เมื่อมีการแนะนำการยืนยันตัวตนแบบสองปัจจัยเป็นครั้งแรก ระบบได้ปฏิวัติความปลอดภัยของอุปกรณ์และช่วยให้การโจรกรรมข้อมูลระบุตัวตนทำได้ยากขึ้นมาก โดยเสียค่าใช้จ่ายเล็กน้อยจากความไม่สะดวกเล็กน้อยที่เพิ่มเข้ามาในการเข้าสู่ระบบ
เนื้อหา
- การรับรองความถูกต้องด้วยสองปัจจัยคืออะไรกันแน่?
- ฟังดูค่อนข้างปลอดภัย มีปัญหาอะไร?
- ฉันควรใช้การตรวจสอบสิทธิ์แบบสองปัจจัยต่อไปหรือไม่
- การตรวจสอบสิทธิ์แบบสองปัจจัยสามารถปรับปรุงได้อย่างไร
แต่มันไม่ได้สมบูรณ์แบบและไม่สามารถแก้ปัญหาการแฮ็คและการโจรกรรมข้อมูลของเราได้ทั้งหมด ข่าวล่าสุดบางข่าวได้ให้บริบทเพิ่มเติมเกี่ยวกับวิธีที่แฮ็กเกอร์หลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยและทำลายความน่าเชื่อถือบางส่วนของเรา
การรับรองความถูกต้องด้วยสองปัจจัยคืออะไรกันแน่?
การรับรองความถูกต้องด้วยสองปัจจัยจะเพิ่มความปลอดภัยอีกชั้นให้กับกระบวนการเข้าสู่ระบบสำหรับอุปกรณ์และบริการต่างๆ ก่อนหน้านี้ การเข้าสู่ระบบมีปัจจัยเดียวในการตรวจสอบสิทธิ์ — โดยทั่วไปคือรหัสผ่าน หรือการเข้าสู่ระบบด้วยไบโอเมตริก เช่น การสแกนลายนิ้วมือหรือ Face ID ซึ่งบางครั้งจะมีการเพิ่มคำถามเพื่อความปลอดภัย นั่นให้ความปลอดภัยระดับหนึ่ง แต่มันยังห่างไกลจากความสมบูรณ์แบบ โดยเฉพาะอย่างยิ่งกับรหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านที่กรอกอัตโนมัติ (หรือหากฐานข้อมูลการเข้าสู่ระบบถูกแฮ็กและข้อมูลนั้นเริ่มปรากฏบนเว็บมืด)
ที่เกี่ยวข้อง
- นี่คือเหตุผลที่ผู้คนบอกให้หลีกเลี่ยง M2 Pro MacBook Pro ระดับเริ่มต้น
- การตรวจสอบสิทธิ์แบบสองปัจจัยทาง SMS ของ Twitter กำลังมีปัญหา นี่คือวิธีการเปลี่ยนวิธีการ
- รหัสผ่านยากและผู้คนขี้เกียจ รายงานใหม่แสดงให้เห็น
การรับรองความถูกต้องด้วยสองปัจจัยช่วยแก้ปัญหาเหล่านี้โดยการเพิ่มปัจจัยที่สอง ซึ่งเป็นอีกสิ่งหนึ่งที่บุคคลต้องทำเพื่อรับประกันว่านั่นคือพวกเขาจริงๆ และพวกเขามีอำนาจในการเข้าถึง โดยทั่วไป นั่นหมายถึงการส่งรหัสผ่านช่องทางอื่น เช่น รับข้อความหรืออีเมลจากบริการ ซึ่งคุณจะต้องป้อน
บางส่วนใช้รหัสตามเวลา (TOTP, รหัสผ่านครั้งเดียวตามเวลา) และบางส่วนใช้รหัสเฉพาะที่เกี่ยวข้องกับอุปกรณ์เฉพาะ (HOTP, รหัสผ่านครั้งเดียวตาม HMAC) เวอร์ชันเชิงพาณิชย์บางรุ่นอาจใช้คีย์จริงเพิ่มเติมที่คุณต้องมี
วิดีโอแนะนำ
ฟีเจอร์ความปลอดภัยกลายเป็นเรื่องปกติ คุณอาจคุ้นเคยกับการเห็นข้อความในบรรทัด "เราได้ส่งอีเมลพร้อมรหัสความปลอดภัยให้คุณ โปรดตรวจสอบ ตัวกรองสแปมของคุณหากคุณยังไม่ได้รับ” เป็นเรื่องธรรมดาที่สุดสำหรับอุปกรณ์ใหม่ และแม้ว่าจะใช้เวลาเพียงเล็กน้อย แต่การรักษาความปลอดภัยก็เพิ่มขึ้นอย่างมากเมื่อเทียบกับปัจจัยเดียว วิธีการ แต่มีข้อบกพร่องบางอย่าง
ฟังดูค่อนข้างปลอดภัย มีปัญหาอะไร?
มีรายงานออกมาเมื่อเร็ว ๆ นี้จากบริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ซึ่งให้รายละเอียดวิธีการใหม่ที่น่าประหลาดใจว่า แฮ็กเกอร์กำลังข้ามการตรวจสอบสิทธิ์แบบสองปัจจัย: คุ้กกี้. ผู้ไม่หวังดีคือ “การขโมยคุกกี้” ซึ่งทำให้พวกเขาเข้าถึงเบราว์เซอร์ บริการเว็บ บัญชีอีเมล หรือแม้แต่ไฟล์ได้แทบทุกชนิด
อาชญากรไซเบอร์เหล่านี้ได้รับคุกกี้เหล่านี้ได้อย่างไร Sophos ตั้งข้อสังเกตว่า Emotet botnet เป็นหนึ่งในมัลแวร์ที่ขโมยคุกกี้ซึ่งกำหนดเป้าหมายข้อมูลในเบราว์เซอร์ Google Chrome ผู้คนยังสามารถซื้อคุกกี้ที่ถูกขโมยผ่านตลาดใต้ดิน ซึ่งโด่งดังในกรณีล่าสุดของ EA ที่รายละเอียดการเข้าสู่ระบบลงเอยที่ตลาดที่เรียกว่า Genesis ผลลัพธ์คือข้อมูลที่ถูกขโมยไป 780 กิกะไบต์ถูกใช้เพื่อพยายามขู่กรรโชกบริษัท
แม้ว่าจะเป็นกรณีที่มีรายละเอียดสูง แต่ก็มีวิธีการพื้นฐานอยู่ที่นั่น และแสดงให้เห็นว่าการรับรองความถูกต้องด้วยสองปัจจัยยังห่างไกลจากกระสุนเงิน นอกจากการขโมยคุกกี้แล้ว ยังมีปัญหาอื่นๆ อีกหลายปัญหาที่ได้รับการระบุในช่วงหลายปีที่ผ่านมา:
- หากแฮ็กเกอร์มี ได้รับชื่อผู้ใช้หรือรหัสผ่านของคุณสำหรับบริการพวกเขาอาจเข้าถึงอีเมลของคุณ (โดยเฉพาะถ้าคุณใช้รหัสผ่านเดียวกัน) หรือหมายเลขโทรศัพท์ นี่เป็นปัญหาอย่างยิ่งสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้ SMS/ข้อความ เนื่องจากหมายเลขโทรศัพท์นั้นหาง่ายและสามารถใช้เพื่อคัดลอกโทรศัพท์ของคุณ (รวมถึงเทคนิคอื่นๆ) และรับรหัสข้อความ ต้องใช้เวลาทำงานมากขึ้น แต่แฮ็กเกอร์ที่มุ่งมั่นยังคงมีเส้นทางที่ชัดเจนไปข้างหน้า
- แอพแยกต่างหากสำหรับการตรวจสอบสิทธิ์สองปัจจัย เช่น Google Auth หรือ Duo มีความปลอดภัยมากกว่ามาก แต่อัตราการนำไปใช้ต่ำมาก ผู้คนมักไม่ต้องการดาวน์โหลดแอปอื่นเพียงเพื่อความปลอดภัยสำหรับบริการเดียว และ องค์กรพบว่าง่ายกว่ามากเพียงแค่ถามว่า "อีเมลหรือข้อความ" แทนที่จะกำหนดให้ลูกค้าดาวน์โหลดก แอพของบุคคลที่สาม กล่าวอีกนัยหนึ่ง การตรวจสอบสิทธิ์แบบสองปัจจัยที่ดีที่สุดไม่ได้ถูกนำมาใช้จริงๆ
- บางครั้งรหัสผ่านก็รีเซ็ตง่ายเกินไป โจรขโมยข้อมูลระบุตัวตนสามารถรวบรวมข้อมูลเกี่ยวกับบัญชีได้เพียงพอเพื่อติดต่อฝ่ายบริการลูกค้าหรือหาวิธีอื่นในการขอรหัสผ่านใหม่ ซึ่งมักจะหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยที่เกี่ยวข้อง และเมื่อได้ผล ก็จะอนุญาตให้หัวขโมยเข้าถึงบัญชีได้โดยตรง
- รูปแบบการรับรองความถูกต้องด้วยสองปัจจัยที่อ่อนแอกว่านั้นให้ความคุ้มครองเพียงเล็กน้อยต่อรัฐชาติ รัฐบาลมีเครื่องมือที่สามารถตอบโต้การรับรองความถูกต้องด้วยสองปัจจัยได้อย่างง่ายดาย รวมถึงการตรวจสอบข้อความ SMS บังคับผู้ให้บริการเครือข่ายไร้สาย หรือการสกัดกั้นรหัสการรับรองความถูกต้องด้วยวิธีอื่นๆ นั่นไม่ใช่ข่าวดีสำหรับผู้ที่ต้องการวิธีรักษาข้อมูลของตนให้เป็นส่วนตัวจากระบอบเผด็จการมากขึ้น
- รูปแบบการโจรกรรมข้อมูลจำนวนมากข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยโดยสิ้นเชิง โดยมุ่งเน้นที่การหลอกมนุษย์แทน เพียงแค่มองไปที่ ความพยายามฟิชชิงทั้งหมดที่แสร้งทำเป็นว่ามาจากธนาคาร, หน่วยงานราชการ, ผู้ให้บริการอินเทอร์เน็ต ฯลฯ สอบถามข้อมูลบัญชีที่สำคัญ ข้อความฟิชชิ่งเหล่านี้อาจดูเหมือนจริงมาก และอาจเกี่ยวข้องกับข้อความเช่น “เราต้องการของคุณ รหัสการตรวจสอบความถูกต้องทางฝั่งของเรา เพื่อให้เรายืนยันได้ว่าคุณเป็นเจ้าของบัญชี” หรือกลอุบายอื่นๆ รับรหัส
ฉันควรใช้การตรวจสอบสิทธิ์แบบสองปัจจัยต่อไปหรือไม่
อย่างแน่นอน. อันที่จริง คุณควรดำเนินการผ่านบริการและอุปกรณ์ต่างๆ ของคุณและเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยหากมีให้บริการ มีการรักษาความปลอดภัยที่ดีขึ้นอย่างมากจากปัญหาต่างๆ เช่น การโจรกรรมข้อมูลประจำตัว มากกว่าชื่อผู้ใช้และรหัสผ่านธรรมดาๆ
แม้แต่การรับรองความถูกต้องด้วยสองปัจจัยที่ใช้ SMS ก็ยังดีกว่าไม่มีเลย Infact, National Institute of Standards and Technology เคยแนะนำให้ใช้ SMS ในการยืนยันตัวตนแบบสองปัจจัย แต่แล้วก็ย้อนกลับไปในปีหน้า เพราะแม้จะมีข้อบกพร่อง แต่ก็ยังมีค่า
เมื่อเป็นไปได้ ให้เลือกวิธีการตรวจสอบสิทธิ์ที่ไม่เชื่อมต่อกับข้อความ และคุณจะมีรูปแบบการรักษาความปลอดภัยที่ดีกว่า รักษารหัสผ่านของคุณให้รัดกุมและ ใช้ตัวจัดการรหัสผ่านเพื่อสร้าง สำหรับการเข้าสู่ระบบหากคุณทำได้
การตรวจสอบสิทธิ์แบบสองปัจจัยสามารถปรับปรุงได้อย่างไร
การย้ายออกจากการรับรองความถูกต้องทาง SMS เป็นโครงการขนาดใหญ่ในปัจจุบัน เป็นไปได้ว่าการรับรองความถูกต้องด้วยสองปัจจัยจะเปลี่ยนเป็นบางส่วน แอปของบุคคลที่สาม เช่น Duoซึ่งลบจุดอ่อนจำนวนมากที่เกี่ยวข้องกับกระบวนการ และฟิลด์ที่มีความเสี่ยงสูงมากขึ้นจะย้ายไปที่ MFA หรือการยืนยันตัวตนแบบหลายปัจจัย ซึ่งเพิ่มข้อกำหนดที่สาม เช่น ลายนิ้วมือหรือคำถามเพื่อความปลอดภัยเพิ่มเติม
แต่วิธีที่ดีที่สุดในการขจัดปัญหาเกี่ยวกับการรับรองความถูกต้องด้วยสองปัจจัยคือการแนะนำลักษณะทางกายภาพและฮาร์ดแวร์ บริษัทและหน่วยงานรัฐบาลเริ่มกำหนดให้มีระดับการเข้าถึงบางระดับแล้ว ในอนาคตอันใกล้ มีโอกาสพอสมควรที่เราทุกคนจะมีบัตรยืนยันตัวตนแบบกำหนดเองในกระเป๋าเงินของเรา พร้อมที่จะรูดที่อุปกรณ์ของเราเมื่อลงชื่อเข้าใช้บริการต่างๆ มันอาจจะฟังดูแปลกๆ ในตอนนี้ แต่ด้วยความที่ การโจมตีด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นอย่างมากมันอาจจะจบลงด้วยการเป็นทางออกที่หรูหราที่สุด
คำแนะนำของบรรณาธิการ
- เหตุใด Nvidia RTX 4060 Ti จึงไม่เพียงพอสำหรับปี 2023
- อันดับแฮ็กเกอร์ระเบิด — นี่คือวิธีที่คุณสามารถป้องกันตัวเองได้
- เหตุใดโหมดไม่ระบุตัวตนของ Google Chrome จึงไม่ใช่สิ่งที่อ้างว่าเป็น
- นี่คือเหตุผลที่ผู้คนพูดว่า Nvidia RTX 4090 ไม่คุ้มที่จะรอ
- นี่คือเหตุผลที่ผู้คนบอกให้ซื้อ MacBook Air M1 แทน M2
ยกระดับไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการเชิงลึก และการแอบดูที่ไม่ซ้ำใคร
