บทความนี้มีจุดมุ่งหมายเพื่อชี้แจงคำจำกัดความของ FIDO, FIDO2, Security Key และแนวทางปฏิบัติที่แนะนำสำหรับฮาร์ดแวร์วอลเล็ต OneKey ในฐานะ Security Key
Security Key คืออะไร?
Security Key คืออุปกรณ์ทางกายภาพที่ใช้มาตรฐาน FIDO เพื่อให้การยืนยันตัวตนแบบสองปัจจัย (2FA), หลายปัจจัย (MFA) หรือแบบไม่ต้องใช้รหัสผ่าน เมื่อคุณเข้าสู่ระบบบริการที่รองรับ FIDO คุณสามารถเพิ่ม Security Key เป็น วิธีการยืนยันตัวตนเสริม สำหรับ passkeys ของคุณ (ข้อมูลประจำตัวไบโอเมตริกซ์ หรือแอปพลิเคชันยืนยันตัวตน)
โปรโตคอล
|
อุปกรณ์ที่รองรับ
|
FIDO U2F
|
ฮาร์ดแวร์วอลเล็ต OneKey ทุกรุ่น
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
โปรดทราบว่าฮาร์ดแวร์วอลเล็ต OneKey ทุกรุ่นในปัจจุบัน รองรับ การยืนยันตัวตน FIDO/FIDO2 ผ่าน การเชื่อมต่อ USB เท่านั้น
การยืนยันตัวตน FIDO และ FIDO2 คืออะไร?
FIDO (Fast IDentity Online) เป็นมาตรฐานเปิดที่ออกแบบมาเพื่อทำให้กระบวนการยืนยันตัวตนง่ายขึ้นและแข็งแกร่งขึ้น มาตรฐานนี้เดิมออกแบบโดย Google และ Yubico โดยได้รับการสนับสนุนจาก NXP Semiconductors ปัจจุบันได้รับการดูแลโดย FIDO Alliance โดยมีเป้าหมายเพื่อลดการพึ่งพารหัสผ่านซึ่งอาจไม่ปลอดภัยและถูกละเมิดได้ง่าย แทนที่ FIDO จะใช้การเข้ารหัสแบบกุญแจสาธารณะ (public-key cryptography) เพื่อให้การยืนยันตัวตนที่แข็งแกร่งและป้องกันฟิชชิง
FIDO2 เป็นชุดข้อกำหนดล่าสุดจาก FIDO Alliance และ World Wide Web Consortium (W3C) ซึ่งต่อยอดมาจากมาตรฐาน FIDO U2F (Universal 2nd Factor) ดั้งเดิมและประกอบด้วยสององค์ประกอบหลัก:
WebAuthn (Web Authentication): API ที่อนุญาตให้เว็บแอปพลิเคชันทำการยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน, การยืนยันตัวตนด้วยโทเค็น และการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยใช้การเข้ารหัสแบบกุญแจสาธารณะ
CTAP (Client to Authenticator Protocol): โปรโตคอลที่อนุญาตให้อุปกรณ์ภายนอก (เช่น ฮาร์ดแวร์โทเค็น) โต้ตอบกับเบราว์เซอร์ผ่านอินเทอร์เฟซที่เป็นมาตรฐาน
ความแตกต่างที่สำคัญระหว่าง FIDO และ FIDO2:
การยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน: FIDO2 ขยายขีดความสามารถของ FIDO U2F โดยอนุญาตให้เข้าสู่ระบบแบบไม่ต้องใช้รหัสผ่าน ซึ่ง FIDO U2F ไม่รองรับ
การผสานรวมกับเว็บที่กว้างขวางขึ้น: ด้วยการเปิดตัว WebAuthn, FIDO2 ได้รับการออกแบบมาเพื่อการผสานรวมที่ราบรื่นกับเว็บแอปพลิเคชัน ทำให้ง่ายต่อการนำไปใช้งานในแพลตฟอร์มและบริการต่างๆ
คุณสมบัติด้านความปลอดภัยที่ได้รับการปรับปรุง: FIDO2 ให้การป้องกันที่แข็งแกร่งยิ่งขึ้นต่อการโจมตีแบบฟิชชิงและรูปแบบอื่นๆ ของการขโมยข้อมูลประจำตัว
การใช้ OneKey Devices เป็น Security Keys
ฮาร์ดแวร์วอลเล็ต OneKey ของเราได้รับการออกแบบมาเพื่อมอบฟีเจอร์ความปลอดภัยที่แข็งแกร่ง รวมถึงการรองรับ FIDO และ FIDO2 นี่คือขั้นตอนทั่วไปในการใช้ฮาร์ดแวร์วอลเล็ต OneKey เป็น FIDO Security Key สำหรับการยืนยันตัวตนบนเว็บ:
ลงทะเบียน OneKey Device ของคุณ:
เชื่อมต่อฮาร์ดแวร์วอลเล็ต OneKey ของคุณ (ผ่าน USB) กับคอมพิวเตอร์ของคุณ
ไปที่การตั้งค่าความปลอดภัยของบริการเว็บที่คุณต้องการใช้ (เช่น Google, Facebook หรือบริการที่รองรับอื่นๆ)
เลือกตัวเลือกเพื่อเพิ่ม security key และทำตามคำแนะนำเพื่อลงทะเบียน OneKey Device ของคุณ
ยืนยันตัวตนด้วย OneKey Device ของคุณ:
เลือก security key เป็นวิธีการตรวจสอบ
เชื่อมต่อฮาร์ดแวร์วอลเล็ต OneKey ของคุณกับอุปกรณ์ของคุณผ่านสายเคเบิล
ที่นี่, โดยใช้บัญชี Google เป็นตัวอย่าง, เลือกตัวเลือกเพื่อเพิ่ม security key และคลิก "Use another device".
ในขณะนี้, อุปกรณ์จะแจ้งให้ยืนยันสิทธิ์ security key ใหม่ (โดยใช้ OneKey Pro เป็นตัวอย่าง).
หลังจากการยืนยัน, หน้าเว็บจะแสดงว่า security key ถูกสร้างขึ้นสำเร็จแล้ว.
แนวทางปฏิบัติและประกาศที่แนะนำ
เพื่อหลีกเลี่ยงการถูกล็อก: จากบริการเว็บที่คุณชื่นชอบเนื่องจากฮาร์ดแวร์วอลเล็ตสูญหาย/รีเซ็ต, โปรดตั้งค่าวิธีการตรวจสอบเพิ่มเติม (เช่น FaceID, TouchID) นอกเหนือจาก security key ฮาร์ดแวร์วอลเล็ตของคุณ
วลีการกู้คืนเพียงอย่างเดียวไม่สามารถกู้คืน FIDO/FIDO 2 ได้: FIDO และ crypto wallets ต่างก็ต้องพึ่งพาวลีการกู้คืนเพื่อกู้คืนคู่กุญแจ (public และ private keys) แต่ต่างจากสินทรัพย์ดิจิทัล, FIDO authentication keys ยังได้รับผลกระทบจากข้อมูลเฉพาะของอุปกรณ์ฮาร์ดแวร์ เช่น หมายเลขซีเรียล วลีการกู้คืนชุดเดียวกันในฮาร์ดแวร์วอลเล็ตที่แตกต่างกันอาจนำไปสู่ความไม่ตรงกันกับ FIDO2 authentication key pair ที่ต้องการ - จึงทำให้การเข้าสู่ระบบล้มเหลว ตัวอย่างเช่น: บัญชี Google และ Binance จะไม่รับทราบวลีการกู้คืนเดียวกันในฮาร์ดแวร์วอลเล็ตที่แตกต่างกันว่าเป็น security key เดียวกัน
หลักการ Counter ใน FIDO2: Counter ใน FIDO2 ใช้เพื่อป้องกันการโจมตีแบบ replay ทั้งเซิร์ฟเวอร์การยืนยันตัวตน (บริการเว็บที่คุณพยายามเข้าสู่ระบบ) และอุปกรณ์ (เช่น ฮาร์ดแวร์วอลเล็ต) จะนับและเก็บบันทึกคำขอการยืนยันตัวตนแต่ละครั้งเพื่อป้องกัน "การโจมตีแบบ replay" สำหรับเซิร์ฟเวอร์ที่ใช้หลักการ "Counter", การรีเซ็ตฮาร์ดแวร์วอลเล็ตจะสร้างความไม่ตรงกันระหว่างบันทึก counter ในเซิร์ฟเวอร์และฮาร์ดแวร์วอลเล็ต - จึงทำให้การเข้าสู่ระบบล้มเหลวด้วยอุปกรณ์เดียวกัน (ที่รีเซ็ต) และวลีเดียวกัน
สำหรับความช่วยเหลือเพิ่มเติมหรือคำแนะนำโดยละเอียด โปรดดูที่ศูนย์ช่วยเหลือของเรา หรือ ติดต่อทีมสนับสนุนของเรา ปลอดภัยไว้เสมอด้วย OneKey!
}