2FA: เสริมความปลอดภัยให้บัญชีด้วยรหัสสองชั้น

ในการทำรายการผ่านอินเทอร์เน็ตแบงค์กิง โดยมากแล้วเราจะพบว่ากระบวนการสำคัญก่อนยืนยันการทำธุรกรรม คืการกรอกรหัสที่ได้รับผ่าน SMS

รหัสที่ได้นี้ทางเทคนิคมีชื่อว่า One-Time Password (OTP) ซึ่งเป็นรหัสที่จำเพาะต่อบุคคลและปัจจัยอื่น และกระบวนการใช้รหัสสองชั้นนี้เรียกว่า การยืนยันตัวตนสองขั้น (2 Factor Authentication: 2FA) ช่วยป้องกันการเข้าถึงแอคเคานต์โดยมิชอบให้เป็นไปได้รัดกุมขึ้น

รู้จักกับ OTP

OTP หรือ One-Time Password เป็นรหัสรองที่ถูกสร้างขึ้นมาใช้ควบกับรหัสหลัก (password)  โดยในปัจจุบัน การออก OTP ร่วมที่ใช้กันอย่างแพร่หลายมากคือการออก OTP ด้วยค่าเวลา (TOTP)

lol-002

กระบวนการออก TOTP จะเริ่มจากเซิร์ฟเวอร์มอบค่าค่าหนึ่งให้กับผู้ใช้ เรียกค่านี้ว่าความลับร่วม (shared secret)

lol-003

เมื่อทั้งผู้ใช้และเซิร์ฟเวอร์มีความลับร่วม เพียงนำความลับร่วมนี้มาคำนวน (ด้วยการแฮช) พร้อมกับค่าเวลา ก็จะได้ค่าค่าหนึ่งซึ่งเปลี่ยนไปตามเวลาที่คำนวนค่า รหัสตรงนี้ถูกนำมาใช้เป็นรหัสชั้นที่สองในการยืนยันตัวตน

800px-secureid_token_new

กระบวนการแฮชที่เกิดขึ้นหมายถึงผู้ใช้จะต้องมีอุปกรณ์อิเล็กทรอนิกส์ที่สามารถคำนวนตามกระบวนการข้างต้นได้ หากผู้อ่านได้มีโอกาสเดินบริเวณอาคารสำนักงาน (เช่นย่านสีลม) อาจพบพนักงานออฟฟิซหลายราย “ห้อย” อุปกรณ์หน้าตาดังภาพ อุปกรณ์ตัวนี้รู้จักกันในชื่อของ RSA SecurID เป็นอุปกรณ์ที่ทำหน้าที่ “คำนวน” รหัสดังที่กล่าวเพื่อนำมาป้อนในระบบ

screen696x696

แต่สำหรับผู้ใช้ทั่วไปแล้ว ลำพังเพียงโทรศัพท์มือถือก็เพียงพอสำหรับการใช้เป็นอุปกรณ์ในการสร้างรหัสลับร่วมนี้ กูเกิลสร้างมาตรฐานการคำนวนรหัสลับร่วมนี้พร้อมสร้างแอปพลิเคชั่น Google Authenticator ซึ่งทำหน้าที่ตัว “สร้าง” รหัส OTP ให้กับบริการของกูเกิล
มาตรฐานนี้ของกูเกิลได้รับความนิยมในระดับหนึ่ง โดยบริการอื่นๆ เช่นกิทฮับ ลาสต์พาส นำมาตรฐานนี้ไปใช้เป็นส่วนหนึ่งของการให้บริการยืนยันตนสองชั้นด้วย

ในขณะเดียวกัน ระบบการส่งรหัสให้เป็นครั้งๆ (เหมือน OTP SMS ของธนาคาร) ก็ได้รับความนิยมอยู่เป็นจำนวนมาก และอาจพบเป็นทางเลือกรองสำหรับรับรหัสเมื่อไม่สามารถเข้าถึงตัวสร้างรหัส (เช่น Google Authenticator) ได้

การเปิดใช้การยืนยันตนสองขั้น

เว็บไซต์ https://twofactorauth.org/ รวบรวมรายการเว็บไซต์และบริการออนไลน์ที่รองรับกระบวนการยืนยันตัวตนสองขั้น

screen-shot-2559-12-16-at-9-13-19-pm

ผู้ใช้สามารถเลือกหาบริการที่ตนใช้อยู่ในปัจจุบัน และอ่านเอกสารขั้นตอนในการเปิดใช้กระบวนการยืนยันตัวตนสองขั้นที่ถูกรวบรวมไว้สำหรับแต่ละบริการได้จากเว็บไซต์นี้

สัญลักษณ์คำเตือนหลังชื่อบริการหมายถึงข้อแม้พิเศษก่อนเปิดใช้กระบวนการยืนยันตัวตนสองขั้นสำหรับแต่บริการ เช่นสำหรับทวิตเตอร์ในรูป ผู้ใช้จำเป็นจะต้องมีหมายเลขโทรศัพท์เพื่อรับ SMS รหัสสองขั้น

คำแนะนำและข้อควรระวังเพื่อความปลอดภัย

  • การเปิดใช้ 2FA ไม่ทำให้ท่านปลอดภัยร้อยเปอร์เซนต์: มีข้อควรระวังหลังจากเปิดใช้ 2FA ซึ่งทำให้ความเสี่ยงลดลงได้อีกมากเมื่อปฏิบัติตามขั้นตอนเหล่านี้
    • ตั้งรหัสผ่านหลักให้ปลอดภัย ถึงแม้ว่าท่านจะต้องใช้รหัสอีกชั้นในการเข้าสู่ระบบ แต่รหัสผ่านที่ดีก็เป็นปราการชั้นแรก ข้อควรระวังในการตั้งรหัสผ่านคือ
      • รหัสผ่านยาวพอ
      • รหัสผ่านไม่ใช่สิ่งที่เดาได้ง่าย (เช่นชื่อสุนัข ชื่อบิดามารดา)
      • กรณีไม่อยากตั้งรหัสที่จำไม่ได้ ให้ตั้งรหัสเป็นคำสี่คำติดกัน เช่น “correct horse battery staple” ซึ่งยากต่อการเดาสุ่มใกล้กับรหัสที่มีอักขระพิเศษแต่สั้น
      • ใช้ Password Manager ช่วยเพิ่มความปลอดภัยได้
    • คำถามความปลอดภัยเป็นหนึ่งในช่องทางที่ท่านอาจถูกเจาะบัญชี ขอให้มั่นใจว่าคำถามและคำตอบของท่านปลอดภัยพอ
  • ป้องกันการเข้าถึงอุปกรณ์สร้างรหัสชั้นที่สอง เช่น
    • ป้องกันการเข้าถึงทางกายภาพด้วยการพกโทรศัพท์ติดตัว และใส่รหัสผ่านโทรศัพท์
    • บริการหลายบริการมักสร้างรหัสสำรองที่ท่านสามารถกรอกได้เลยกรณีไม่สามารถเข้าถึงอุปกรณ์สร้างรหัสได้ ท่านไม่เก็บรหัสผ่านสำรองไว้ในที่ล่อแหลมหรือเข้าถึงได้ง่าย เช่นกระเป๋าเงิน ทางที่ดีท่านอาจสำรองข้อมูลชุดนี้ไว้ในไฟล์ซึ่งเข้ารหัสไว้
  • เปิดใช้บริการยืนยันตัวตนสองขั้นกับทุกบริการที่ทำได้
  • จัดเก็บรหัสสำรองของทุกบริการ กรณีที่ท่านไม่สามารถเข้าถึงอุปกรณ์สร้างรหัสได้
    • หมั่นแบคอัพไฟล์กรณีที่ท่านเก็บรหัสสำรองเป็นไฟล์

หวังว่าบทความชิ้นนี้จะช่วยให้เข้าใจความสำคัญและกระบวนการเปิดใช้การยืนยันสองขั้นตอนครับ

Leave a Reply

Your email address will not be published. Required fields are marked *