แต่การรับรองความถูกต้องด้วยสองปัจจัยไม่ใช่กระสุนเงินที่สามารถหยุดยั้งแฮกเกอร์ที่ตามทันได้ เป็นมาตรการรับมือที่มีประโยชน์สำหรับการป้องกันของคุณ แต่ท้ายที่สุดแล้ว ไม่สามารถทดแทนความรู้เกี่ยวกับภัยคุกคามที่ใหญ่ที่สุดที่เราเผชิญทางออนไลน์ได้
วิดีโอแนะนำ
เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยทุกครั้งที่มีโอกาส แต่อย่าทำผิดพลาดโดยอาศัยการป้องกัน หากคุณไม่เข้าใจสิ่งที่สามารถทำได้และไม่สามารถป้องกันได้ ตามที่พิสูจน์แล้วในปี 2016 การรักษาข้อมูลให้ปลอดภัยนั้นซับซ้อน และความมั่นใจมากเกินไปอาจทำให้คุณถูกโจมตีได้
ที่เกี่ยวข้อง
- รายงานใหม่เผยรหัสผ่านยากและคนเกียจคร้าน
- Twitter ไม่ต้องการหมายเลขโทรศัพท์สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยอีกต่อไป
- Google เสนอคีย์ความปลอดภัย USB 'Titan' ของตัวเองสำหรับการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน
คุณเป็นคนที่คุณบอกว่าคุณเป็นใคร?
หัวใจหลักคือการตรวจสอบสิทธิ์แบบสองปัจจัยเป็นเรื่องเกี่ยวกับการตรวจสอบข้อมูลประจำตัว เป็นวิธีหนึ่งในการตรวจสอบให้แน่ใจว่าใครบางคนเป็นคนที่พวกเขาอ้างว่าเป็นโดยการตรวจสอบหลักฐานสองประเภทที่แตกต่างกัน ระบบแบบนี้มีมาหลายปีแล้ว
หากคุณไม่เข้าใจพื้นฐานของการรักษาความปลอดภัยของคอมพิวเตอร์ คุณไม่ควรได้รับอนุญาตให้ทำธุรกรรมทางธนาคารทางอินเทอร์เน็ต
การชำระเงินด้วยบัตรเครดิตแบบชิปและ PIN อาจเป็นตัวอย่างที่แพร่หลายที่สุด พวกเขาพึ่งพาผู้ใช้ที่มีบัตรจริงอยู่ในครอบครอง และมีความรู้เกี่ยวกับ PIN ของตน ในขณะที่โจรสามารถขโมยการ์ดได้ และ เรียนรู้ PIN ไม่ใช่เรื่องง่ายที่จะจัดการทั้งสองอย่าง
เมื่อไม่นานมานี้ ธุรกรรมทางการเงินเป็นเหตุผลเดียวที่ผู้คนจะต้องตรวจสอบตัวตนของตนเป็นประจำ ทุกวันนี้ ใครก็ตามที่ใช้อินเทอร์เน็ตมีบัญชีมากมายที่พวกเขาไม่อยากให้ใครก็ตามเข้าถึงได้ ด้วยเหตุผลหลายประการ
อุตสาหกรรมการเงินสามารถใช้การรับรองความถูกต้องด้วยสองปัจจัยได้อย่างง่ายดาย เนื่องจากฮาร์ดแวร์เดียวที่ต้องแจกจ่ายคือบัตรธนาคาร แทบเป็นไปไม่ได้เลยที่จะเผยแพร่ระบบที่คล้ายกันสำหรับเว็บไซต์ในแต่ละวัน ดังนั้นจึงเปิดใช้งานสองปัจจัยด้วยวิธีอื่นได้ และวิธีการเหล่านั้นก็มีข้อบกพร่องในตัวเอง
ประสบการณ์ผู้ใช้
“ฉันเบื่อหน่ายกับความสะดวกสบายต่างๆ ในชีวิต จู่ๆ ก็กลายเป็นเรื่องยุ่งยากเกินกว่าจะใช้ได้” อ่านความคิดเห็นที่โพสต์เมื่อปี 2548 สแลชดอท บทความเกี่ยวกับการเพิ่มขึ้นที่ใกล้เข้ามาของการรับรองความถูกต้องด้วยสองปัจจัยที่เกี่ยวข้องกับธนาคารออนไลน์ “ฉันคงเกลียดการมีโทเค็นที่ยากต่อการพกพาจริงๆ”
“นักการเมืองไม่รู้ว่าสิ่งนี้มีผลกระทบต่อโลกแห่งความเป็นจริงอย่างไร” เห็นด้วยในวินาทีนั้น คร่ำครวญถึงภัยคุกคามที่ผู้ใช้ถูกบังคับให้ซื้อฮาร์ดแวร์เพิ่มเติม “หากคุณไม่เข้าใจพื้นฐานของการรักษาความปลอดภัยของคอมพิวเตอร์ คุณไม่ควรได้รับอนุญาตให้ทำธุรกรรมทางธนาคารทางอินเทอร์เน็ต” ผู้แสดงความคิดเห็นอีกคนกล่าวเสริม
ปัจจุบัน การร้องเรียนเช่นนี้ดูเหมือนเป็นเรื่องโง่เขลา แต่ในปี 2548 ผู้ใช้ได้รับการพิจารณามากขึ้นเกี่ยวกับต้นทุนและความรำคาญในการพกพาโทเค็นแบบสองปัจจัยบางรูปแบบ การตอบสนองของผู้ใช้สามารถพิสูจน์ได้ว่าเป็นเชิงลบมากยิ่งขึ้นเมื่อบางสิ่งที่สำคัญน้อยกว่าธนาคารได้รับการคุ้มครอง ในปี 2012 มีการฟ้องร้องดำเนินคดีแบบกลุ่มต่อผู้พัฒนาเกม Blizzard Entertainment หลังจากที่บริษัท เปิดตัวอุปกรณ์ต่อพ่วงรับรองความถูกต้องที่ออกแบบมาเพื่อปกป้องบัญชี Battle.net ของผู้ใช้ตามรายงานจาก บีบีซี.
LastPass
ความพยายามในการใช้การรับรองความถูกต้องด้วยสองปัจจัยประเภทนี้มีมาตั้งแต่ทศวรรษ 1980 เมื่อ Security Dynamics Technologies จดสิทธิบัตร "วิธีการและเครื่องมือในการระบุตัวบุคคลในเชิงบวก" ในช่วงทศวรรษปี 2000 โครงสร้างพื้นฐานและความสามารถในการผลิตยังคงอยู่ มีไว้สำหรับองค์กรต่างๆ ตั้งแต่สถาบันการเงินไปจนถึงผู้เผยแพร่วิดีโอเกม เพื่อบังคับใช้วิธีการสองปัจจัยของตนเอง การรับรองความถูกต้อง
น่าเสียดายที่ผู้ใช้ตัดสินใจที่จะไม่ให้ความร่วมมือ ไม่ว่าการตรวจสอบสิทธิ์ปัจจัยที่สองจะง่ายดายเหมือนกับหน้าจอ LCD ที่ให้รหัสเฉพาะ หรือซับซ้อนเท่ากับเครื่องสแกนลายนิ้วมือ แนวคิดก็คือ การมีฮาร์ดแวร์กายภาพอีกชิ้นหนึ่ง — และอาจมีอยู่หนึ่งชิ้นสำหรับบริการต่างๆ ที่ต้องใช้การเข้าสู่ระบบที่ไม่ซ้ำกัน — เป็นสิ่งที่ไม่น่าสนใจสำหรับ มวลชน
เป็นไปได้ที่จะจินตนาการถึงประวัติศาสตร์ทางเลือกที่ปัจจัยสองไม่เคยเกิดขึ้นเนื่องจากปัญหานี้ โชคดีสำหรับเราที่ Apple เปิดตัว iPhone และ Google เปิดตัว หุ่นยนต์. สมาร์ทโฟนนำอุปกรณ์ที่มีความสามารถในการตรวจสอบสิทธิ์แบบสองปัจจัยมาสู่มือของคนนับพันล้านทั่วโลก โดยแก้ไขปัญหาด้านความสะดวกสบายที่ผู้ใช้ร้องเรียนในปี 2548
สมาร์ทโฟนนั้นสะดวกแต่ก็มีความเสี่ยงในตัวเอง
ลักษณะที่แพร่หลายของสมาร์ทโฟนทำให้ไซต์และบริการต่างๆ สามารถขจัดความยุ่งยากจากกระบวนการตรวจสอบสิทธิ์แบบสองปัจจัยได้ “อุปกรณ์ที่ใช้โทรศัพท์มือถือของคุณมีแนวโน้มที่จะใช้งานง่ายมากและมีผลกระทบน้อยมาก” ผู้เชี่ยวชาญด้านความปลอดภัยและเพื่อนร่วมงานของ Harvard Bruce Schneier กล่าวกับ Digital Trends เมื่อต้นเดือนนี้ “เพราะมันเป็นสิ่งที่คุณมีอยู่แล้ว ไม่ใช่เรื่องใหม่ที่คุณต้องพกติดตัวไปด้วย”
เป็นไปได้ที่จะจินตนาการถึงประวัติศาสตร์ทางเลือกที่ปัจจัยสองประการไม่เคยเกิดขึ้นมาก่อน
ในบางสถานการณ์ วิธีการนี้สามารถให้ผลประโยชน์ที่แน่นอนได้ ตัวอย่างเช่น หากคุณเข้าสู่ระบบบริการจากคอมพิวเตอร์เครื่องใหม่ คุณอาจถูกขอให้ป้อนรหัสที่ส่งไปยังอุปกรณ์ที่เชื่อถือได้ตลอดจนรหัสผ่านมาตรฐานของคุณ นี่เป็นตัวอย่างที่ดีของวิธีการใช้การรับรองความถูกต้องด้วยสองปัจจัย อาจมีคนอื่นขโมยรหัสผ่านของคุณและพยายามเข้าสู่ระบบบัญชีที่เกี่ยวข้องจากระบบของพวกเขา — แต่พวกเขาจะเข้าถึงไม่ได้เว้นแต่พวกเขาจะขโมยโทรศัพท์ของคุณไปแล้ว
อย่างไรก็ตาม มีภัยคุกคามที่การป้องกันประเภทนี้ไม่สามารถจัดการได้ ในปี 2548 ชไนเออร์เขียนว่า “การตรวจสอบสิทธิ์แบบสองปัจจัยไม่ใช่ผู้ช่วยชีวิตของเรา” ใน โพสต์บล็อก เจาะลึกจุดอ่อนของมัน
เขากล่าวต่อไปว่าการโจมตีแบบแทรกกลางสามารถหลอกลวงผู้ใช้ให้คิดว่าพวกเขากำลัง บนเว็บไซต์ที่ถูกต้องตามกฎหมาย และโน้มน้าวให้พวกเขาเสนอการรับรองความถูกต้องทั้งสองรูปแบบสำหรับการเข้าสู่ระบบปลอม หน้าจอ. นอกจากนี้เขายังตั้งข้อสังเกตอีกว่าโทรจันสามารถใช้เพื่อเข้าสู่ระบบที่ถูกต้องตามกฎหมายซึ่งดำเนินการโดยใช้การรับรองความถูกต้องสองรูปแบบ นอกจากนี้ยังมีปัญหาในการรวมศูนย์ความปลอดภัยไว้ในอุปกรณ์เครื่องเดียว คนส่วนใหญ่ใช้สองปัจจัยที่เปิดใช้งานสมาร์ทโฟนสำหรับหลายเว็บไซต์ หากโทรศัพท์เครื่องนั้นถูกขโมยหรือถูกบุกรุก ไซต์เหล่านั้นทั้งหมดก็ตกอยู่ในความเสี่ยง
ความรู้คือพลัง
“เมื่อคุณลงชื่อเข้าใช้บัญชีของคุณ สองปัจจัยก็ดีมาก” ชไนเออร์กล่าว “มหาวิทยาลัยของฉัน ฮาร์วาร์ด ใช้มัน บริษัทของฉันก็ใช้มัน ผู้คนจำนวนมากได้นำมันมาใช้และมันมีประโยชน์มาก แต่สิ่งที่ฉันเขียนถึงตอนนั้น ปัญหาคือมันถูกมองว่าเป็นยาครอบจักรวาล มันจะแก้ปัญหาทุกอย่างได้ แน่นอนว่าเรารู้ว่ามันไม่เป็นเช่นนั้น”
ผลประโยชน์ทางการเงินจะกระตุ้นให้แฮกเกอร์ที่เป็นอันตรายพัฒนาเทคนิคใหม่ในการเข้าถึงบัญชีของผู้อื่นเสมอ ตราบใดที่การครอบครองข้อมูลประจำตัวของผู้อื่นยังมีประโยชน์ เราจะเห็นว่าการแฮ็กมีการพัฒนาอย่างต่อเนื่อง
“มีภัยคุกคามที่แตกต่างกันมากมาย และมีกลไกการรักษาความปลอดภัยที่แตกต่างกันมากมาย” ชไนเออร์อธิบาย “ภัยคุกคามไม่ได้มีเพียงหนึ่งเดียว ไม่ใช่แค่กลไกเดียวเท่านั้น ยังมีภัยคุกคามมากมายและหลายกลไก”
การป้องกันที่ดีที่สุดคือการมีมาตรการรับมือใหม่ๆ ที่ได้รับการปรับปรุงอย่างต่อเนื่อง หากเราเปลี่ยนแปลงและอัปเดตวิธีที่เราใช้เพื่อรักษาบัญชีของเราให้ปลอดภัย เราจะทำสิ่งต่างๆ ให้ยากขึ้นสำหรับทุกคนที่พยายามเข้าถึงโดยไม่ได้รับอนุญาต
น่าเสียดายที่ผู้โจมตีมีความคิดริเริ่ม ต้องใช้เวลาหลายปีกว่าการรับรองความถูกต้องด้วยสองปัจจัยจึงจะได้รับการยอมรับจากคนทั่วไป เมื่อการป้องกันรูปแบบใหม่พร้อมใช้งาน เราในฐานะผู้ใช้จำเป็นต้องมุ่งมั่นที่จะใช้ประโยชน์จากสิ่งเหล่านี้ และนั่นทำให้เรากลับมาที่ฟอรัม Slashdot ประมาณปี 2005 เราทุกคนกลายเป็นผู้ใช้ที่บ่นเรื่องความสะดวกสบายอีกครั้ง แทนที่จะกังวลเรื่องความปลอดภัย
เป็นการยากที่จะเพิกเฉยว่าการแฮ็กข้อมูลขนาดใหญ่กลายเป็นเรื่องปกติไปแล้ว และไม่มีวี่แววว่าอาชญากรรมรูปแบบนี้กำลังจะมลายหายไป ไม่มีการป้องกันใดที่สามารถสกัดกั้นการโจมตีได้ 100 เปอร์เซ็นต์ อาชญากรมักจะหาวิธีใช้ประโยชน์จากจุดอ่อนที่เล็กที่สุดเสมอ แม้ว่าจะไม่ใช่เรื่องง่าย แต่วิธีที่ดีที่สุดในการออนไลน์อย่างปลอดภัยคือการตระหนักถึงภัยคุกคาม และตระหนักถึงสิ่งที่สามารถทำได้เพื่อป้องกันภัยคุกคามเหล่านั้น
การรักษาความปลอดภัยออนไลน์ก็เหมือนกับการจ่ายค่าประกันหรือการไปหาหมอฟัน มันดูไม่สำคัญขนาดนั้นจนกว่าจะเป็นเช่นนั้น การเลือกใช้รูปแบบการป้องกันที่เรานำเสนอโดยเว็บไซต์และบริการต่างๆ นั้นไม่เพียงพอ การรู้ว่าการป้องกันเหล่านี้ปกป้องเราจากการโจมตีประเภทใด และสิ่งที่พวกเขาไม่ได้ปกป้องเรา เป็นวิธีเดียวที่จะดูแลความปลอดภัยของคุณเอง
คำแนะนำของบรรณาธิการ
- การตรวจสอบสิทธิ์แบบสองปัจจัยทาง SMS ของ Twitter กำลังมีปัญหา ต่อไปนี้เป็นวิธีเปลี่ยนวิธีการ
- นี่เป็นเหตุผลว่าทำไมผู้คนถึงบอกว่าการตรวจสอบสิทธิ์แบบสองปัจจัยนั้นไม่สมบูรณ์แบบ
- แฮกเกอร์พบวิธีเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัยของ Gmail
