บทความ

ความสำคัญของ 2FA

image

ทุกวันนี้เราเข้าสู่ยุคดิจิทัลกันเกือบเต็มตัวแล้ว ไม่ว่าจะเป็นการจับจ่ายใช้สอย การศึกษา การทำงาน หรือการลงทุน แน่นอนว่าเมื่ออะไรหลาย ๆ อย่างอยู่ในรูปแบบดิจิทัล เหล่ามิจฉาชีพก็เปลี่ยนช่องทางทำมาหากินผ่านทางดิจิทัลด้วยเช่นกัน

เพื่อป้องกันเหล่ามิจฉาชีพ ผู้ให้บริการออนไลน์จึงสร้างระบบบัญชีผู้ใช้งานกับรหัสผ่านขึ้นมา เพื่อให้ผู้ใช้สามารถเข้าสู่ระบบในชื่อของตัวเองและรับบริการต่าง ๆ แบบออนไลน์ได้ โดยมีรหัสผ่านเป็นกำแพงป้องกันมิจฉาชีพชั้นที่ 1

แต่เนื่องจากเหล่ามิจฉาชีพก็พัฒนาเช่นกัน จนสามารถหาหนทางหลอกเอารหัสผ่านของผู้ใช้ผ่านวิธีการต่าง ๆ ไม่ว่าจะเป็นการปลอมตัวเป็นผู้ให้บริการ การสร้างเว็บไซต์ปลอม หรือแม้แต่การใช้โปรแกรมเดารหัสผ่าน

ดังนั้นการใช้รหัสผ่านเพียงอย่างเดียวจึงอาจไม่เพียงพออีกต่อไป โดยเฉพาะบริการด้านการเงิน ผู้ให้บริการจึงนำสิ่งที่เรียกว่า 2FA มาเป็นกำแพงชั้นที่ 2 สำหรับบทความนี้เรามาทำความเข้าใจกันถึงความสำคัญของ 2FA ไปด้วยกัน

2FA คืออะไร?

image

ในการตรวจสอบว่าผู้รับบริการเป็นเจ้าของบัญชีตัวจริงหรือไม่ ผู้ให้บริการจะใช้ 3 ปัจจัย (Factors) ต่อไปนี้ในการยืนยันตัวตน ได้แก่ สิ่งที่คุณรู้, สิ่งที่คุณเป็น, และ สิ่งที่คุณมี โดยสามารถอธิบายแต่ละปัจจัยได้ดังนี้

สิ่งที่คุณรู้ (What you know): คือข้อมูลที่ตัวคุณเองเท่านั้นที่รู้ เช่น หมายเลขบัตรประชาชน, รหัสผ่าน, คำถามลับ, หรือ Pin code เป็นต้น

สิ่งที่คุณเป็น (What you are): คือสิ่งที่ตัวคุณเป็น เช่น ลายนิ้วมือ, ลายม่านตา, ใบหน้า, หรือเสียง เป็นต้น

สิ่งที่คุณมี (What you have): คือสิ่งของที่คุณมีในครอบครอง เช่น โทรศัพท์มือถือ, บัตรเครดิต, หรือ Hardware Token เป็นต้น

การนำปัจจัยเหล่านี้มาใช้ในขั้นตอนยืนยันตัวตนตั้งแต่ 2 ปัจจัยขึ้นไป ก็คือระบบที่เรียกว่า 2FA หรือ Two-factor authentication นั่นเอง

รหัสผ่านอย่างเดียวอาจไม่พอ?

image

เมื่อใช้บริการผ่านอินเทอร์เน็ต ผู้ใช้บริการต้องกรอกรหัสผ่านที่ตัวเองตั้งขึ้นมาให้ถูกต้องเพื่อเข้าสู่ระบบ นับเป็นการยืนยันตัวตนขั้นที่ 1 หรือการยืนยันตัวตนด้วย “สิ่งที่คุณรู้” (What you know) แต่สิ่งที่คุณรู้มีโอกาสที่จะรั่วไหลออกไปสู่มิจฉาชีพได้ หรือบางทีผู้ใช้ก็ลืมรหัสผ่านเสียเองทำให้เข้าสู่ระบบไม่ได้

อีกอย่างคือการตั้งรหัสผ่านง่าย ๆ เพื่อให้ตัวเองจำได้ แต่การทำเช่นนี้กลับทำให้ถูกมิจฉาชีพแฮคบัญชีไปได้อย่างง่ายดาย ตามสถิติแล้ว รหัสผ่านที่ถูกแฮคบ่อยที่สุดคือ 111111, 123456, หรือ password เพราะเป็นรหัสผ่านที่สามารถเดาได้ง่าย ดังนั้น เพื่อเป็นการสร้างเกราะป้องกันให้กับผู้ใช้ ผู้ให้บริการจึงกำหนดเงื่อนไขให้ผู้ใช้ตั้งรหัสผ่านให้มีความซับซ้อนมากขึ้น เช่น ใช้ตัวอักษรภาษาอังกฤษร่วมกับตัวเลข มีอักษรเล็กและอักษรใหญ่ หรือใช้อักขระพิเศษ รวมอยู่ในรหัสผ่านด้วย

อย่างที่กล่าวไปข้างต้น การยืนยันตัวตนด้วยรหัสผ่านอย่างเดียวอาจไม่เพียงพออีกต่อไป เนื่องจากมิจฉาชีพก็มีการพัฒนาอยู่เรื่อย ๆ ดังนั้นการยืนยันตัวตนในขั้นที่ 2 คือการใช้อีก 2 ปัจจัย ซึ่งก็คือ “สิ่งที่คุณมี” กับ “สิ่งที่คุณเป็น” เข้ามาช่วยยืนตัวตนอีกชั้นหนึ่ง ซึ่งก็คือระบบ 2FA นั่นเอง

ยืนยันตัวตนในขั้นที่ 2 กับ 2FA

2FA เป็นการนำปัจจัยตั้งแต่ 2 ปัจจัยขึ้นไปมาใช้ร่วมกันในขั้นตอนการยืนยันตัวตน โดยปัจจัยแรกที่นำมาใช้ไปแล้วก็คือ “รหัสผ่าน” ซึ่งก็คือ “สิ่งที่คุณรู้” ดังนั้นปัจจัยที่เหลือคือ “สิ่งที่คุณเป็น” และ “สิ่งที่คุณมี”

การนำ “สิ่งที่คุณเป็น” มาใช้ยืนยันตัวตนสามารถทำผ่านการสแกนลายนิ้วมือ หรือสแกนหน้า ซึ่งถือว่าเป็นวิธีที่ปลอดภัยที่สุด เพราะมิจฉาชีพไม่สามารถสร้างของเลียนแบบขึ้นได้โดยง่าย แต่การยืนยันในรูปแบบนี้ต้องใช้อุปกรณ์หรือเทคโนโลยีเพิ่มเติม จึงอาจเป็นวิธีที่ผู้ใช้ไม่สามารถเข้าถึงได้ทุกคน

อีกหนึ่งวิธีคือการยืนยันตัวตนด้วย “สิ่งที่คุณมี” ซึ่งเป็นทางเลือกที่นิยมนำมาเสริมความปลอดภัยให้กับบัญชีของผู้ใช้ โดยมีแนวคิดว่า หากเป็นเจ้าของบัญชีตัวจริง ก็ต้องมีสิ่งที่เจ้าของบัญชีตัวจริงเท่านั้นเป็นผู้ครอบครอง ซึ่งปัจจุบันก็คงหนีไม่พ้น “โทรศัพท์มือถือ”

นั่นจึงเป็นสาเหตุว่าทำไมผู้ให้บริการ โดยเฉพาะด้านการเงิน มักจะบังคับให้กรอกตัวเลข OTP (One-time password) ที่ส่งเข้าทางเบอร์โทรศัพท์ก่อน ถึงจะสามารถใช้บริการที่เกี่ยวข้องได้ เช่นการชำระเงินด้วยบัตรเครดิตผ่านระบบออนไลน์ หรือจะเป็นการนำรหัสผ่านชั่วคราวจากแอปพลิเคชั่นอย่าง Google Authenticator หรือ Authy ที่เชื่อมต่อโดยตรงกับหน่วยความจำของสมาร์ทโฟนเครื่องนั้นๆ ทำให้มิจฉาชีพไม่สามารถคัดลอกไปใช้ได้โดยง่าย เช่นการเข้าใช้งาน Bitkub mobile application ที่จำเป็นต้องใช้รหัสผ่านชั่วคราว 2FA เพื่อความปลอดภัยสูงสุดของบัญชีผู้ใช้งาน

สรุป

2FA หรือ Two-factor authentication คือการสร้างกำแพงป้องกันชั้นที่ 2 ให้กับบัญชีผู้ใช้ ถึงแม้ผู้ใช้จะพลาดทำรหัสผ่านหลุดออกไป แต่ถ้ามีการเปิดใช้งานระบบ 2FA ไว้ มิจฉาชีพก็ไม่สามารถทำอะไรกับบัญชีของผู้ใช้ได้ เพราะไม่สามารถยืนยันตัวตนได้ครบถ้วนนั่นเอง

ท่านสามารถศึกษาวิธีการติดตั้ง 2FA บน Bitkub ได้ ที่นี่

อ้างอิง: Authy, CSO Online

ที่มา:

Medium

ผู้เขียน: Waranyu Suknantee | 01 ม.ค. 65 | อ่าน: 7,268
บทความล่าสุด