สมาร์ทโฟนเป็นกุญแจสำคัญในการรักษาความปลอดภัยออนไลน์ที่ดีขึ้นหรือไม่?

ผู้คนหลายร้อยล้านคนใช้รหัสผ่านทุกวัน — พวกเขาปลดล็อคอุปกรณ์ อีเมล โซเชียลเน็ตเวิร์ก และแม้แต่บัญชีธนาคารของเรา อย่างไรก็ตาม รหัสผ่านคือ อ่อนแอมากขึ้น วิธีป้องกันตนเอง: ผ่านไปเกือบหนึ่งสัปดาห์โดยไม่มีมาตรการรักษาความปลอดภัยที่สำคัญมาแจ้งข่าว สัปดาห์นี้ก็เป็นเช่นนั้น ซิสโก้ — ผู้ผลิตฮาร์ดแวร์จำนวนมากที่ขับเคลื่อนอินเทอร์เน็ตเป็นหลัก

ในปัจจุบัน เกือบทุกคนกำลังมองหาช่องทางที่นอกเหนือไปจากการใช้รหัสผ่าน การรับรองความถูกต้องแบบหลายปัจจัย: ต้องการ "สิ่งที่คุณมี" หรือ "สิ่งที่คุณเป็น" นอกเหนือจากสิ่งที่คุณรู้ เทคโนโลยีไบโอเมตริกซ์ที่ใช้วัดดวงตา ลายนิ้วมือ ใบหน้า และ/หรือเสียง เริ่มใช้งานได้จริงมากขึ้นแต่มักล้มเหลวสำหรับบางคน และยากต่อการเผยแพร่สู่ผู้ใช้หลายร้อยล้านคน

เราไม่ได้มองข้ามสิ่งที่ชัดเจนไปใช่ไหม? วิธีแก้ปัญหาการรักษาความปลอดภัยแบบหลายปัจจัยอยู่ในกระเป๋าของเราแล้วไม่ใช่หรือ?

ธนาคารออนไลน์

เชื่อหรือไม่ว่าชาวอเมริกันใช้การรับรองความถูกต้องแบบหลายปัจจัยมานานหลายปีทุกครั้งที่พวกเขาทำธุรกรรมทางธนาคารออนไลน์ — หรืออย่างน้อยก็เวอร์ชันลดทอนลง ในปี 2544 Federal Financial Institutions Examination Council (FFIEC) กำหนดให้บริการธนาคารออนไลน์ของสหรัฐอเมริกาเปิดตัวการรับรองความถูกต้องแบบหลายปัจจัยที่แท้จริงภายในปี 2549

นี่มันปี 2013 และเรายังคงเข้าสู่ระบบธนาคารออนไลน์ด้วยรหัสผ่าน เกิดอะไรขึ้น

“โดยพื้นฐานแล้ว ธนาคารจะล็อบบี้” Rich Mogull ซีอีโอและนักวิเคราะห์ของกล่าว โรคติดเชื้อ. “โทเค็นทางชีวภาพและโทเค็นการรักษาความปลอดภัยสามารถทำงานได้ดีเมื่อแยกจากกัน แต่ก็ยากมากที่จะขยายขนาดให้เป็นเพียงธนาคารเท่านั้น ผู้บริโภคไม่ต้องการจัดการกับหลายสิ่งเช่นนั้น คนส่วนใหญ่ไม่ใส่รหัสผ่านบนโทรศัพท์ด้วยซ้ำ”

ธนาคารจึงผลักกลับ ภายในปี 2548 FFIEC ได้ออกแนวปฏิบัติที่ปรับปรุงแล้ว ที่อนุญาตให้ธนาคารตรวจสอบสิทธิ์ด้วยรหัสผ่านและ “การระบุอุปกรณ์” โดยพื้นฐานแล้วคือการสร้างโปรไฟล์ระบบของผู้ใช้ หากลูกค้าลงชื่อเข้าใช้จากอุปกรณ์ที่รู้จัก พวกเขาเพียงแค่ต้องใช้รหัสผ่าน ไม่เช่นนั้นลูกค้าจะต้องข้ามผ่านห่วงมากขึ้น ซึ่งมักจะเป็นการท้าทายคำถาม แนวคิดก็คืออุปกรณ์การทำโปรไฟล์นั้นเทียบเท่ากับการตรวจสอบผู้ใช้บางอย่าง มี (คอมพิวเตอร์ สมาร์ทโฟน หรือแท็บเล็ต) เพื่อใช้ประกอบกับรหัสผ่าน ทราบ.

ธนาคารมีความซับซ้อนมากขึ้นในการระบุอุปกรณ์และ แนวทางของรัฐบาลกลางที่ยังคงใหม่กว่า กำหนดให้ธนาคารใช้มากกว่าคุกกี้ของเบราว์เซอร์ที่คัดลอกได้ง่าย แต่ระบบยังอ่อนแออยู่ ทุกอย่างเกิดขึ้นในช่องทางเดียว ดังนั้นหากผู้ไม่ประสงค์ดีสามารถเข้าถึงการเชื่อมต่อของผู้ใช้ได้ (อาจเกิดจากการโจรกรรม การแฮ็ก หรือมัลแวร์) ทุกอย่างก็จบลง นอกจากนี้ ทุกคนจะได้รับการปฏิบัติเหมือนเป็นลูกค้าที่ใช้อุปกรณ์ใหม่ — และในฐานะ นิวยอร์กไทม์ส คอลัมนิสต์ David Pogue สามารถเป็นพยานได้คำถามรักษาความปลอดภัยที่ได้รับคำตอบตามความเป็นจริงบางครั้งก็มีการป้องกันเพียงเล็กน้อย

อย่างไรก็ตาม การรักษาความปลอดภัยแบบหลายปัจจัยในรูปแบบที่จำกัดของธนาคารออนไลน์นั้นมี ใหญ่ กลับหัวกลับหางสำหรับผู้บริโภค สำหรับผู้ใช้ส่วนใหญ่ โปรไฟล์อุปกรณ์จะมองไม่เห็นและทำงานเหมือนกับรหัสผ่าน ซึ่งเกือบทุกคนเข้าใจ

Google Authenticator

โทเค็นดิจิทัล การ์ดรักษาความปลอดภัย และอุปกรณ์อื่นๆ ถูกนำมาใช้ในการตรวจสอบสิทธิ์แบบหลายปัจจัยมานานหลายทศวรรษ อย่างไรก็ตาม เช่นเดียวกับไบโอเมตริกซ์ จนถึงตอนนี้ ยังไม่มีอะไรพิสูจน์ได้ว่าสามารถใช้การได้สำหรับคนหลายล้านคนทุกวัน นอกจากนี้ยังไม่มีมาตรฐานที่แพร่หลาย ดังนั้นผู้คนอาจต้องใช้ fob, โทเค็น, แท่ง USB และการ์ดที่แตกต่างกันหลายสิบแบบเพื่อเข้าถึงบริการที่พวกเขาชื่นชอบ ไม่มีใครจะทำอย่างนั้น

แล้วโทรศัพท์ในกระเป๋าของเราล่ะ? เมื่อเกือบปีที่แล้วนักวิจัยพบว่า ผู้ใหญ่ชาวอเมริกันเกือบ 90 เปอร์เซ็นต์เป็นเจ้าของโทรศัพท์มือถือ — เกือบครึ่งหนึ่งมีสมาร์ทโฟน ตอนนี้ตัวเลขจะต้องสูงกว่านี้: พวกมันใช้สำหรับการรับรองความถูกต้องแบบหลายปัจจัยอย่างแน่นอน?

นั่นคือแนวคิดเบื้องหลัง การยืนยันสองขั้นตอนของ Googleซึ่งจะส่งรหัส PIN แบบครั้งเดียวไปยังโทรศัพท์ทาง SMS หรือเสียงเมื่อลงชื่อเข้าใช้บริการของ Google ผู้ใช้กรอกทั้งรหัสผ่านและรหัสเพื่อเข้าสู่ระบบ แน่นอนว่าโทรศัพท์อาจสูญหายหรือถูกขโมยได้ และหากแบตเตอรี่หมดหรือไม่มีบริการมือถือ ผู้ใช้จะถูกล็อคไม่ให้เข้าใช้งาน แต่บริการนี้ใช้งานได้แม้กับฟีเจอร์โฟน และแน่นอนว่ามีความปลอดภัยมากกว่า — หากสะดวกน้อยกว่า — มากกว่าการใช้รหัสผ่านอย่างเดียว

การยืนยันแบบสองขั้นตอนของ Google มีความน่าสนใจมากขึ้น Google Authenticatorใช้งานได้กับ Android, iOS และ BlackBerry Google Authenticator ใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ซึ่งเป็นมาตรฐานที่ได้รับการสนับสนุนจาก ความคิดริเริ่มสำหรับการรับรองความถูกต้องแบบเปิด. โดยพื้นฐานแล้ว แอปนี้ประกอบด้วยความลับที่เข้ารหัสและสร้างรหัสหกหลักใหม่ทุกๆ 30 วินาที ผู้ใช้ป้อนรหัสนั้นพร้อมกับรหัสผ่านเพื่อพิสูจน์ว่ามีอุปกรณ์ที่ถูกต้อง ตราบใดที่นาฬิกาของโทรศัพท์ถูกต้อง Google Authenticator จะทำงานโดยไม่มีบริการโทรศัพท์ ยิ่งไปกว่านั้น รหัส 30 วินาทียังใช้งานได้อีกด้วย อื่น บริการที่รองรับ TOTP ในตอนนี้ได้แก่ ดรอปบ็อกซ์, LastPass, และ อเมซอนเว็บเซอร์วิส. ในทำนองเดียวกัน แอปอื่นๆ ที่รองรับ TOTP ก็สามารถทำงานร่วมกับ Google ได้

แต่มีปัญหาอยู่ ผู้ใช้ส่งรหัสยืนยันในช่องทางเดียวกันกับรหัสผ่าน ดังนั้นพวกเขาจึงเสี่ยงต่อสถานการณ์การสกัดกั้นเช่นเดียวกับธนาคารออนไลน์ เนื่องจากแอป TOTP มีความลับ ทุกคน (ทุกที่ในโลก) จึงสามารถสร้างรหัสที่ถูกต้องได้หากแอปหรือข้อมูลลับถูกถอดรหัส และไม่มีระบบใดที่สมบูรณ์แบบ: เมื่อเดือนที่แล้ว Google ได้แก้ไขปัญหาที่อาจเกิดขึ้น การครอบครองบัญชีทั้งหมด ผ่านรหัสผ่านเฉพาะแอป สนุก.

เราจะไปจากที่นี่ที่ไหน?

ปัญหาใหญ่ที่สุดกับระบบอย่างการยืนยันสองขั้นตอนของ Google ก็คือระบบเหล่านี้มันยุ่งยากจริงๆ คุณต้องการเล่นกับโทรศัพท์และรหัสของคุณ ทุกครั้ง คุณเข้าสู่ระบบบริการหรือไม่? พ่อแม่ ปู่ย่าตายาย เพื่อน หรือลูกๆ ของคุณล่ะ? คนส่วนใหญ่ทำไม่ได้ แม้แต่ผู้ชื่นชอบเทคโนโลยีที่ชื่นชอบปัจจัยที่ยอดเยี่ยม (และความปลอดภัย) ก็มักจะพบว่ากระบวนการนี้ยุ่งยากภายในเวลาเพียงไม่กี่สัปดาห์

ตัวเลขบ่งบอกว่าความเจ็บปวดมีจริง ในเดือนมกราคม Google ได้จัดหา มีสาย Robert MacMillan กราฟของการยอมรับสองขั้นตอน รวมทั้งขัดขวาง ที่มาพร้อมกับ Mat Honan”การแฮ็กแบบมหากาพย์” บทความเมื่อเดือนสิงหาคมปีที่แล้ว สังเกตว่าแกนใดไม่มีป้ายกำกับ ตัวแทนของ Google ปฏิเสธที่จะบอกว่ามีกี่คนที่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย แต่ Eric Grosse รองประธานฝ่ายความปลอดภัยของ Google บอกกับ MacMillan ผู้ใช้หนึ่งในสี่ล้านที่ลงทะเบียนหลังจากบทความของ Honan จากตัวชี้วัดนั้น การประมาณการเบื้องหลังของฉันคือมีคนสมัครใช้งานประมาณ 20 ล้านคนจนถึงปัจจุบัน ซึ่งแทบจะไม่ลดลงเลยใน Google กว่า 500 ล้านคน การเรียกร้อง มีบัญชี Google+ ตัวเลขดังกล่าวดูเหมือนเป็นสิทธิ์สำหรับพนักงาน Google ที่ไม่ต้องการเปิดเผยชื่อ เธอประมาณว่าน้อยกว่าสิบเปอร์เซ็นต์ของผู้ใช้ Google+ ที่ "ใช้งานอยู่" ได้ลงชื่อสมัครใช้แล้ว “และไม่ใช่ทุกคนจะยึดติดกับมัน” เธอตั้งข้อสังเกต

“เมื่อคุณมีผู้ฟังที่ไร้การควบคุม คุณจะไม่สามารถยอมรับพฤติกรรมใดๆ ที่นอกเหนือไปจากพื้นฐานได้ — โดยเฉพาะอย่างยิ่งหากคุณไม่ได้ให้เหตุผลแก่ผู้ฟังนั้น ต้องการ พฤติกรรมนั้น” Christian Hessler ซีอีโอของบริษัทตรวจสอบความถูกต้องทางมือถือกล่าว สดมั่นใจ. “ไม่มีทางที่คุณจะฝึกคนนับพันล้านคนให้ทำสิ่งที่พวกเขาไม่ต้องการทำ”

LiveEnsure อาศัยผู้ใช้ในการตรวจสอบนอกวงโดยใช้อุปกรณ์มือถือของตน (หรือแม้แต่ทางอีเมล) ป้อนเพียงชื่อผู้ใช้ (หรือใช้บริการลงชื่อเข้าใช้ครั้งเดียวเช่น Twitter หรือ Facebook) และ LiveEnsure ใช้ประโยชน์จากบริบทที่กว้างขึ้นของผู้ใช้ในการตรวจสอบสิทธิ์: ไม่ต้องใช้รหัสผ่าน ขณะนี้ LiveEnsure ใช้ "แนวสายตา" — ผู้ใช้สแกนโค้ด QR บนหน้าจอโดยใช้โทรศัพท์เพื่อยืนยันการเข้าสู่ระบบ — แต่วิธีการยืนยันอื่นๆ จะตามมาในเร็วๆ นี้ LiveEnsure หลีกเลี่ยงการสกัดกั้นโดยใช้การเชื่อมต่อแยกต่างหากในการตรวจสอบ แต่ยังไม่ต้องพึ่งพาความลับที่แชร์ในเบราว์เซอร์ อุปกรณ์ หรือแม้แต่บริการของมัน หากระบบแตก LiveEnsure กล่าวว่าชิ้นส่วนแต่ละชิ้นไม่มีคุณค่าต่อผู้โจมตี

“สิ่งที่อยู่ในฐานข้อมูลของเราสามารถส่งทางไปรษณีย์ในรูปแบบซีดีเป็นของขวัญคริสต์มาสได้ และมันคงไม่มีประโยชน์” เฮสเลอร์กล่าว “ไม่มีความลับใด ๆ เกิดขึ้นได้ การทำธุรกรรมเพียงอย่างเดียวก็แค่ใช่หรือไม่ใช่”

วิธีการของ LiveEnsure นั้นง่ายกว่าการป้อน PIN แต่ยังต้องการให้ผู้ใช้เล่นซอกับอุปกรณ์มือถือและแอพเพื่อเข้าสู่ระบบ คนอื่นๆ ตั้งเป้าที่จะทำให้กระบวนการนี้โปร่งใสมากขึ้น

ทูเฟอร์ กำลังใช้ประโยชน์จากการรับรู้ของอุปกรณ์เคลื่อนที่เกี่ยวกับตำแหน่งของตนผ่านทาง GPS หรือ Wi-Fi เพื่อเป็นช่องทางในการตรวจสอบสิทธิ์ผู้ใช้อย่างโปร่งใส อย่างน้อยก็จากสถานที่ที่ได้รับการอนุมัติล่วงหน้า

“Toopher กำลังนำบริบทเพิ่มเติมมาสู่การตัดสินใจตรวจสอบสิทธิ์เพื่อทำให้มองไม่เห็น” Evan Grimm ผู้ก่อตั้งและ CTO กล่าว “หากผู้ใช้มักทำธุรกรรมออนไลน์ที่บ้าน ผู้ใช้สามารถทำให้ระบบอัตโนมัติเพื่อไม่ให้การตัดสินใจหายไป”

ไม่จำเป็นต้องมีระบบอัตโนมัติ: ผู้ใช้สามารถยืนยันบนอุปกรณ์เคลื่อนที่ของตนได้ทุกครั้งหากต้องการ แต่หากผู้ใช้บอก Toopher ว่าอะไรเป็นเรื่องปกติ พวกเขาเพียงแค่ต้องมีโทรศัพท์อยู่ในกระเป๋าและการรับรองความถูกต้องก็เกิดขึ้นอย่างโปร่งใส ผู้ใช้เพียงแค่ใส่รหัสผ่านและทุกอย่างจะมองไม่เห็น หากอุปกรณ์อยู่ในตำแหน่งที่ไม่รู้จัก ผู้ใช้จะต้องยืนยันทางโทรศัพท์ และหากไม่มี การเชื่อมต่อ Toopher จะกลับไปใช้ PIN ตามเวลาโดยใช้เทคโนโลยีเดียวกับ Google ตัวรับรองความถูกต้อง

“Toopher ไม่ได้พยายามที่จะเปลี่ยนแปลงประสบการณ์ผู้ใช้โดยพื้นฐาน” กริมม์กล่าว “ปัญหาของโซลูชันหลายปัจจัยอื่นๆ ไม่ใช่ว่าพวกเขาไม่ได้เพิ่มการป้องกัน แต่เปลี่ยนประสบการณ์ผู้ใช้ ดังนั้นจึงมีอุปสรรคในการนำไปใช้”

คุณจะต้องอยู่ในเกม

รหัสผ่านจะไม่หายไป แต่จะเพิ่มขึ้นตามสถานที่, PIN แบบครั้งเดียว, โซลูชันแนวสายตาและแนวเสียง, ไบโอเมตริกซ์ หรือแม้แต่ข้อมูลเกี่ยวกับอุปกรณ์ Bluetooth และ Wi-Fi ในบริเวณใกล้เคียง สมาร์ทโฟนและอุปกรณ์เคลื่อนที่ดูเหมือนเป็นวิธีที่น่าจะเพิ่มบริบทสำหรับการตรวจสอบสิทธิ์ได้มากที่สุด

แน่นอนว่าคุณต้องอยู่ในเกมถ้าคุณต้องการเล่น ไม่ใช่ทุกคนที่มีสมาร์ทโฟน และเทคโนโลยีการตรวจสอบความถูกต้องใหม่อาจแยกผู้ใช้ที่ไม่มีเทคโนโลยีล่าสุด ส่งผลให้ส่วนที่เหลือของโลกเสี่ยงต่อการถูกแฮ็กและการขโมยข้อมูลประจำตัว การรักษาความปลอดภัยทางดิจิทัลอาจกลายเป็นสิ่งที่แยกความแตกต่างระหว่างมีกับไม่มีได้อย่างง่ายดาย

และจนถึงขณะนี้ยังไม่มีใครบอกได้ว่าโซลูชันใดจะชนะ Toopher และ LiveEnsure เป็นเพียงผู้เล่นสองคนจากหลาย ๆ คน และพวกเขาล้วนประสบปัญหาไก่กับไข่: หากไม่มีการนำไปใช้จากทั้งผู้ใช้และบริการ พวกเขาไม่ได้ช่วยเหลือใครเลย Toopher เพิ่งได้รับเงินทุนสนับสนุนสตาร์ทอัพมูลค่า 2 ล้านเหรียญสหรัฐ LiveEnsure กำลังพูดคุยกับบริษัทชื่อดังและหวังว่าจะออกจากโหมดซ่อนตัวเร็วๆ นี้ แต่ยังเร็วเกินไปที่จะบอกว่าใครจะไปจบลงที่ไหน

ในระหว่างนี้ หากบริการที่คุณไว้วางใจเสนอการรับรองความถูกต้องแบบหลายปัจจัยไม่ว่าในรูปแบบใดก็ตาม ไม่ว่าจะผ่านทาง SMS แอพสมาร์ทโฟน หรือแม้แต่โทรศัพท์ ให้พิจารณาอย่างจริงจัง เกือบจะเป็นการป้องกันที่ดีกว่าการใช้รหัสผ่านเพียงอย่างเดียว … แม้ว่ามันจะเกือบจะเป็นเรื่องที่น่าปวดหัวก็ตาม

ภาพโดย ชัตเตอร์ / อดัม ราโดซาฟเยวิช

[อัปเดตเมื่อ 24 มี.ค. 2556 เพื่อชี้แจงรายละเอียดเกี่ยวกับ FFIEC และ LiveEnsure และแก้ไขข้อผิดพลาดในการผลิต]

คำแนะนำของบรรณาธิการ

• วิธีค้นหาไฟล์ที่ดาวน์โหลดบน iPhone หรือสมาร์ทโฟน Android ของคุณ
• แพ็กเกจ Google One ของคุณเพิ่งได้รับการอัปเดตความปลอดภัยครั้งใหญ่ 2 รายการเพื่อให้คุณออนไลน์ได้อย่างปลอดภัย
• วิธีที่สมาร์ทโฟนของคุณจะเข้ามาแทนที่กล้องมืออาชีพในปี 2023
• Pixel 6 ของ Google เป็นสมาร์ทโฟนที่ดี แต่จะเพียงพอที่จะโน้มน้าวผู้ซื้อหรือไม่
• หัวหน้าของ Google กล่าวว่าเขา "ผิดหวัง" กับโปรแกรมรักษาความปลอดภัย iPhone ใหม่ของ Apple