บทความนี้มีจุดมุ่งหมายเพื่อชี้แจงคำจำกัดความ FIDO, FIDO2, Security Key และแนวปฏิบัติที่แนะนำสำหรับฮาร์ดแวร์วอลเล็ต OneKey ในฐานะ Security Key
Security Key คืออะไร?
Security Key เป็นอุปกรณ์กายภาพที่นำมาตรฐาน FIDO มาใช้เพื่อให้การยืนยันตัวตนแบบสองปัจจัย (2FA), การยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือการยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน เมื่อคุณเข้าสู่ระบบบริการที่รองรับ FIDO คุณสามารถเพิ่ม Security Key เป็น วิธีการยืนยันตัวตนเสริม กับ Passkeys ของคุณ (ข้อมูลประจำตัวแบบชีวมาตร หรือแอปพลิเคชันยืนยันตัวตน) ได้
โปรโตคอล
|
อุปกรณ์ที่รองรับ
|
FIDO U2F
|
ฮาร์ดแวร์วอลเล็ต OneKey ทุกรุ่น
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
โปรดทราบว่าฮาร์ดแวร์วอลเล็ต OneKey ทุกรุ่นในปัจจุบัน รองรับ การยืนยันตัวตน FIDO/FIDO2 ผ่าน การเชื่อมต่อ USB เท่านั้น
การยืนยันตัวตน FIDO และ FIDO2 คืออะไร?
FIDO (Fast IDentity Online) เป็นมาตรฐานเปิดที่ออกแบบมาเพื่อทำให้กระบวนการยืนยันตัวตนง่ายขึ้นและแข็งแกร่งขึ้น มาตรฐานนี้เดิมออกแบบโดย Google และ Yubico โดยได้รับการสนับสนุนจาก NXP Semiconductors ปัจจุบันถูกดูแลโดย FIDO Alliance โดยมีเป้าหมายเพื่อลดการพึ่งพารหัสผ่านซึ่งอาจไม่แข็งแกร่งและถูกเจาะได้ง่าย แต่ FIDO ใช้การเข้ารหัสแบบกุญแจสาธารณะ (public key cryptography) เพื่อให้การยืนยันตัวตนที่แข็งแกร่งและป้องกันฟิชชิงได้
FIDO2 เป็นชุดข้อกำหนดล่าสุดจาก FIDO Alliance และ World Wide Web Consortium (W3C) โดยต่อยอดมาจากมาตรฐาน FIDO U2F (Universal 2nd Factor) เดิม และประกอบด้วยสองส่วนหลัก:
WebAuthn (Web Authentication): API ที่อนุญาตให้เว็บแอปพลิเคชันดำเนินการยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน, การยืนยันตัวตนด้วยโทเค็น และการยืนยันตัวตนแบบสองปัจจัย (2FA) โดยใช้การเข้ารหัสแบบกุญแจสาธารณะ
CTAP (Client to Authenticator Protocol): โปรโตคอลที่อนุญาตให้อุปกรณ์ภายนอก (เช่น ฮาร์ดแวร์โทเค็น) โต้ตอบกับเบราว์เซอร์ผ่านอินเทอร์เฟซที่เป็นมาตรฐาน
ความแตกต่างที่สำคัญระหว่าง FIDO และ FIDO2:
การยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน: FIDO2 ขยายขีดความสามารถของ FIDO U2F โดยอนุญาตให้เข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน ซึ่ง FIDO U2F ไม่รองรับ
การผสานรวมกับเว็บที่กว้างขึ้น: ด้วยการนำ WebAuthn มาใช้ FIDO2 ได้รับการออกแบบมาเพื่อการผสานรวมกับเว็บแอปพลิเคชันได้อย่างราบรื่น ทำให้ง่ายต่อการนำไปใช้กับแพลตฟอร์มและบริการต่างๆ
คุณสมบัติด้านความปลอดภัยที่ได้รับการปรับปรุง: FIDO2 มีการป้องกันที่แข็งแกร่งยิ่งขึ้นต่อการโจมตีแบบฟิชชิงและรูปแบบอื่นๆ ของการขโมยข้อมูลประจำตัว
การใช้ OneKey Devices เป็น Security Keys
ฮาร์ดแวร์วอลเล็ต OneKey ของเราได้รับการออกแบบมาเพื่อมอบฟีเจอร์ความปลอดภัยที่แข็งแกร่ง รวมถึงการรองรับ FIDO และ FIDO2 นี่คือขั้นตอนการทำงานทั่วไปสำหรับการใช้ฮาร์ดแวร์วอลเล็ต OneKey เป็น FIDO Security Key สำหรับการยืนยันตัวตนบนเว็บ:
ลงทะเบียน OneKey Device ของคุณ:
เชื่อมต่อฮาร์ดแวร์วอลเล็ต OneKey ของคุณ (ผ่าน USB) เข้ากับคอมพิวเตอร์ของคุณ
ไปที่การตั้งค่าความปลอดภัยของเว็บเซอร์วิสที่คุณต้องการใช้ (เช่น Google, Facebook หรือบริการอื่นที่รองรับ)
เลือกตัวเลือกเพื่อเพิ่ม security key และทำตามคำแนะนำเพื่อลงทะเบียน OneKey Device ของคุณ
ยืนยันตัวตนด้วย OneKey Device ของคุณ:
เลือก security key เป็นวิธีการยืนยัน
เชื่อมต่อฮาร์ดแวร์วอลเล็ต OneKey ของคุณเข้ากับอุปกรณ์ของคุณผ่านสายเคเบิล
ในขั้นตอนนี้ โดยใช้บัญชี Google เป็นตัวอย่าง ให้เลือกตัวเลือกเพื่อเพิ่ม security key และคลิก "Use another device" (ใช้อุปกรณ์อื่น)
ณ จุดนี้ อุปกรณ์จะแจ้งให้ยืนยัน security key ใหม่ (โดยใช้ OneKey Pro เป็นตัวอย่าง)
หลังจากยืนยัน หน้าเว็บจะแสดงว่า security key ถูกสร้างขึ้นสำเร็จแล้ว
แนวปฏิบัติและข้อควรทราบที่แนะนำ
เพื่อหลีกเลี่ยงการถูกล็อก: ออกจากบริการบนเว็บที่คุณชื่นชอบเนื่องจากฮาร์ดแวร์วอลเล็ตสูญหาย/รีเซ็ต โปรดตั้งค่าวิธีการยืนยันตัวตนเพิ่มเติม (เช่น FaceID, TouchID) นอกเหนือจากฮาร์ดแวร์วอลเล็ต security key ของคุณ
Recovery phrases เพียงอย่างเดียวไม่สามารถกู้คืน FIDO/FIDO 2 ได้: FIDO และ crypto wallets อาศัย recovery phrases ในการกู้คืน key pairs (public และ private keys) แต่ต่างจาก crypto assets, FIDO authentication keys ได้รับผลกระทบจากข้อมูลเฉพาะของฮาร์ดแวร์อุปกรณ์ เช่น หมายเลขซีเรียล Recovery phrases ชุดเดียวกันในฮาร์ดแวร์วอลเล็ตที่ต่างกันอาจนำไปสู่ความไม่ตรงกันของ FIDO2 authentication key pair ที่ต้องการ ซึ่งส่งผลให้การเข้าสู่ระบบล้มเหลว ตัวอย่างเช่น บัญชี Google และ Binance จะไม่จดจำ recovery phrases ชุดเดียวกันในฮาร์ดแวร์วอลเล็ตที่ต่างกันว่าเป็น security key เดียวกัน
หลักการ Counter ใน FIDO2: Counter ใน FIDO2 ใช้เพื่อป้องกันการโจมตีแบบ replay attack ทั้ง authentication server (เว็บเซอร์วิสที่คุณพยายามเข้าสู่ระบบ) และอุปกรณ์ (เช่น ฮาร์ดแวร์วอลเล็ต) จะนับและบันทึกคำขอยืนยันตัวตนแต่ละครั้งเพื่อป้องกัน "replay attacks" สำหรับเซิร์ฟเวอร์ที่ใช้ "Counter" Principle การรีเซ็ตฮาร์ดแวร์วอลเล็ตจะสร้างความไม่ตรงกันระหว่างการบันทึก counter ในเซิร์ฟเวอร์และฮาร์ดแวร์วอลเล็ต ซึ่งส่งผลให้การเข้าสู่ระบบล้มเหลวด้วยอุปกรณ์ (ที่รีเซ็ต) และ phrases ชุดเดียวกัน
สำหรับความช่วยเหลือเพิ่มเติมหรือคำแนะนำโดยละเอียด โปรดดูที่ศูนย์ช่วยเหลือของเรา หรือ ติดต่อทีมสนับสนุนของเรา รักษาความปลอดภัยด้วย OneKey!