ประเด็นเรื่องของการโดยขโมยบัญชีผู้ใช้งานทั้งอีเมล เครือข่ายสังคมออนไลน์ คลาวด์เซอร์วิสสำหรับเก็บข้อมูล กลายเป็นอีกหนึ่งภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในปัจจุบัน ในมุมของผู้ให้บริการที่ทำได้คือการเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านใช้งานบ่อยๆ เพื่อไม่ให้ถูกขโมยรหัสผ่านไปใช้งานได้
อีกวิธีหนึ่งที่นิยมคือ การให้ผู้ใช้เปิดใช้ระบบการยืนยันตัวตนแบบ 2 ขั้นตอน ที่จะใช้การกรอกรหัสผ่านเป็นขั้นแรก ก่อนใช้การยืนยันตัวตนผ่านการส่งข้อความ SMS เข้าโทรศัพท์มือถือ หรือการใส่รหัสพิเศษสำหรับใช้งานครั้งเดียวทิ้ง (Backup Codes) รวมถึงใช้งานร่วมกับ Authenticator app เพื่อยืนยันตัวตนผ่านสมาร์ทโฟนทั้ง iOS และ Android
แต่อีกวิธีที่น่าสนใจ แม้ต้องลงทุนสักหน่อยคือการหา Security Key มาใช้งาน โดยตัว Security Key จะมีลักษณะเป็นเหมือนแฟลชไดร์ฟปกติทั่วไป เพื่อใช้เชื่อมต่อกับพีซีที่จะทำการล็อกอิน ร่วมกับการกรอกรหัสผ่าน ถือเป็นการยืนยันตัวตน 2 ขั้นตอนอีกรูปแบบหนึ่ง
การออกแบบ
ดีไซน์ของ Security Key อย่างของ FIDO U2F Security Key จะมีลักษณะเป็นพลาสติกสีฟ้า ที่มีแผงเชื่อมต่อ USB อยู่ที่ปลาย และตรงกลางจะมีขั้วทองแดงเป็นรูปกุญแจอยู่ตรงกลาง ที่จะมีไฟกระพริบเมื่อเชื่อมต่อกับคอมพิวเตอร์ แต่ทั้งนี้ก็ขึ้นอยู่กับรุ่นด้วย
ฟีเจอร์เด่น
ทำไมถึงเลือกใช้ FIDO U2F Security Key เนื่องจากเป็นคีย์ที่กูเกิลแนะนำให้ใช้ https://support.google.com/accounts/answer/6103523?hl=en และเชื่อถือได้ เพียงแต่ก็ต้องเลือกซื้อจากช่องทางจำหน่ายที่ไว้ใจได้
โดยราคาจำหน่ายของ FIDO U2F Security Key ผ่านหน้าร้านของ Amazon (https://www.amazon.com/Yubico-Y-123-FIDO-U2F-Security/dp/B00NLKA0D8) จะอยู่ที่ 17.99 เหรียญ คิดเป็นเงินไทยก็จะตกอยู่ราวๆ 635 บาท แต่ทั้งนี้ในตลาดของซิเคียวริตี้ก็จะมีตัวเลือกอื่นๆที่น่าสนใจ และใช้งานได้บนมาตรฐานเดียวกัน https://www.yubico.com/products/yubikey-hardware/
การทำงานของ Security Key จะต้องเริ่มจากการเข้าไปลงทะเบียนใช้งาน อย่างถ้าต้องการใช้ในการล็อกบัญชีกูเกิล ผู้ใช้จะต้องเข้าไปตั้งค่าที่ google.com/2step ใส่รหัสล็อกอินให้เรียบร้อย พร้อมเพิ่มการเข้าบัญชีแบบ 2 ขั้นตอน
เบื้องต้น แนะนำให้ใช้การยืนยันผ่านรหัส SMS เป็นหลักก่อน และเพิ่มการยืนยันผ่าน Security Key เข้าไป เพื่อป้องกันกรณีที่คีย์สูญหายก็สามารถใช้การยืนยันผ่านรหัสที่ส่งจาก SMS ได้ ร่วมกับช่องทางอื่นๆอย่างการสร้างคีย์สำหรับใช้งานครั้งเดียวเป็นต้น
เมื่อเลือกการยืนยันผ่าน Security Key กูเกิลจะมีการถามยืนยันซ้ำว่าเรามีคีย์แล้วใช่ไหม เมื่อกดตกลง ก็จะทำให้การเชื่อมต่อ Security Key เข้ากับพอร์ตยูเอสบี โดยที่ตัว Security Key จะมีไฟขึ้นบริเวณแถบทองแดง ก็ให้นำนิ้วไปแตะเพื่อยืนยันการใช้งานก็เรียบร้อย
จากนั้นก็จะขึ้นหน้าแสดงผลว่า ปัจจุบันบัญชีนี้มีการใช้ 2 รูปแบบในการยืนยันตัวตนคือจาก Security Key และผ่านเลขหมายโทรศัพท์ กรณีที่ทำ Security Key ก็สามารถเข้ามากดยกเลิกการเชื่อมต่อคีย์ได้ ผ่านปุ่ม Remove This Key
หลังจากนั้นเมื่อมีการล็อกอินเข้าใช้บัญชีที่ลงทะเบียนไว้ หน้าจอเว็บไซต์ก็จะขึ้นรูปแบบการยืนยันให้เชื่อมต่อ Security Key เข้ากับเครื่องพร้อมกดปุ่ม หรือแตะที่แถบทองแดง ก็จะเป็นการเข้าใช้งานบัญชีได้อย่างสมบูรณ์
ไม่ใช้เฉพาะบัญชีของกูเกิลเท่านั้น แต่ยังรวมถึงการใช้งานเฟซบุ๊ก ผู้ใช้สามารถเข้าไปเพิ่มคีย์รักษาความปลอดภัยได้ที่หน้าจอการตั้งค่า เลือกการอนุมัติการเข้าสู่ระบบ หลังจากนั้นก็กดเพิ่มคีย์รักษาความปลอดภัย ทำตามขั้นตอนเดียวกันคือเสียบคีย์เข้ากับพีซี และสัมผัสบริเวณดิสก์สีทอง
เบื้องต้น FIDO U2F Security Key จะสามารถใช้งานร่วมกับเฟซบุ๊กล็อกอิน กูเกิลล็อกอิน GitHub และ Dropbox ก่อนที่มีการประกาศออกมาอย่างเป็นทางการ และถือเป็นบัญชีผู้ใช้ที่คนส่วนใหญ่ใช้งานกัน
โดยใน 1 Security Key ผู้ใช้สามารถนำไปใช้งานร่วมกับบัญชีผู้ใช้ได้มากกว่า 1 บัญชี อย่างเช่น ใช้ Security Key ในการล็อกอิน 2-3 บัญชี Gmail 1 ID Facebook 1 Dropbox ได้ เพื่อให้พกเพียงคีย์เดียวก็สามารถใช้งานได้ครบ
ทดสอบใช้งาน
เมื่อทดสอบใช้งานกับบัญชีกูเกิลที่ใช้งานเป็นประจำ ส่วนตัวเนื่องจากมีการล็อกอินบัญชีเข้ากับหลายดีไวซ์ด้วยกัน ทำให้ในการติดตั้งใช้งานครั้งแรก ต้องมานั่งล็อกอินใหม่หมด และเนื่องจากคีย์ที่ใช้ไม่สามารถทำงานร่วมกับอุปกรณ์พกพาได้ ทำให้ต้องใช้ร่วมกับการยืนยันผ่าน SMS แทน
ทั้งนี้ เนื่องจาก Security Key มีให้เลือกหลากหลายรูปแบบ ไม่ว่าจะเป็นแบบ USB เพียงอย่างเดียว แบบ USB + NFC แบบ USB-C โดยเฉพาะ รวมถึงแบบทำงานร่วมกับบลูทูธ ด้งนั้น ถ้าต้องการ Security Key ที่ใช้งานร่วมกับมือถือได้ ก็ควรหาที่รองรับการเชื่อมต่อเพิ่มเติมไว้ด้วย
แน่นอนว่า หลังจากทำการล็อกอินใหม่ กับอุปกรณ์ที่ใช้งานเป็นประจำแล้ว หลังจากนี้บัญชีผู้ใช้ต่างๆก็จะปลอดภัยมากยิ่งขึ้น ไม่ต้องกังวลถึงการโดนขโมยบัญชีผู้ใช้ เพราะถึงคนร้ายจะทราบ ID และ Password แต่ถ้าไม่มี Secutiry Key ก็จะไม่สามารถล็อกอินเข้าไปใช้งานได้
ประกอบกับยืนยันตัวตนด้วย Security Key เป็นอุปกรณ์ที่ให้พกติดตัว ทำให้โอกาสที่จะขโมยบัญชีไปใช้งานยากขึ้น เพราะถึงแม้รูปแบบการยืนยันตัวตนด้วย SMS จะดูปลอดภัยแล้ว แต่ถ้าสมาร์ทโฟนติดมัลแวร์ที่ดักจับข้อมูล การส่งรหัสผ่าน SMS เพื่อยืนยันก็จะไม่ปลอดภัยอีกต่อไป
สรุป
ผู้ใช้ทั่วไปอาจจะมองว่า Security Key เหมาะกับผู้ใช้งานเฉพาะกลุ่มที่มีความเสี่ยงจากการที่ข้อมูลหรือตัวตนบนโลกออนไลน์ถูกขโมย
แต่ในความเป็นจริง การป้องกันภัยคุกคามไซเบอร์ ถือเป็นเรื่องที่ควรตื่นตัวกันอยู่แล้ว จากที่เห็นกันในปัจจุบันว่า มิจฉาชีพนำตัวตนออนไลน์ของคนทั่วไป ทำการโจรกรรมผ่านการหลอกให้โอนเงินผ่านเฟซบุ๊ก หรือใช้ในการโจมตีด้วยข้อมูลที่ผิดกฏหมาย
ดังนั้น ตระหนักถึงความปลอดภัยบนโลกออนไลน์กันเถอะครับ
