Bitwarden ระบบจัดการรหัสผ่านออกมาประกาศว่า ผู้ใช้งานทุกคนสามารถเข้าถึง password vaults บนเว็บไซต์โดยใช้ passkey แทนวิธีมาตรฐานเดิมซึ่งใช้ Username และ password คู่กันได้แล้ว
Passkeys เป็นวิธีการปกป้องรหัสผ่านอีกรูปแบบหนึ่งที่มีความปลอดภัยมากกว่าวิธีการมาตรฐาน และมีการใช้งานกันอย่างแพร่หลาย โดยที่สามารถป้องกันการโจมตีแบบ Phishing ได้ ซึ่งในกรณีของ Bitwarden จะอนุญาตให้ผู้ใช้งานเข้าถึง password vaults โดยไม่ต้องใช้รหัสผ่านหลัก (master password), อีเมล, หรือแม้กระทั่งการยืนยันตัวตนหลายขั้นตอน (2FA)
การใช้งาน PRF (pseudo-random function)
การใช้งานฟังก์ชัน passkeys ใน Bitwarden ยังอยู่ในช่วงของการทดลองใช้งาน และสามารถใช้ได้กับ PRF WebAuth extension ในทั้งการยืนยันตัวตน และรับ key สำหรับเข้ารหัส และถอดรหัสข้อมูลใน password vaults ได้
Ryan Luibrand ผู้จัดการอาวุโสฝ่ายการตลาดด้านผลิตภัณฑ์จาก Bitwarden ให้ข้อมูลเพิ่มเติมว่า แอปพลิเคชันเข้ารหัสผ่านแบบ end-to-end อย่าง Bitwarden จำเป็นต้องใช้การยืนยันตัวตนของผู้ใช้งาน รวมไปถึงการเข้ารหัส และถอดรหัสอย่างปลอดภัยของข้อมูล
ในส่วนของขั้นตอนการเข้ารหัส จำเป็นต้องใช้ Static key ซึ่งมาจากรหัสผ่าน โดยที่ passkey จะถูกสร้างขึ้นเป็นค่าที่แตกต่างกันในการยืนยันตัวตนแต่ละครั้ง ซึ่งทางแอปพลิเคชันไม่สามารถรับรู้ค่าในส่วนนี้ได้
ในการทำให้สามารถเข้าถึง password vaults ได้สะดวกมากยิ่งขึ้นโดยที่ไม่ทำให้ความปลอดภัยต่ำลง Bitwarden เลือกที่จะใช้ WebAuthn extension ซึ่งเป็นวิธีการที่อนุญาตให้ได้รับค่าเฉพาะที่แตกต่างจาก Passkey ได้
Extension นี้ยกระดับมาตรฐานในการใช้งาน key ที่มีการเข้ารหัสแบบ Symmetric จากระบบยืนยันตัวตนอย่าง security key เมื่อใช้งานกับเว็บบราวเซอร์ที่รองรับ
“Bitwarden ยังระบุเพิ่มเติมอีกว่าเมื่อใช้งานเทคโนโลยี encryption key จาก passkey ในเว็บไซต์ต่าง ๆ สามารถทำให้การเข้ารหัส และถอดรหัสข้อมูลมีความน่าเชื่อถือมากยิ่งขึ้น”
เมื่อผู้ใช้งานสมัคร passkey โดยใช้ hardware security key นั่นหมายถึงการเปิดใช้งาน Bitwarden เพื่อเข้ารหัส password vaults ของผู้ใช้งานโดยใช้ associated encryption key
การใช้งาน PRF ไม่ได้บันทึก keys ลงบน hardware แต่สร้าง keys จากข้อมูลที่ถูกป้อนเข้าไป (salt) ผ่านแหล่งที่มีความน่าเชื่อถือ (website) ซึ่งไม่เหมือนกับการทำงานของ hardware security modules (HSMs)
เพราะการสร้าง key เป็นขั้นตอนที่ถูกกำหนดไว้อย่างชัดเจน ซึ่งระบบจะคืนค่าเดิมจากค่าแรกที่ป้อนเข้าไป ดังนั้น passkey จึงมีความน่าเชื่อถือในการใช้งานบน online platform หรือบริการเดียวกัน
ในโพสต์เมื่อเมษายนที่ผ่านมา Bitwarden ได้อธิบายรายละเอียดเพิ่มเติมในส่วนของการนำระบบ PRF extension มาใช้งาน และการทำงานของระบบว่า “การใช้งาน passkey ในการเข้าระบบ Bitwarden ร่วมกันกับระบบความปลอดภัย passkey with zero knowledge, คือการป้องปกป้องรหัสผ่านแบบ end-to-end ที่ bitwarden มอบให้ผู้ใช้งาน เพื่อรองรับกับข้อมูลที่มีความเสี่ยงและ credentials ที่สำคัญ”
การติดตั้ง passkeys
ทีม Bitwarden ได้สร้างวิดิโอสาธิตวิธีการใช้งานฟังก์ชันใหม่ บนแพลตฟอร์ม และสาธิตวิธีการสร้าง passkeys สำหรับผู้ใช้งานจากเมนูการตั้งค่าบัญชีผู้ใช้ในลิงก์วิดิโอนี้
ซึ่งในช่วงทดลองใช้งาน beta นี้ Bitwarden จะอนุญาตให้ผู้ใช้งานทุกระดับสามารถสร้าง passkeys สำหรับเว็บแอปพลิเคชันได้มากสูงสุด 5 passkeys
ฟังก์ชันนี้พร้อมให้บริการใน Chromium-based เบราเซอร์ที่รองรับ PRF WebAuthn ซึ่งมีแผนจะเพิ่มจำนวนผู้ใช้งานในอนาคตด้วย
สำหรับ Passkeys ที่ไม่รองรับ PRF WebAuthn extension นี้ ผู้ใช้งานยังสามารถยืนยันตัวตนโดยที่ไม่ใช้อีเมล หรือระบบยืนยันตัวตนหลายขั้นตอนได้โดยใช้เพียงรหัสผ่านของ Bitwarden ในการถอดรหัส
ที่มา bleepingcomputer
You must be logged in to post a comment.