เวลาเราเห็นตามข่าวหรือมีเพื่อนมาโวยวายว่า "ถูกแฮ็กบัญชี" บ่อยครั้งมักเกิดจากความผิดพลาดของตัวเจ้าของบัญชีเองที่ไปล็อกอินค้างไว้หรือจดรหัสต่างๆ เก็บไว้แล้วมีผู้อื่นเข้าถึงได้ หรือเกิดเหตุการณ์ใดๆ ที่ทำให้รหัสผ่านหลุด เช่นผู้ให้บริการไม่ได้เก็บรหัสผ่านของผู้ใช้แบบเข้ารหัส หากบริการเหล่านั้นมีช่องโหว่ก็สามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงรหัสผ่านได้
วิธีแก้ปัญหา "รหัสหลุด" ที่ได้รับความนิยมสูงคือการยืนยันตัวตนหลายปัจจัย หรือ multi-factor authentication (MFA) เช่นที่เราคุ้นเคยกันคือการส่งรหัส OTP มาทาง SMS (ปัจจุบันไม่ค่อยปลอดภัยแล้วเพราะเสี่ยงต่อการออกซิมปลอม หรือ SIM Swapping/SIM Hijacking)
การทำ MFA อีกวิธีที่ยังถือว่าปลอดภัยอยู่คือการใช้กุญแจยืนยันตัวตน U2F ตามมาตรฐาน FIDO ที่เราต้องกดปุ่มจริงๆ บนกุญแจที่เสียบเข้าพอร์ต USB เพื่อเป็นการยืนยันว่าเราเป็นคนล็อกอินเข้าบัญชี ไม่ใช่คนที่รู้รหัสผ่านของเรา หรือหากไม่มีกุญแจ U2F ในแอนดรอยด์ก็มีป๊อปอัพให้กด Yes เวลาเราล็อกอินเข้าบัญชีกูเกิล หรือใน Pixel 3/3a สามารถกดปุ่ม power ของโทรศัพท์เพื่อยืนยันตนได้เช่นกัน
ด้าน Alex Weinert ผู้จัดการฝ่ายความปลอดภัยบุคคลของไมโครซอฟท์ออกมาบอกว่า "จากการศึกษาของเรา บัญชีผู้ใช้มีโอกาสถูกแฮ็กสำเร็จน้อยลงกว่า 99.9% หากเปิดใช้งาน MFA" และยังให้คำแนะนำว่าห้ามใช้รหัสผ่านที่เคยรั่วออกมาสู่สาธารณะ รวมถึงการใช้รหัสผ่านยาวมากๆ ก็ไม่ได้ช่วยสักเท่าไร
รหัสผ่านยาวๆ นั้นไม่มีประโยชน์มากนักเพราะปัจจุบันมีเทคนิคมากมายที่จะเอารหัสผ่านของผู้ใช้มาได้ เช่น phishing (หลอกให้ผู้ใช้กรอกรหัส) หรือ Credential Stuffing คือการนำรหัสผ่านที่หลุดจากบริการหนึ่งไปลองใช้กับบริการอื่นๆ หากผู้ใช้คนนั้นใช้รหัสผ่านซ้ำกันก็สามารถขโมยบัญชีได้ทั้งหมด
ไมโครซอฟท์ระบุว่ามีการพยายามล็อกอินโดยมิชอบมากกว่า 300 ล้านครั้งต่อวัน (เฉพาะบริการของไมโครซอฟท์เอง) และหากผู้ใช้เปิดใช้งาน MFA จะสามารถป้องกันการล็อกอินแบบนี้ได้
ที่มา - ZDNet
ภาพจาก Yubico
Comments
อยากลองใช้ดูครับ แต่ถ้าเราทำหาย ลืม หรือพัง มันจะมีวิธีแก้ปัญหายังไง ใครเคยใช้มาเล่าสู่กันฟังทีครับ
ต้องมี backup ให้พอครับ เครื่องอื่น ช่องทางอื่น และสำคัญที่สุดคือโค้ด
บริการที่ใช้ MFA มักจะมีช่องทางอื่นๆ ให้เราเปิดควบคู่ไว้ อย่างน้อย 2 ช่องทางครับ เช่น notification verify, backup code หรือ OTP ผ่านมือถือ(อันหลังเริ่มจะไม่ปลอดภัยเช่นกัน)
แต่ผมใช้วิธีมี security key ที่ซื้อไว้ 2 อันขึ้นไป เผื่อหาย และเก็บอีกอันไว้ในที่ปลอดภัย
ถ้า Google Account จะต้องมีทาง fallback ครับ กุญแจ+SMS (ซึ่งความปลอดภัยจะเท่ากับ SMS) ที่นี้ถ้าไม่อยาก fallback ต้องเปิด Advanced Protected ซึ่ง "บังคับ" ต้องมีกุญแจสองอันขึ้นไป
ผมเองพกอันนึง อีกอันเก็บรักษาไว้ครับ เผื่อหาย กลับบ้านมายังล็อกอินได้
lewcpe.com, @wasonliw
การตีความผลการวิจัยนี่ทำให้นึกถึงเรื่องการออกแบบเครื่องบินรบ ที่ตอนแรกไปติดตั้งเกราะที่โดนกระสุนเยอะ แต่จริงๆ ต้องไปติดตั้งบริเวณที่ไม่ค่อยโดนกระสุน เพราะแสดงว่าโดนแล้วเครื่องจะร่วง กลับมาไม่ถึงฐาน
เคสนี้ผมว่าก็คล้ายๆ กัน คือคนที่ใช้ MFA ส่วนมากก็คือคนที่สนใจเรื่องความปลอดภัย รู้วิธีระมัดระวังป้องกันตัวเองอยู่แล้ว ส่วนอีก 1% อาจจะเป็นคนที่โดนบังคับใช้ MFA ไม่ได้สนใจคิดจะใช้ด้วยตัวเอง