เมื่อคุณกลับถึงบ้าน คุณยืนอยู่หน้าประตูและคลำหากุญแจของคุณ จากนั้นใช้เพื่อปลดล็อกทางเข้าของคุณ คุณไม่พิมพ์รหัส ไม่คุยกับประตู และไม่ตอบปริศนาราวกับว่าคุณกำลังพูดกับสฟิงซ์ ค่อนข้างปลอดภัยในขณะที่ไม่ทำให้คุณปวดหัวมาก
เวอร์ชันอินเทอร์เน็ตนี้เป็นคีย์ U2F แม้ว่าคุณจะยังต้องพิมพ์รหัสผ่าน แต่งานพิเศษที่คุณต้องทำกับการตรวจสอบสิทธิ์แบบสองปัจจัยจะหายไป เพราะสิ่งที่คุณต้องทำคือเสียบคีย์จริงของคุณลงในช่องเสียบ USB แต่วิธีนี้อย่างน้อยปลอดภัยเท่ากับวิธีการรับรองความถูกต้องอื่น ๆ หรือไม่? และที่สำคัญกว่านั้น มันไม่ได้กล่าวถึงสิ่งใหม่ๆ หรือไม่
หลักสูตรเร่งรัดเกี่ยวกับการตรวจสอบสิทธิ์ U2F
เพื่ออธิบายว่า U2F ทำงานอย่างไร คุณต้องเข้าใจการรับรองความถูกต้องด้วยสองปัจจัยแล้ว หากคุณไม่คุ้นเคยกับแนวคิดดังกล่าว ลองใช้ Google Authenticator เป็นตัวอย่าง:คุณพิมพ์รายละเอียดการเข้าสู่ระบบเพื่อเข้าสู่ Google จากนั้นเซิร์ฟเวอร์จะขอให้คุณเปิดแอป Google Authenticator บนโทรศัพท์ของคุณเพื่อรับหก ตัวเลขรหัสผ่านครั้งเดียว ขั้นตอนสุดท้ายนี้ช่วยให้แน่ใจว่าบุคคลที่ลงชื่อเข้าใช้บัญชีของคุณเป็นบุคคลเดียวกับที่เป็นเจ้าของโทรศัพท์ที่ติดตั้ง GA (น่าจะเป็นคุณ!) หน่วยงานบางแห่ง (เช่น ธนาคาร) ส่ง SMS ไปยังหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีของคุณด้วยรหัสหกถึงแปดหลักเพื่อให้ได้ผลลัพธ์เดียวกัน อื่นๆ (ซึ่งปกติแล้วคือธนาคาร) จะให้อุปกรณ์โทเค็นแก่คุณซึ่งสร้างตัวเลขเหล่านี้
ตกลง ดังนั้นการตรวจสอบสิทธิ์แบบสองปัจจัยจะใช้สองสิ่งในการเข้าสู่ระบบให้คุณ (จึงเป็นชื่อ):รหัสผ่านและรหัสพิเศษ ที่เกี่ยวข้องกับสิ่งที่คุณมี ที่สามารถใช้ได้เพียงครั้งเดียว
ตอนนี้เราจัดการได้แล้ว นี่คือวิธีที่ U2F ทำงานโดยใช้คำง่ายๆ สองสามคำ:มันทำทั้งหมดนี้ให้คุณในรูปแบบของกุญแจจริง เช่นเดียวกับที่คุณใช้เพื่อเปิดประตู กุญแจถูกเสียบเข้าไปในช่องเสียบ USB และคุณกดปุ่มเพื่อเสร็จสิ้นการเข้าสู่ระบบของคุณ การกดปุ่มนั้นจะทริกเกอร์อัลกอริทึมที่สร้างรหัสภายในและส่งไปยังเซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยอัตโนมัติ
ง่ายพอใช่ไหม
ทำไมต้องเป็น U2F
หากคุณสามารถใช้การตรวจสอบสิทธิ์แบบสองปัจจัยได้ทันทีโดยไม่ต้องซื้ออะไรเพิ่มเติม เหตุใดผู้คนจึงควรพยายามหาคีย์จริง สำหรับธุรกิจ คำตอบนั้นชัดเจน:คุณไม่จำเป็นต้องซื้ออุปกรณ์โทเค็นราคาแพงสำหรับพนักงาน แต่ข้อดีสำหรับผู้บริโภคคืออะไร? ลองดูสิ่งเหล่านั้น:
- คุณไม่จำเป็นต้องพิมพ์รหัส ซึ่งสะดวกมาก
- เนื่องจากคุณไม่ต้องพิมพ์รหัส รหัสภายในที่ส่งโดยคีย์โดยอัตโนมัติจึงมีความยาวได้ (ปกติประมาณ 32 อักขระ)
- คุณไม่จำเป็นต้องพึ่งพาโทรศัพท์ของคุณ (จะเกิดอะไรขึ้นถ้าโทรศัพท์ของคุณพังหรือคุณเปลี่ยนหมายเลข)
คำเตือน
เหตุผลที่ฉันไม่เห็นว่า U2F ถูกนำไปใช้อย่างกว้างๆ ก็คือการรับรองความถูกต้องด้วยสองปัจจัยได้กำหนดมาตรฐานไว้แล้ว พร้อมใช้งานและง่ายเพียงพอสำหรับผู้ให้บริการในการดำเนินการ ขณะนี้มีเพียงบริการหลักเช่น Google, Facebook, Dropbox และ GitHub เท่านั้นที่สามารถทำงานร่วมกันได้
นอกจากประเด็นนี้แล้ว ยังมีประเด็นว่ามีอะไรอยู่ด้วย พูดง่ายๆ ก็คือ ระบบจะถูกมองว่าเป็นการรับรองความถูกต้องด้วยสองปัจจัยเวอร์ชันที่น่ายกย่องซึ่งสะดวกกว่าในการใช้งานเพียงเล็กน้อย ไม่สำคัญหรอกว่า U2F จะจัดการกับการโจมตีของ Man in The Middle ได้อย่างมีประสิทธิภาพมากขึ้น (แม้ว่าจะเป็นที่ถกเถียงกัน และเราจะพูดถึงเรื่องนี้) การรับรู้มีความสำคัญมากกว่าเมื่อคุณพยายามขายไอเดีย
ข้อแม้ที่สำคัญกว่าคือข้อเท็จจริงที่ว่า U2F ทำได้เพียงเล็กน้อยในการป้องกันแฮ็กเกอร์จากการลักลอบรับส่งข้อมูลของคุณและแอบอ้างเป็นคุณโดยการปลอมแปลงตัวแทนผู้ใช้ของคุณในเบราว์เซอร์ของคุณ ข้อเท็จจริงนี้เพียงอย่างเดียวทำให้อาร์กิวเมนต์ "ความปลอดภัยที่สูงขึ้น" สำหรับ U2F เป็นที่ถกเถียงกัน
The Takeaway
แม้ว่า U2F ไม่จำเป็นต้องมีความปลอดภัยมากกว่าการตรวจสอบสิทธิ์แบบสองปัจจัย แต่ก็ควรสังเกตว่าการดำเนินการไม่กี่ขั้นตอนในทิศทางที่เป็นบวก (เช่น การเพิ่มความยาวของคีย์ ขจัดอุปสรรคด้านการตรวจสอบสิทธิ์ที่น่าผิดหวังสำหรับผู้ใช้ปลายทาง เป็นต้น) ในฐานะที่เป็นเทคโนโลยี มันอาจไม่ใช่ "ปฏิวัติ" แต่แน่นอนว่ามันทำงานในลักษณะที่สะดวกกว่าสำหรับผู้ที่ลงทุนในมัน U2F อาจน่าสนใจสำหรับธุรกิจ แต่ผู้บริโภคอาจไม่พบป้ายราคา $50 บนอุปกรณ์เล็กๆ เหล่านี้ที่คุ้มค่า
มาพูดคุยกันถึงสิ่งที่น่าสนใจ อะไรจะโน้มน้าวให้คุณซื้อคีย์ U2F หรือมั่นใจแล้ว? บอกเราทั้งหมดเกี่ยวกับเรื่องนี้ในความคิดเห็น!