tap-and-go ของ FIDO U2F และ FIDO2/WebAuthn บนคอมพิวเตอร์และมือถือที่รองรับ ซึ่งตอนนี้มีบริการหลายอย่างที่รองรับแล้ว ตั้งแต่ Google, Facebook, Twitter, Dropbox รวมถึงซอฟต์แวร์จัดการรหัสผ่านอีกจำนวนมาก
Yubico วางขาย Security Key NFC ในราคา 27 ดอลลาร์ สั่งซื้อได้ผ่าน Yubico online store
Yubico ผู้ผลิตและพัฒนากุญแจอิเล็กทรอนิกส์ประกาศเปิดตัว YubiKey 5 Series ซึ่งมีทั้งหมด 4 รุ่นได้แก่ YubiKey 5 NFC, 5C, 5 Nano และ 5C Nano
กุญแจ YubiKey 5 Series ทุกรุ่นรองรับโปรโตคอลการยืนยันตัวตน FIDO2, FIDO U2F, smart card (PIV), Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response, รองรับอัลกอริทึมการเข้ารหัส RSA 4096, ECC p256 และ ECC p384
สำหรับ YubiKey 5 NFC จะรองรับการยืนยันตัวตนผ่าน NFC ด้วยการแตะกับอุปกรณ์และเสียบกับพอร์ต USB-A, 5 Nano รองรับการเสียบกับพอร์ต USB-A และ 5C กับ 5C Nano รองรับการเสียบกับพอร์ต USB-C โดย YubiKey 5 ขายเริ่มต้นที่ 45 ดอลลาร์หรือราว 1,500 บาท
Titan Security Key กุญแจยืนยันตัวตนมาตรฐาน U2F ของ Google ที่เปิดตัวไปเมื่อเดือนกรกฎาคม วันนี้่เริ่มวางขายบน Google Store แล้ว สนนราคาอยู่ที่ 50 ดอลลาร์ต่อชุด ประกอบไปด้วยตัว NFC/Bluetooth LE และ USB/NFC
Google บอกว่าตัว NFC/Bluetooth LE สามารถใช้งานได้ราว 6 เดือนต่อการชาร์จ 1 ครั้ง สามารถใช้กับบัญชี Google ผ่าน Advanced Protection ไปจนถึงบริการอื่นๆ อย่าง Dropbox, GitHub, Twitter, หรือเฟซบุ๊กที่รองรับ FIDO2
ทั้งนี้ก่อนหน้านี้ Google เคยบอกด้วยว่าตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย
กูเกิลเปิดตัวกุญแจยืนยันตัวตน Titan Security Key โดยใช้ชื่อเดียวกับชิป Titan ที่ใช้ยืนยันสถานะของเซิร์ฟเวอร์ แต่ชิปภายในไม่ได้เกี่ยวข้องกัน
กุญแจมาเป็นชุด ชุดละ 50 ดอลลาร์โดยเป็นรุ่น USB/NFC ตัวหนึ่ง และ USB/Bluetooth อีกตัว ชุดละ 50 ดอลลาร์ เข้าคู่กันตามแนวทางของกูเกิลที่ต้องการให้กุญแจตัวหนึ่งรองรับ Bluetooth เพื่อใช้งานกับโทรศัพท์ได้ โดยตัวฮาร์ดแวร์เองน่าจะผลิตโดยบริษัท Feitian ผู้ผลิตระบบรักษาความปลอดภัยฮาร์ดแวร์รายใหญ่ของจีน เช่น บัตรยืนยันตัวตน, หรืออุปกรณ์รับจ่ายบัตรเครดิตต่างๆ แต่กูเกิลไม่ตอบว่าใครคือผู้ผลิตฮาร์ดแวร์ ระบุเพียงว่าไม่ได้ผลิตโดย Yubico
โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย
ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน
ถึงแม้จะเปิดตัวมาแล้วซักพักใหญ่ๆ และ Google ก็เก็บเงียบมาตลอด แต่ล่าสุดเพิ่งมีคนค้นพบว่า Google ติดตั้งโทเคน U2F สำหรับการยืนยันตน 2 ขั้นเอาไว้ให้ใน Pixelbook แต่แรกด้วย ลักษณะเดียวกับที่ Lenovo ติดตั้งมาในโน้ตบุ๊คบางรุ่น
การยืนยันตน 2 ชั้นด้วย U2F บน Pixelbook จะใช้ปุ่ม Power แทน อย่างไรก็ตามฟีเจอร์นี้ไม่ได้เป็นฟีเจอร์ที่เปิดใช้งานมาแต่แรก การเปิดใช้ทำงานต้องตั้งให้ Pixelbook เป็น Developer Mode แล้วจึงเปิดแฟลก U2F ขึ้นมาใน shell และ Chrome OS ต้องเป็นเวอร์ชัน 66 ขึ้นไป ก่อนจะเข้าไปเพิ่ม Security Key ในหน้า 2-Step Verification ใน Setting ของแอคเคาท์ Google
กูเกิลออกมาตรการใหม่ Advanced Protection Program สำหรับผู้ใช้งานที่ต้องการระดับความปลอดภัยขั้นสูงสุด โดยมีองค์ประกอบ 3 อย่างดังนี้
โครงการ U2F ที่เริ่มมาจากกูเกิล มีความแข็งแกร่งสำคัญเมื่อเทียบกับการยืนยันตัวตนสองขั้นตอนอื่นคือมันช่วยลดความเสี่ยงจากการปลอมโดเมนได้เป็นอย่างดี แต่ข้อเสียสำคัญอีกเช่นกันคือมันต้องอาศัยกุญแจ USB ที่มีราคาตั้งแต่ 10 ดอลลาร์ขึ้นไป แม้ราคาจะไม่แพงนักแต่ก็อาจจะทำให้หลายคนตัดสินใจไม่ใช้งาน ตอนนี้ GitHub ก็เปิดโครงการ Soft U2F สำหรับแมคแล้ว
Soft U2F จะจำลองตัวเองเป็นอุปกรณ์ USB HID แบบเดียวกับกุญแจ U2F ทั่วไป ทำให้สามารถใช้งานได้กับ Chrome และ Opera ได้ทันที (เพราะเบราว์เซอร์นึกว่ามีกุญแจ USB อยู่) แม้ว่าจะเก็บข้อมูลกุญแจไว้ในคอมพิวเตอร์แต่ Soft U2F ก็อาศัย keychain ของ OS X ช่วยรักษาความลับให้
Yubico ผู้ผลิตกุญแจอิเล็กทรอนิกส์เพื่อการยืนยันตัวตนหลายรูปแบบ โดยเฉพาะ U2F ที่ Yubico เป็นผู้ร่วมพัฒนากับกูเกิล ตอนนี้กุญแจ Yubikey สินค้าสำคัญของบริษัทก็ออกรุ่น 4 ออกมาแล้ว โดยมีความสามารถสำคัญได้แก่
Yubico เลือกเปิดตัว Yubikey 4 ในงาน DockerCon โดยทาง Docker ออกมารองรับ Yubikey 4 สำหรับการเซ็นรับรอง Content Trust ทำให้คนที่ดาวน์โหลดอิมเมจสามารถยืนยันได้ว่ามาจากนักพัฒนาจริง