กูเกิลระบุตั้งแต่บังคับใช้กุญแจ U2F ไม่พบพนักงานเป็นเหยื่อ Phishing อีกเลย

2018-07-23

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

กุญแจ U2F เป็นการพัฒนาการป้องกันให้สูงกว่าการล็อกอินแบบสองขั้นตอนตามปกติ เช่น การรับรหัสจาก SMS ที่ผู้ใช้ยังมีโอกาสถูกล่อลวงจากเว็บฟิชชิ่ง ที่หลอกทั้งรหัสผ่านและรหัสจาก SMS ไปพร้อมกัน แต่กุญแจ U2F นั้นจะตรวจสอบโดเมนของเว็บที่กำลังใช้งานและสร้างข้อมูลยืนยันการทำงานตามแต่ละโดเมนเท่านั้น การล่อลวงแบบฟิชชิ่งจึงทำได้ยาก เพราะแม้โดเมนหลอกจะมีหน้าตาคล้ายกับโดเมนจริง แต่ก็ไม่สามารถหลอกตัวกุญแจที่อ่านค่าแฮชของโดเมนได้

บริการสาธารณะสำคัญๆ เริ่มรองรับ U2F แล้วจำนวนมาก กูเกิลเองที่รองรับมาก่อนก็เปิดบริการ Advanced Protection Program ที่เพิ่มความปลอดภัยในการกู้บัญชี โดยการเปิดใช้โหมดนี้ต้องลงทะเบียนกุญแจ U2F อย่างน้อยสองชิ้นป้องกันกุญแจหาย

ในสหรัฐฯ ธนาคารหลายแห่ง และ Visa เริ่มสาธิตการใช้ U2F เพื่อยืนยันการทำธุรกรรม

ที่มา – KrebsOnSecurity

No Description

ภาพจาก Yubico