การยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) คืออะไร?

Image credit: twenty20

การใส่พาสเวิร์ดแบบขั้นตอนเดียวไม่ปลอดภัยอีกต่อไป ถึงเวลาแล้วที่ต้องเพิ่มการยืนยันตัวตนแบบหลายขั้นตอนในการเข้าถึงข้อมูล

ด้วยความที่ภัยคุกคามมีการเปลี่ยนแปลงอยู่ตลอดเวลา เราจึงจำเป็นต้องใช้มาตรการทั้งแบบตรงไปตรงมาและมีความซับซ้อนขึ้นเพื่อปกป้ององค์กรของคุณปลอดภัยจากอันตรายทั้งปวง

ภัยคุกคามทางไซเบอร์มีแต่จะแพร่หลายมากขึ้นต่อธุรกิจต่างๆ รายงานในเดือนเมษายนปี 2020 เปิดเผยว่าชาวอังกฤษจำนวน 16.5 ล้านคนตกเป็นเหยื่อของอาชญากรรมทางไซเบอร์ในช่วงปีที่ผ่านมา ส่งผลทำให้องค์กรมีต้นทุนสูงถึง 1.4 พันล้านปอนด์ และการคุกคามของอาชญากรรมทางไซเบอร์นี้ก็ได้เติบโตขึ้นตั้งแต่นั้นมา โดยเหล่าแฮกเกอร์ใช้ประโยชน์จากการเปลี่ยนแปลงจำนวนมากไปสู่การทำงานระยะไกลซึ่งเป็นผลมาจากการแพร่ระบาดของ COVID-19 ทั่วโลก

แม้ว่าจะมีค่าใช้จ่ายสูงที่เกี่ยวข้องกับการใช้มาตรการรักษาความปลอดภัยที่เหมาะสม แต่ค่าใช้จ่ายที่เสียไปนั้นอาจไม่ได้ให้ประโยชน์เท่าที่ควร ไม่ว่าจะเป็นเรื่องของการสูญเสียและบทลงโทษต่างๆ หรือคำสั่งที่มีความสำคัญมาก

หนึ่งในขั้นตอนที่ง่ายที่สุด แต่มีประสิทธิภาพมากที่สุดที่ธุรกิจสามารถทำได้คือ การใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) แม้ว่ารหัสผ่านเป็นสิ่งสำคัญในการปกป้องข้อมูลประจำตัวและข้อมูลส่วนบุคคลของคุณ แต่การใช้รหัสผ่านซ้ำนั้นถือเป็นปัญหาใหญ่ เพราะอาชญากรไซเบอร์มักใช้ข้อมูลประจำตัวที่ถูกขโมยจากหลายแพลตฟอร์มแล้วนำมาใช้ในการเข้าถึงข้อมูลของคุณอีกรอบได้ โดยสิ่งนี้เรียกกันทั่วไปว่าเป็นการโจมตีแบบ "Credential stuffing" ยกตัวอย่างเช่น ในเดือนพฤศจิกายนปี 2020 แฮ็กเกอร์สามารถเข้าถึงบัญชี Spotify ได้ถึง 350,000 บัญชี จากการใช้รายละเอียดการเข้าสู่ระบบจากการละเมิดก่อนหน้านี้

แม้ว่าการจำรหัสผ่านเพียงหนึ่งหรือสองรหัสนั้นจะสะดวกกว่า แต่การใช้รหัสผ่านซ้ำในบริการต่างๆ ไม่ว่าจะเป็นบัญชีธนาคาร, ที่อยู่, อีเมล หรือ เว็บไซต์โซเชียลมีเดีย แต่นั้นอาจก็ทำให้คุณเสี่ยงต่อการถูกแสวงหาประโยชน์ได้

การติดตั้ง 2FA สามารถนำไปสู่การเพิ่มอุปสรรคพิเศษในการเข้าใช้งานสำหรับทั้งตัวคุณเองและบุคคลที่สามที่พยายามเข้าถึงบัญชีของคุณได้ ซึ่งถึงแม้ว่าจะมีการใช้คำถามเข้ามาช่วยเพื่อความปลอดภัยในการค้นหารายละเอียดส่วนบุคคลมากขึ้น เช่น ชื่อสัตว์เลี้ยงตัวแรกของคุณ, ครอบครัวหรือนามสกุลเดิมของแม่ หรือทางใดทางหนึ่งในการป้องกันบัญชีผู้ใช้ แต่มันก็สามารถหาได้ง่ายจากการค้นหาผ่านบัญชีโซเชียลมีเดียต่างๆ

การเพิ่มปัจจัยการตรวจสอบสิทธิ์แบบสองขั้นตอน ไม่ว่าจะเป็นการส่งรหัสทางข้อความ, อีเมล หรือโดยใช้แอปพลิเคชันตรวจสอบความถูกต้องนั้นก็เพื่อเพิ่มเกราะป้องกันให้แข็งแกร่งมากขึ้น ซึ่งถึงแม้ว่าการยืนยันการเข้านั้นจะวนไปวนมาและดูยุ่งยาก แต่การมีขั้นตอนเหล่านี้อยู่ก็เป็นประโยชน์อย่างมากในการป้องกันบัญชีจากภัยคุกคามต่างๆ

การยืนยันตัวตนแบบสองขั้นตอน คืออะไร?

หรือที่เรียกว่าการยืนยันตัวตนแบบหลายปัจจัย (MFA) หรือการยืนยันแบบสองขั้นตอน โดย 2FA เป็นกระบวนการที่ค่อนข้างตรงไปตรงมาในการยืนยันตัวตนของคุณสองครั้งก่อนที่จะให้สิทธิ์เข้าถึงบัญชีหรือบริการ

กล่าวโดยทั่วไป คือ การรับรองความถูกต้องแบ่งออกเป็น 3 ประเภท ได้แก่ ปัจจัยด้านความรู้, ปัจจัยการครอบครอง และปัจจัยโดยธรรมชาติ โดยปกติแล้วความรู้ หมายถึง สิ่งที่บุคคลนั้นต้องจดจำ เช่น PIN หรือรหัสผ่าน ในขณะที่การครอบครอง หมายถึง อุปกรณ์สำรองรอง เช่น กุญแจไข, เครื่องอ่านการ์ด หรือสมาร์ทโฟน

ในทางกลับกันปัจจัยโดยธรรมชาติจะใช้คุณลักษณะเฉพาะของบุคคล ซึ่งโดยทั่วไปแล้วจะเป็นไบโอเมตริก เช่น ลายนิ้วมือ, การสแกนม่านตาหรือเรตินา หรือการจดจำเสียง ซึ่งสิ่งนี้พบได้น้อยกว่าในชีวิตประจำวันและธุรกิจทั่วไป แต่สามารถพบได้ในสถานที่ที่มีความปลอดภัยสูงมากขึ้นที่เป็นระดับการตรวจสอบสิทธิ์ระดับที่สองหรือลำดับต่อมา

2FA ใช้สองวิธีเหล่านี้ (หรือมากกว่าในกรณีของการพิสูจน์ตัวตนแบบหลายปัจจัย) เพื่อยืนยันตัวตนของบุคคลที่พยายามจะเข้าถึงบัญชีอย่างละเอียดมากกว่าที่ปัจจัยเดียวสามารถทำได้ โดยปัจจัยด้านความรู้และการครอบครองเป็นสิ่งที่ใช้กันมากที่สุด นำไปสู่วลีที่ว่า "สิ่งที่คุณรู้และสิ่งที่คุณมี"

การตรวจสอบสิทธิ์แบบสองขั้นตอนทำงานอย่างไร?

การรับรองความถูกต้องแบบสองขั้นตอนจะใช้อุปกรณ์ที่สองที่เป็นอิสระ ซึ่งทำหน้าที่เป็นบัฟเฟอร์ระหว่างบริการและความพยายามในการเข้าสู่ระบบ

บางบริการจะให้คีย์ของตัวเอง ถึงแม้ว่ามันจะได้รับความนิยมน้อยลงเนื่องจาก บริษัทต่างๆ หันมาพัฒนาแอปสมาร์ทโฟนของตนเอง หรือใช้ประโยชน์จากข้อความ SMS ไม่ว่าจะเป็นคีย์ที่สร้างตัวเลขหรือข้อความยืนยันก็ตาม โดยแนวคิดก็คือมีเพียงเจ้าของอุปกรณ์เท่านั้นที่สามารถเข้าถึงคีย์และความสามารถในการอนุญาตการพยายามเข้าสู่ระบบได้

โดยปกติการตรวจสอบความปลอดภัยเพิ่มเติมจะปรากฏขึ้นหลังจากที่ผู้ใช้ส่งชื่อผู้ใช้และรหัสผ่าน และเมื่อระบบตรวจสอบว่ามีบัญชีนั้นอยู่ ระบบจะขอให้ผู้ใช้ดำเนินการเพิ่มเติม

การรับรองความถูกต้องแบบสองขั้นตอนกำลังเป็นที่แพร่หลายในบริการออนไลน์ส่วนใหญ่ที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อน ไม่ว่าจะเป็นบริการด้านการเงิน, การธนาคาร, อีคอมเมิร์ซ หรือแอปพลิเคชันทางธุรกิจต่างๆ และในบริษัทประเภทอื่นๆ ก็เริ่มนำเสนอ 2FA เพื่อให้โดดเด่นกว่าคู่แข่งเช่นกัน

การปรากฏของขั้นตอนเพิ่มเติมนั้นอาจแตกต่างกันไปในแต่ละบริการ ยกตัวอย่างเช่น ตอนนี้ธนาคารส่วนใหญ่มีโทเค็นการรักษาความปลอดภัยของตนเองสำหรับการธนาคารออนไลน์ ซึ่งมักจะอยู่ในรูปแบบของการสร้างตัวเลขสุ่มและมักจะเสนอผ่านแอปพลิเคชันสมาร์ทโฟน ในขณะที่ผู้ใช้บางรายอาจยังใช้ fob ทางกายภาพอยู่ก็ตาม อย่างไรก็ตามบริการออนไลน์จำนวนมากใช้การตรวจสอบแบบสองขั้นตอนที่นำเสนอโดย Google ซึ่งทำให้พวกเขาสามารถฝังชั้นความปลอดภัยเพิ่มเติมได้โดยไม่ต้องดำเนินการพัฒนาเอง

การผ่านการรักษาความปลอดภัยชั้นที่สองอาจเป็นส่วนที่ช้าที่สุดในการลงชื่อเข้าใช้บริการ หากแต่มันเป็นวิธีที่มีประสิทธิภาพในการคัดกรองผู้ที่พยายามจะเข้าสู่บัญชีแบบผิดๆ ได้

การรับรองความถูกต้องแบบสองขั้นตอนปลอดภัยหรือไม่?

แม้ว่ามันจะมีประโยชน์หลายอย่าง แต่ก็เป็นที่น่าสังเกตว่าการรับรองความถูกต้องแบบหลายปัจจัยนั้นอาจจะไม่ปลอดภัย 100% เพราะเมื่อเร็วๆ นี้ Microsoft เตือนธุรกิจต่างๆไม่ให้ใช้ระบบที่ต้องใช้เสียงและ SMS เนื่องจากปัญหาด้านความปลอดภัย โดยเตือนว่าวิธีการเหล่านี้ไม่ใช่การเข้ารหัส เพราะมันทำให้แฮกเกอร์สามารถดักฟังได้ง่ายและมีความอ่อนไหวต่อเทคนิคการหลอกลวงของเหล่าแฮกเกอร์

ตัวอย่างเช่น การตรวจสอบสิทธิ์ผ่านข้อความมีความเสี่ยงที่จะถูกแฮกเกอร์สกัดกั้นและปลอมแปลง โดยเฉพาะอย่างยิ่งหากพวกเขาสามารถขโมยบัญชีที่รองรับหมายเลขโทรศัพท์มือถือของบุคคลได้ กระบวนการกู้คืนบัญชีต่างๆ สำหรับรหัสผ่านที่สูญหายก็สามารถถูกแฮกเกอร์ควบคุมได้เช่นกันในการจัดการกับการพิสูจน์ตัวตนแบบสองขั้นตอน

และมัลแวร์ที่ซับซ้อนที่ติดไวรัสให้กับคอมพิวเตอร์และอุปกรณ์ต่างๆสามารถเปลี่ยนเส้นทางของข้อความในการตรวจสอบสิทธิ์และแจ้งไปยังอุปกรณ์ที่เป็นของแฮกเกอร์แทนที่จะเป็นเจ้าของบัญชีที่ถูกต้อง ซึ่งถึงมันจะทำงานจากภายในแต่ก็ยังเกี่ยวข้องกับการตรวจสอบสิทธิ์แบบสองขั้นตอนเหมือนกัน

วิธีการที่ปลอดภัยที่สุดของ 2FA คือใช้โทเค็นฮาร์ดแวร์เฉพาะ เช่น Google Titan Hardware Key หรือ Yubico Key เพราะแฮกเกอร์จะปลอมแปลงได้ยาก เว้นแต่จะขโมยมาจากผู้อื่นโดยตรง ตัวอย่างเช่น ข้อเสนอของ Google ใช้การเข้ารหัสเพื่อยืนยันตัวตนของผู้ใช้และใช้ URL แยกต่างหากเพื่อหยุดไม่ให้ผู้โจมตีเข้าถึงบัญชีแม้ว่าจะมีชื่อผู้ใช้และรหัสผ่านก็ตาม

ในทางกลับกัน การรับรองความถูกต้องแบบสองขั้นตอนที่อาศัย SMS น่าจะหลีกเลี่ยงได้ดีที่สุดหากคุณใช้งานองค์กรที่มีขุมทรัพย์ข้อมูลมาก

แม้ว่า 2FA อาจจะไม่ใช่ตัวจัดการปัญหาด้านความปลอดภัยที่ครั้งหนึ่งเคยคาดว่าจะเป็น แต่มันก็ยังคงเป็นส่วนสำคัญในการรักษาความปลอดภัยและการควบคุมการเข้าถึงที่ควรคำนึงถึงเมื่อมีการจัดหาและตั้งค่าบริการสำหรับธุรกิจหรือชีวิตส่วนตัวของคุณ เพราะยิ่งคุณสร้างอุปสรรคในการเข้าถึงบัญชีมากเท่าไหร่ ก็จะยิ่งมีโอกาสน้อยที่เหล่าแฮกเกอร์จะกำหนดเป้าหมายไปที่คุณ

ที่มา: https://bit.ly/2MLcJsI