โครงการ U2F ที่เริ่มมาจากกูเกิล
มีความแข็งแกร่งสำคัญเมื่อเทียบกับการยืนยันตัวตนสองขั้นตอนอื่นคือมันช่วยลดความเสี่ยงจากการปลอมโดเมนได้เป็นอย่างดี
แต่ข้อเสียสำคัญอีกเช่นกันคือมันต้องอาศัยกุญแจ USB ที่มีราคาตั้งแต่ 10
ดอลลาร์ขึ้นไป แม้ราคาจะไม่แพงนักแต่ก็อาจจะทำให้หลายคนตัดสินใจไม่ใช้งาน
ตอนนี้ GitHub ก็เปิดโครงการ Soft U2F สำหรับแมคแล้ว
Soft U2F จะจำลองตัวเองเป็นอุปกรณ์ USB HID แบบเดียวกับกุญแจ U2F ทั่วไป
ทำให้สามารถใช้งานได้กับ Chrome และ Opera ได้ทันที
(เพราะเบราว์เซอร์นึกว่ามีกุญแจ USB อยู่)
แม้ว่าจะเก็บข้อมูลกุญแจไว้ในคอมพิวเตอร์แต่ Soft U2F ก็อาศัย keychain ของ
OS X ช่วยรักษาความลับให้
ในแง่ของความปลอดภัยเมื่อเทียบกับกุญแจ U2F ที่เป็นฮาร์ดแวร์จริงๆ
ในกรณีล็อกอินแล้วหากมีมัลแวร์ในเครื่องก็อันตรายไม่ต่างกันเพราะมัลแวร์สามารถอ่านข้อมูลทั้งหมดไปได้
แต่ในกรณีที่เลวร้ายที่สุดของ Soft U2F มัลแวร์อาจจะขโมยกุญแจลับออกไปจาก
keychain
ทำให้สามารถล็อกอินได้จากที่อื่นแม้จะถอนมัลแวร์ออกจากเครื่องแล้วก็ตาม
ขณะที่การขโมยกุญแจลับออกจากกุญแจแบบฮาร์ดแวร์ทำได้ยากกว่า
แม้จะอ่อนแอกว่า แต่ Soft U2F ก็ช่วยป้องกันอันตรายได้หลายกรณี ตั้งแต่
การตั้งรหัสไม่ปลอดภัย, ผู้ให้บริการเว็บทำรหัสรั่ว, หรือแม้แต่โดน
phishing สำหรับคนทั่วไปที่ไม่ต้องการซื้อฮาร์ดแวร์ Soft U2F
ก็เพิ่มความปลอดภัยให้ได้
ตัวซอฟต์แวร์เปิดซอร์สโค้ดแบบสัญญาอนุญาต MIT
และโครงการนี้เป็นส่วนหนึ่งของโครงการ GitHub Bug Bounty
หากพบช่องโหว่แจ้งเพื่อรับเงินรางวัลได้
ที่มา: Blognone
ไม่มีความคิดเห็น:
แสดงความคิดเห็น