ไม่ต้องซื้อกุญแจแล้ว GitHub เปิดโครงการ Soft U2F ยืนยันตัวตนสองขั้นตอนบนแมคได้โดยไม่ต้องซื้อกุญแจจริง

by lew
25 July 2017 - 18:38

โครงการ U2F ที่เริ่มมาจากกูเกิล มีความแข็งแกร่งสำคัญเมื่อเทียบกับการยืนยันตัวตนสองขั้นตอนอื่นคือมันช่วยลดความเสี่ยงจากการปลอมโดเมนได้เป็นอย่างดี แต่ข้อเสียสำคัญอีกเช่นกันคือมันต้องอาศัยกุญแจ USB ที่มีราคาตั้งแต่ 10 ดอลลาร์ขึ้นไป แม้ราคาจะไม่แพงนักแต่ก็อาจจะทำให้หลายคนตัดสินใจไม่ใช้งาน ตอนนี้ GitHub ก็เปิดโครงการ Soft U2F สำหรับแมคแล้ว

Soft U2F จะจำลองตัวเองเป็นอุปกรณ์ USB HID แบบเดียวกับกุญแจ U2F ทั่วไป ทำให้สามารถใช้งานได้กับ Chrome และ Opera ได้ทันที (เพราะเบราว์เซอร์นึกว่ามีกุญแจ USB อยู่) แม้ว่าจะเก็บข้อมูลกุญแจไว้ในคอมพิวเตอร์แต่ Soft U2F ก็อาศัย keychain ของ OS X ช่วยรักษาความลับให้

ในแง่ของความปลอดภัยเมื่อเทียบกับกุญแจ U2F ที่เป็นฮาร์ดแวร์จริงๆ ในกรณีล็อกอินแล้วหากมีมัลแวร์ในเครื่องก็อันตรายไม่ต่างกันเพราะมัลแวร์สามารถอ่านข้อมูลทั้งหมดไปได้ แต่ในกรณีที่เลวร้ายที่สุดของ Soft U2F มัลแวร์อาจจะขโมยกุญแจลับออกไปจาก keychain ทำให้สามารถล็อกอินได้จากที่อื่นแม้จะถอนมัลแวร์ออกจากเครื่องแล้วก็ตาม ขณะที่การขโมยกุญแจลับออกจากกุญแจแบบฮาร์ดแวร์ทำได้ยากกว่า

แม้จะอ่อนแอกว่า แต่ Soft U2F ก็ช่วยป้องกันอันตรายได้หลายกรณี ตั้งแต่ การตั้งรหัสไม่ปลอดภัย, ผู้ให้บริการเว็บทำรหัสรั่ว, หรือแม้แต่โดน phishing สำหรับคนทั่วไปที่ไม่ต้องการซื้อฮาร์ดแวร์ Soft U2F ก็เพิ่มความปลอดภัยให้ได้

ตัวซอฟต์แวร์เปิดซอร์สโค้ดแบบสัญญาอนุญาต MIT และโครงการนี้เป็นส่วนหนึ่งของโครงการ GitHub Bug Bounty หากพบช่องโหว่แจ้งเพื่อรับเงินรางวัลได้

ที่มา - GitHub

Blognone Jobs Premium