ความปลอดภัยกำลังสอง
การตรวจสอบสิทธิ์แบบ 2 ปัจจัยช่วยให้ผู้ใช้ปกป้องตนเองบนโลกออนไลน์ได้ดียิ่งขึ้น บัญชี Google มีหลายตัวเลือกให้ใช้งาน
การแฮ็กข้อมูลที่ประสบความสำเร็จอาจก่อให้เกิดผลลัพธ์ที่ไม่พึงปรารถนา เคยมีหลายกรณีที่ผู้โจมตีที่ไม่ทราบตัวตนใช้บัญชีของเหยื่อไปเกรียนใส่คนอื่นในโซเชียลมีเดีย หรือใช้ส่งอีเมลหลอกลวง คนอื่นๆ อาจเคยเจอเหตุการณ์ที่เงินหายไปจากบัญชีธนาคารออนไลน์ บ่อยครั้งที่ผู้คนมักไม่สังเกตว่าบัญชีของตนถูกแฮ็กจนกว่าจะมีความเสียหายเกิดขึ้น
หนึ่งเหตุผลที่การขโมยข้อมูลเกิดขึ้นซ้ำแล้วซ้ำเล่าก็เพราะว่าผู้ใช้ส่วนใหญ่นั้นพึ่งพารหัสผ่านให้ปกป้องตนเองบนโลกออนไลน์มากเกินไป ผู้คนไม่รู้ว่าโลกใบนี้มีสิ่งที่เรียกว่ารายการข้อมูลออนไลน์ ซึ่งประกอบไปด้วยชื่อผู้ใช้และรหัสผ่านนับล้านรายการ "กองขยะรหัสผ่าน (Password Dumps)" เหล่านี้มีชื่อเรียกจากผู้เชี่ยวชาญว่ารายการข้อมูล โดยประกอบไปด้วยข้อมูลที่ได้มาจากการขโมยที่ประสบความสำเร็จจำนวนมาก เนื่องจากผู้คนจำนวนมากใช้รหัสผ่านเดียวกันในหลายๆ บัญชี ข้อมูลในการเข้าสู่ระบบบัญชี Google ก็อาจจะตกไปอยู่ใน "กองขยะรหัสผ่าน" นี้ด้วย แม้ว่าบัญชีของพวกเขาจะไม่เคยถูกแฮ็กเลยก็ตาม อีกภัยคุกคามที่เกิดขึ้นอยู่เสมอๆ ก็คือฟิชชิง กล่าวคือความพยายามฉ้อโกงเพื่อจะหลอกลวงเอารหัสผ่านและข้อมูลอื่นๆ ผ่านอีเมลหรือเว็บไซต์ที่ทำให้ดูน่าเชื่อถือ
นั่นคือเหตุผลที่บริษัทอย่าง Google แนะนำให้ผู้ใช้ปกป้องบัญชีออนไลน์ของตนเองด้วยการตรวจสอบสิทธิ์แบบ 2 ปัจจัย ซึ่งจะต้องมีการใช้ปัจจัย 2 รายการแยกกันเพื่อลงชื่อเข้าสู่ระบบ เช่น รหัสผ่านและโค้ดที่ส่งให้ทาง SMS วิธีการตรวจสอบสิทธิ์นี้เริ่มมีการใช้โดยทั่วไปมากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งสำหรับธนาคารและบริษัทบัตรเครดิต
ผู้เชี่ยวชาญด้านความปลอดภัยได้แบ่งประเภทพื้นฐานของปัจจัยด้านความปลอดภัยไว้ 3 ประเภท ประเภทแรกคือข้อมูล ("สิ่งที่คุณรู้") เช่น ผู้ใช้ได้รับโค้ดทาง SMS และป้อนโค้ดนั้น หรือต้องตอบคำถามเพื่อความปลอดภัย ประเภทที่ 2 คือวัตถุที่จับต้องได้ ("สิ่งที่คุณมี") ที่ใช้เพื่อการตรวจสอบสิทธิ์ เช่น บัตรเครดิต ประเภทที่ 3 คือข้อมูลไบโอเมตริก ("สิ่งที่คุณเป็น") เช่น เมื่อผู้ใช้สมาร์ทโฟนปลดล็อกหน้าจอด้วยลายนิ้วมือ กลยุทธ์การตรวจสอบสิทธิ์แบบ 2 ปัจจัยทั้งหมดจะใช้ 2 จาก 3 ปัจจัยข้างต้นนี้ผสมกัน
Google มีการตรวจสอบสิทธิ์แบบ 2 ปัจจัยมากมายหลายแบบ นอกจากการใช้รหัสผ่านแบบเดิมๆ แล้ว ผู้ใช้สามารถป้อนรหัสความปลอดภัยแบบใช้ครั้งเดียวที่ได้รับทาง SMS หรือการโทรด้วยเสียง หรือที่สร้างบนแอป Google Authenticator ซึ่งทำงานบน Android และบนระบบปฏิบัติการ iOS บนอุปกรณ์เคลื่อนที่ของ Apple ผู้ใช้ยังสร้างรายการอุปกรณ์ที่เชื่อถือได้ภายในบัญชี Google ของตนเองได้ด้วย ถ้าผู้ใช้พยายามลงชื่อเข้าสู่ระบบจากอุปกรณ์ที่ไม่ได้อยู่ในรายการดังกล่าว ก็จะได้รับคำเตือนด้านความปลอดภัยจาก Google
ในช่วง 3 ปีที่ผ่านมา Google ได้นำเสนอตัวเลือกในการใช้โทเค็นความปลอดภัยที่จับต้องได้ด้วย หรือที่เรียกว่าคีย์ความปลอดภัย ซึ่งก็คือดองเกิล USB, NFC หรือบลูทูธที่ต้องใช้เชื่อมต่อกับอุปกรณ์ที่ต้องการ ขั้นตอนนี้จะขึ้นอยู่กับมาตรฐานการตรวจสอบสิทธิ์แบบเปิดที่เรียกว่า Universal 2nd Factor (U2F) ซึ่งได้รับการพัฒนาโดยกลุ่มพันธมิตร FIDO Google คือหนึ่งในกลุ่มพันธมิตรดังกล่าว ร่วมกับบริษัทอื่นๆ เช่น Microsoft, Mastercard และ PayPal โทเค็นความปลอดภัยนั้นจะขึ้นอยู่กับมาตรฐาน U2F ที่มีผู้ผลิตจำนวนมากพร้อมให้บริการโดยคิดค่าธรรมเนียมใช้งานเพียงเล็กน้อย คีย์ความปลอดภัยนั้นพิสูจน์แล้วว่ามีประสิทธิภาพสูง นับตั้งแต่ที่มีการเปิดตัวคีย์ออกมา ความเสี่ยงของการโจรกรรมข้อมูลก็ลดลงอย่างมีนัยสำคัญ ในทางทฤษฎีแล้ว บัญชีออนไลน์นั้นจะถูกแฮ็กจากส่วนไหนของโลกก็ได้ แต่โทเค็นความปลอดภัยที่จับต้องได้นั้นจะต้องอยู่ในมือของมิจฉาชีพ (ซึ่งจำเป็นต้องมีรายละเอียดการลงชื่อเข้าสู่ระบบของเหยื่อด้วยจึงจะเข้าถึงบัญชีได้) หลายๆ บริษัทนอกเหนือจาก Google ก็ได้รองรับโทเค็นความปลอดภัยเหล่านี้แล้ว
แน่นอนว่าการตรวจสอบสิทธิ์แบบ 2 ปัจจัยก็มีข้อเสียอยู่เหมือนกัน ผู้ที่ใช้วิธีรับโค้ดทาง SMS ต้องพกโทรศัพท์มือถือติดตัวเอาไว้เมื่อต้องการลงชื่อเข้าสู่ระบบจากอุปกรณ์เครื่องใหม่ ส่วนดองเกิล USB และบลูทูธก็อาจสูญหายได้ แต่นี่ก็ไม่ใช่ปัญหาที่แก้ไม่ได้ และเมื่อพิจารณาถึงความปลอดภัยเพิ่มเติมที่จะได้รับแล้ว ก็ย่อมคุ้มค่าแน่นอน ผู้ที่ทำคีย์ความปลอดภัยหายจะสามารถนำโทเค็นที่ทำหายออกจากบัญชี แล้วเพิ่มอันใหม่ได้ อีกทางเลือกหนึ่งก็คือให้จดทะเบียนคีย์ความปลอดภัยสำรองไว้ตั้งแต่ต้น แล้วก็เก็บคีย์นั้นไว้ในที่ที่ปลอดภัย
ดูข้อมูลเพิ่มเติมได้ที่:
ภาพประกอบ: Birgit Henne
ความก้าวหน้าด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ดูว่าเราช่วยให้ผู้คนออนไลน์อย่างปลอดภัยเป็นจำนวนมากกว่าใครๆ ในโลกได้อย่างไร
ดูข้อมูลเพิ่มเติม