โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

กุญแจ U2F เป็นการพัฒนาการป้องกันให้สูงกว่าการล็อกอินแบบสองขั้นตอนตามปกติ เช่น การรับรหัสจาก SMS ที่ผู้ใช้ยังมีโอกาสถูกล่อลวงจากเว็บฟิชชิ่ง ที่หลอกทั้งรหัสผ่านและรหัสจาก SMS ไปพร้อมกัน แต่กุญแจ U2F นั้นจะตรวจสอบโดเมนของเว็บที่กำลังใช้งานและสร้างข้อมูลยืนยันการทำงานตามแต่ละโดเมนเท่านั้น การล่อลวงแบบฟิชชิ่งจึงทำได้ยาก เพราะแม้โดเมนหลอกจะมีหน้าตาคล้ายกับโดเมนจริง แต่ก็ไม่สามารถหลอกตัวกุญแจที่อ่านค่าแฮชของโดเมนได้

บริการสาธารณะสำคัญๆ เริ่มรองรับ U2F แล้วจำนวนมาก กูเกิลเองที่รองรับมาก่อนก็ เปิดบริการ Advanced Protection Program ที่เพิ่มความปลอดภัยในการกู้บัญชี โดยการเปิดใช้โหมดนี้ต้องลงทะเบียนกุญแจ U2F อย่างน้อยสองชิ้นป้องกันกุญแจหาย

ในสหรัฐฯ ธนาคารหลายแห่ง และ Visa เริ่มสาธิตการใช้ U2F เพื่อยืนยันการทำธุรกรรม

ที่มา - KrebsOnSecurity

ภาพจาก Yubico