รู้จัก “Two-Factor Authentication” ระบบยืนยันตัวตน 2 ชั้น ป้องกันบัญชีถูกแฮก

ปัจจุบันความปลอดภัยในการใช้อินเทอร์เน็ต คงไม่ได้หยุดอยู่แค่เพียงการใช้รหัสผ่านแล้ว สมัยนี้หลาย ๆ เว็บไซต์นิยมให้สมาชิกเปิดใช้บริการ การยืนยันตัวตน 2 ชั้น หรือ Two-factor authentication (2FA) วันนี้ผมจะพาเพื่อน ๆ ไปทำความรู้จักกับมันให้มากขึ้นครับ

Two-factor authentication (2FA) คืออะไร?

Two-factor authentication (2FA) จัดเป็นหนึ่งในรูปแบบการยืนยันตัวตนของ Multi-factor authentication (MFA) หรือพูดง่าย ๆ คือ เจ้า MFA เนี่ย มันจะให้เรายืนยันตัวตนได้หลากหลายวิธี (อาจจะ 1/2/3/4/5/….) และการที่เราเลือกการยืนยันตัวตน 2 วิธีหรือ 2 ขั้นตอน ก็จะถูกเรียกว่า 2FA นั่นเอง

สำหรับ MFA ที่นิยมใช้ในปัจจุบันจะประกอบด้วย 3 กลุ่มใหญ่ คือ

– Knowledge factor: การยืนยันตัวตนด้วยสิ่งที่เรารู้ เช่น รหัสผ่าน หรือหมายเลขพิน เป็นต้น

– Possession factor: การยืนยันตัวตนด้วยสิ่งที่เรามี เช่น ยืนยันผ่าน SMS มือถือ, ยืนยันผ่านแอปบนมือถือ หรือฮาร์ดแวร์พิเศษอย่าง USB เข้ารหัส เป็นต้น

– Inherence factor: อันนี้จะเป็นรหัสประเภท Biometric คือการใช้ส่วนต่าง ๆ ของร่างกายที่ระบุตัวตนได้ ใช้ในการเข้ารหัส เช่น ลายนิ้วมือ, เรตินา, สแกนใบหน้า หรือการจดจำเสียง เป็นต้น

จริง ๆ แล้วมันยังมีแบบใช้ Location และ Timestamp ด้วย เพียงแต่ที่นิยมใช้ก็จะมี 3 กลุ่มข้างต้น โดย 2FA คือการเลือกใช้ 2 ใน 3 อย่างนี้ ซึ่งมักจะเป็นการใช้รหัสผ่าน (Knowledge factor) และการยืนยันผ่าน SMS มือถือ หรือผ่านแอปบนมือถือ (Possession factor)

เหตุที่ต้องตั้งระบบแบบนี้ขึ้นมา เพราะไอ้ตัวรหัสผ่านแบบเดิม ๆ เดี๋ยวนี้มันไม่ปลอดภัยเท่าไรแล้วล่ะ เพราะพวกแฮกเกอร์สามารถเดารหัสผ่าน, หลอกให้กรอกรหัสผ่าน หรือแม้กระทั่งตรวจจับจากการกดแป้นคีย์บอร์ดยังได้เลย ต่อให้คุณเปลี่ยนรหัสทุก 3-6 เดือน แต่ถ้าแฮกเกอร์เดาถูกมันก็ไม่มีค่าอะไร

นั่นจึงทำให้เกิดการยืนยันตัวตนขั้นที่ 2 ขึ้นมา อย่างน้อย ๆ ถ้าแฮกเกอร์ได้รหัสเราไป มันจะยังไม่สามารถล็อกอินเข้าระบบของเราได้ เพราะต้องกรอกการยืนยันตัวตนขั้นที่ 2 ให้ผ่านเสียก่อน

ระบบการยืนยันตัวตนขั้นที่ 2 สามารถทำได้หลายทาง อย่างแรกคือการยืนยันผ่าน SMS โดยแพลตฟอร์มหรือเว็บไซต์ดังกล่าว หลังจากที่คุณกรอกรหัสผ่าน “ของตัวเองลงไปแล้ว” ระบบจะส่งรหัสผ่านอีกชุดหนึ่งมาให้คุณทาง SMS เพื่อเป็นการยืนยันตัวตนว่านี่คือเจ้าของบัญชีจริง ๆ นะ แล้วให้คุณกรอกรหัสเหล่านั้นลงไปในฟอร์มอีกที

อีกแบบหนึ่งคือการใช้แอปพลิเคชัน เช่น Google Authenticator หรือแอปเฉพาะอย่าง Steam บนมือถือ กรณีนี้จะคล้ายกับการส่ง SMS เพียงแต่คุณจะต้องเอารหัสผ่านขั้นที่ 2 จากแอปพลิเคชัน ซึ่งแอปมันจะสุ่มรหัสให้มาและต้องกรอกภายในเวลาที่กำหนดไว้ด้วย

สุดท้ายคือรูปแบบฮาร์ดแวร์ อันนี้ในไทยอาจจะมีให้เห็นกันน้อย ส่วนใหญ่จะอยู่ในรูปแบบแฟลชไดรฟ์ วิธีการใช้งานก็คล้ายกับแบบ SMS และแอปพลิเคชัน คือหลังจากที่คุณกรอกรหัสผ่านส่วนตัวเสร็จแล้ว ระบบจะขอให้คุณเสียบแฟลชไดรฟ์ยืนยันตัวตนนั่นเอง

แฟลชไดรฟ์ Google Titan ทำหน้าที่ยืนยันตัวตนขั้นที่ 2

บริการที่ควรใช้ 2FA

จริง ๆ ผมคิดว่ามันก็ควรใช้หมดนั่นแหละ แต่ด้วยความที่บางครั้งเราต้องการความรวดเร็วในการเข้าใช้งาน แล้วบัญชีบางรายการไม่ได้ต้องการความปลอดภัยขั้นสุดยอดอะไรขนาดนั้น (คือเราคิดว่ารหัสผ่านอย่างเดียวก็เพียงพอแล้ว) เพราะฉะนั้น บริการที่คุณควรเปิดใช้ 2FA จริง ๆ น่าจะมีดังนี้

– แอปพลิเคชันที่มีธุรกรรมการเงิน: โดยเฉพาะแอปช้อปปิ้งออนไลน์ ถ้ามี 2FA อย่าลืมเปิดใช้งานกันด้วย เพราะในนั้นมีข้อมูลแทบทุกอย่างที่เกี่ยวข้องกับการเงินของคุณ อย่างไรก็ตาม เท่าที่ผมใช้งานมาแอปส่วนใหญ่ดันไม่มี 2FA ให้ใช้งาน ถามว่าเสี่ยงไหม? ก็เสี่ยงนะ ทั้งนี้ เวลามีการทำธุรกรรมทางการเงินเกิดขึ้น ส่วนใหญ่เราจะได้รับอีเมลหรือข้อความจากธนาคารส่งมาอยู่แล้วล่ะ เพราะฉะนั้น ถ้าบัญชีคุณโดนแฮกแล้วถูกนำไปซื้อของ คุณก็จะรู้ได้ทันทีครับ

– Social Media: อีกหนึ่งที่ที่ควรใส่ 2FA เป็นอย่างยิ่งก็คือบัญชีของ Social Media ทั้งหลาย ผมให้คุณลองนึกดูว่ามีกี่เว็บไซต์, กี่เกม หรือกี่แอปแล้ว ที่คุณเชื่อมบัญชีด้วยแอคเคานต์ของ Social Media? จำไม่ได้ใช่ไหมล่ะ นี่แหละมันคือจุดบอดบนโลกอินเทอร์เน็ตที่คุณจะต้องอุดช่องโหว่นี้ไว้ เพื่อป้องกันไม่ให้คนเข้ามายุ่งกับบัญชี Social Media ของคุณ

– Email: ผมไม่เคยใช้ 2FA กับอีเมลเลยจนกระทั่งได้ยินข่าวเรื่องการแฮกระบบในช่วงที่ผ่านมา อีเมลของคุณคงไม่ต่างไปจากข้อ Social media สักเท่าไร เผลอ ๆ หนักกว่าด้วยซ้ำ เพราะคุณใช้อีเมลในการสมัครเว็บโน่นนั่นนี่เต็มไปหมด (รวมถึงสมัคร Social media ด้วย) ดังนั้น การใส่ 2FA ก็จะช่วยให้คุณอุ่นใจได้อีกเปราะหนึ่งแล้วล่ะ

2FA แฮกได้ไหม?

ปลอดภัยแค่ไหน ถ้าเขาจะแฮก มันก็ถูกแฮกได้ – ใช่แล้วครับ แม้ 2FA จะมีความปลอดภัยมากกว่ารหัสผ่าน ตรงที่ว่ามีแค่คุณคนเดียวที่รู้และต้องใช้อุปกรณ์อื่น ๆ ช่วย แต่ไม่ได้หมายความว่ามันจะปลอดภัยโดยสิ้นเชิง สำหรับเรื่องการแฮกระบบล็อกอินที่ต้องยืนยันตัวตัน 2 ชั้นด้วย 2FA นั้น ผมหาข้อมูลมาได้ ดังนี้

แฮกผ่านการ Phishing

นี่น่าจะเป็นวิธีเบสิกที่สุด แฮกเกอร์จะสร้างหน้าเว็บปลอม ๆ ที่คล้ายกับหน้าเว็บจริง ให้คุณเข้าไปล็อกอินเพื่อขโมยรหัสผ่านเสียก่อน (ได้การยืนยันตัวตนขั้นแรกของเรามาแล้ว) จากนั้นมันจะขึ้นหน้าปลอม ๆ ให้คุณกรอกการยืนยันตัวตนขั้นที่ 2 เมื่อคุณกรอกรหัสขั้นที่ 2 แฮกเกอร์จะต้องอาศัย “ความเร็ว” ในการเอาข้อมูลทั้งหมดของคุณไปล็อกอินบน “หน้าเว็บของจริง” ให้ทันก่อนที่รหัสผ่านขั้นที่ 2 จะใช้การไม่ได้ ถ้าทำสำเร็จแฮกเกอร์ก็จะเข้าถึงบัญชีของคุณได้อย่างง่ายดาย

ซึ่งนี่จะเป็นจุดด้อยในกรณีที่คุณเลือกใช้การยืนยันด้วย “แอปพลิเคชัน” เพราะแอปพวกนี้มันจะสร้างรหัสมาให้เราเรื่อย ๆ ในขณะที่การยืนยันรหัสผ่าน SMS จะสร้างขึ้นก็ต่อเมื่อคุณ Request เท่านั้น ดังนั้น ถ้าคุณใช้รหัสผ่านจากแอปพลิเคชันคุณจะเสร็จ Phishing ทันที แต่ถ้าคุณใช้การยืนยันรหัสผ่านด้วย SMS เว็บ Phishing พวกนี้มันจะไม่สามารถต่อเชื่อมต่อมายังมือถือของคุณได้ คุณจะไม่รับข้อความและคุณก็จะพอไหวตัวทันครับ

อีกวิธีหนึ่งในการป้องกัน Phishing คือการใช้ซอฟต์แวร์กลุ่ม Password manager โปรแกรมพวกนี้จะช่วยสร้างรหัสผ่าน (ของการยืนยันตัวตนที่ 1) และจดจำเว็บที่ถูกต้องไว้ ถ้าคุณเข้าเว็บ Phishing โปรแกรม Password manager มันจะไม่ยอมให้คุณใส่รหัสผ่าน

แฮกผ่าน Brute force

วิธีนี้จะนิยมใช้แฮกระบบที่ใช้รหัสผ่านในขั้นที่ 2 เพียงไม่กี่หลัก เช่น รหัสแบบตัวเลข 4 หลัก ซึ่งการ Brute foce คือการสุ่มรหัสผ่านขั้นที่ 2 ขึ้นมาจนได้รหัสที่ถูกต้อง แต่ปัจจุบันพบการแฮกด้วยวิธีนี้น้อยลงมาก เนื่องจากเว็บไซต์ที่รองรับ 2FA ส่วนใหญ่ จะมีระยะเวลากำหนดในการใส่รหัสผ่านยืนยันตัวตนขั้นที่ 2 อย่างจำกัด ดังนั้น ถ้าแฮกเกอร์มัวแต่ทำ Brute force คงไม่ทันกินแน่นอน

แฮกด้วยซอฟต์แวร์

ส่วนนี้ผมจะไม่ขออธิบายมาก เดี๋ยวมันจะลึกเกิน (แล้วก็กลัวอธิบายผิด) คือก่อนหน้านี้มีช่วงหนึ่งที่พบการแฮกทวิตเตอร์ของเหล่าคนดัง ซึ่งเชื่อว่ามีการใช้ซอฟต์แวร์บางประเภทในการเจาะระบบยืนยันตัวตนขั้นที่ 2 ครับ

แฮกด้วยการย้ายเบอร์ (SIM Swapping)

โดยคร่าว ๆ คือแฮกเกอร์จะมีการแจ้งไปยังคอลเซนเตอร์ ให้มีการย้ายเบอร์โทรศัพท์มือถือไปยังซิมการ์ดเป้าหมาย (ซึ่งพวกเขาน่าจะมีกระบวนการเชิงลึกอีก ผมขอละไว้ในฐานที่เข้าใจ) ส่งผลให้เบอร์ของคุณถูกย้ายไปอยู่ในซิมการ์ดของแฮกเกอร์ เมื่อมีการร้องขอ 2FA ผ่าน SMS ข้อความจะถูกส่งไปยังซิมการ์ดของแฮกเกอร์แทน

ช่อง YouTube แห่งหนึ่งที่ถูกแฮก Cr. iMore

แฮกผ่าน Third party

ต้องบอกว่ามันไม่ใช่การแฮก 2FA โดยตรง แต่เป็นการใช้ทางเลี่ยงเพื่อเข้าสู่ระบบ อย่างที่ผมบอกว่าปกติแล้วเว็บไซต์หนึ่ง ๆ อาจจะอนุญาตให้คุณเลือกวิธีล็อกอินได้มากกว่า 1 วิธี ซึ่งหนึ่งในนั้นคือการล็อกอินด้วยบัญชีของ Social media เช่น บัญชี Facebook แฮกเกอร์ก็จะอาศัยวิธีนี้ในการเข้าถึงบัญชีของคุณได้ โดยไม่ต้องยืนยันตัวตนด้วย 2FA เสียด้วยซ้ำ

แฮกผ่านบัญชีร่วม

ข้อนี้เป็นวิธีที่ผมเพิ่งทราบมาเหมือนกัน สำหรับกรณีที่คุณทำ Facebook Page หรือ YouTube Channel ที่มีแอดมินร่วมกันหลายคน (คือ 1 ช่อง/เพจ มีหลายบัญชีเข้ามาเป็นแอดมินร่วมกัน) ซึ่งทุกบัญชีควรจะเปิด 2FA ไว้ ถ้ามีบัญชีใดบัญชีหนึ่งในกลุ่มไม่ได้เปิด 2FA ยังไง ๆ แฮกเกอร์ก็สามารถเจาะเข้าบัญชีนั้นได้อย่างง่ายดาย

และนี่คือความสำคัญของการเปิดใช้งาน Two-factor authentication (2FA) ซึ่งอยากให้ทุกคนเปิดใช้งานกัน โดยเฉพาะบัญชี Facebook, Twitter, Instagram และ YouTube ที่เป็นช่องทางทำมาหากินและมีความสำคัญกับคุณ แม้มันอาจจะไม่ใช่วิธีการที่ปลอดภัย 100% แต่มันก็ช่วยอุดช่องโหว่ที่การใส่ Password ธรรมดา ๆ ทำไม่ได้ครับ

Related articles

Dyson Zone เปิดตัว หน้ากากฟอกอากาศ พร้อมหูฟังตัดเสียงรบกวน สไตล์ Cyberpunk

ก่อนหน้านี้ Razer เคยเปิดตัวหน้ากากอนามัยพร้อมระบบฟอกอากาศที่มีไฟ RGB มาแล้ว ล่าสุด Dyson ก็เปิดตัวหน้ากากอนามัยพร้อมระบบฟอกอากาศออกมาด้วยเช่นกัน แต่ต่างกันที่เขามีหูฟังติดมาให้ด้วย https://youtu.be/EdZYyoqlktg ไม่รู้ว่าจะเรียกหูฟังพร้อมหน้ากาก...

“เทนเซ็นต์ คลาวด์” ร่วมจัดแสดงโซลูชัน ‘คลาวด์ – เอไอ’ ในงาน “Digital Night 2022” มหกรรมรวมพลคนดิจิทัลจากสมาคมดิจิทัลชั้นนำระดับประเทศ

กรุงเทพฯ (8 ธันวาคม 2565) – เทนเซ็นต์ คลาวด์ กลุ่มธุรกิจคลาวด์ ภายใต้เทนเซ็นต์ หนึ่งในผู้ให้บริการคลาวด์ชั้นนำระดับโลก ในฐานะ ‘Digital Enabler’ ที่ต้องการสนับสนุนองค์กรไทยให้เร่งปรับตัวรับการเปลี่ยนแปลง และสามารถขยายศักยภาพ ด้วยโซลูชันคลาวด์ และเอไอที่มีประสิทธิภาพ...

GARMIN ผนึกกำลัง BDMS Wellness Clinic รุกธุรกิจสุขภาพ ตอบรับกระแสเฮลท์เทคฯ

ผลักดันแนวคิด “ติดตามแนวโน้มสุขภาพเพื่อป้องกันความเสี่ยงการเกิดปัญหาสุขภาพ” (Monitoring for Preventive Health Issue)   เปิดตัว GARMIN X...

BenQ ครองอันดับ 1 จอกระดานอัจฉริยะ เติบโตถึง 77%

   BenQ ผู้นำระดับโลก ด้านโซลูชั่นภาพและเสียง ประกาศความสำเร็จในฐานะแบรนด์อันดับ 1 ตลาดจอแสดงผลภาพหรือจอกระดานอัจฉริยะ ในภูมิภาคเอเชียแปซิฟิกและตะวันออกกลาง ด้วยส่วนแบ่งการตลาด 10.2% ในไตรมาสที่ 3...

“บ้านปู เน็กซ์” จับมือ “แพลนเน็ตคอมฯ” ขับเคลื่อนสมาร์ทซิตี้ทั่วประเทศ ส่ง “สมาร์ท เซฟตี้ แพลตฟอร์ม” หนุนจัดการเมืองให้ปลอดภัย น่าอยู่ และยั่งยืน

กรุงเทพฯ – “บ้านปู เน็กซ์” ผู้ให้บริการโซลูชันพลังงานสะอาดชั้นนำในภูมิภาคเอเชียแปซิฟิก ลงนามสานต่อความร่วมมือกับ “แพลนเน็ตคอมฯ” ผู้ให้บริการเทคโนโลยีดิจิทัลแบบครบวงจรชั้นนำของไทย รุกขยายบริการ “สมาร์ท เซฟตี้ แพลตฟอร์ม” (Smart Safety Platform) ชูจุดแข็งบริหารจัดการความปลอดภัยรอบด้าน...

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • เปิดใช้งานตลอด

บันทึกการตั้งค่า