การยืนยันตัวตน (2FA) ทำงานอย่างไร?

การยืนยันตัวตน หรือการรับรองความถูกต้องแบบสองขั้นตอนจะใช้อุปกรณ์ที่สองที่เป็นอิสระ ซึ่งทำหน้าที่เป็นบัฟเฟอร์ระหว่างบริการและความพยายามในการเข้าสู่ระบบ

 บางบริการจะให้คีย์ของตัวเอง ถึงแม้ว่ามันจะได้รับความนิยมน้อยลงเนื่องจาก บริษัทต่างๆ หันมาพัฒนาแอป สมาร์ทโฟน ของตนเอง หรือใช้ประโยชน์จากข้อความ SMS ไม่ว่าจะเป็นคีย์ที่สร้างตัวเลขหรือข้อความยืนยันก็ตาม โดยแนวคิดก็คือมีเพียงเจ้าของอุปกรณ์เท่านั้นที่สามารถเข้าถึงคีย์และความสามารถในการอนุญาตการพยายามเข้าสู่ระบบได้

 โดยปกติการตรวจสอบความปลอดภัยเพิ่มเติมจะปรากฏขึ้นหลังจากที่ผู้ใช้ส่งชื่อผู้ใช้และรหัสผ่าน และเมื่อระบบตรวจสอบว่ามีบัญชีนั้นอยู่ ระบบจะขอให้ผู้ใช้ดำเนินการเพิ่มเติม

 การรับรองความถูกต้องแบบสองขั้นตอนกำลังเป็นที่แพร่หลายในบริการออนไลน์ส่วนใหญ่ที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อน ไม่ว่าจะเป็นบริการด้านการเงิน, การธนาคาร, อีคอมเมิร์ซ หรือแอปพลิเคชันทางธุรกิจต่างๆ และในบริษัทประเภทอื่นๆ ก็เริ่มนำเสนอ 2FA เพื่อให้โดดเด่นกว่าคู่แข่งเช่นกัน

 การปรากฏของขั้นตอนเพิ่มเติมนั้นอาจแตกต่างกันไปในแต่ละบริการ ยกตัวอย่างเช่น ตอนนี้ธนาคารส่วนใหญ่มีโทเคนการรักษาความปลอดภัยของตนเองสำหรับการธนาคารออนไลน์ ซึ่งมักจะอยู่ในรูปแบบของการสร้างตัวเลขสุ่มและมักจะเสนอผ่านแอปพลิเคชันสมาร์ทโฟน ในขณะที่ผู้ใช้บางรายอาจยังใช้ fob ทางกายภาพอยู่ก็ตาม อย่างไรก็ตามบริการออนไลน์จำนวนมากใช้การตรวจสอบแบบสองขั้นตอนที่นำเสนอโดย Google ซึ่งทำให้พวกเขาสามารถฝังชั้นความปลอดภัยเพิ่มเติมได้โดยไม่ต้องดำเนินการพัฒนาเอง

 การผ่านการรักษาความปลอดภัยชั้นที่สองอาจเป็นส่วนที่ช้าที่สุดในการลงชื่อเข้าใช้บริการ หากแต่มันเป็นวิธีที่มีประสิทธิภาพในการคัดกรองผู้ที่พยายามจะเข้าสู่บัญชีแบบผิดๆ ได้

 


การรับรองความถูกต้องแบบสองขั้นตอนปลอดภัยหรือไม่?

แม้ว่ามันจะมีประโยชน์หลายอย่าง แต่ก็เป็นที่น่าสังเกตว่าการรับรองความถูกต้องแบบหลายปัจจัยนั้นอาจจะไม่ปลอดภัย 100% เพราะเมื่อเร็วๆ นี้ Microsoft เตือนธุรกิจต่างๆไม่ให้ใช้ระบบที่ต้องใช้เสียงและ SMS เนื่องจากปัญหาด้านความปลอดภัย โดยเตือนว่าวิธีการเหล่านี้ไม่ใช่การเข้ารหัส เพราะมันทำให้แฮกเกอร์สามารถดักฟังได้ง่ายและมีความอ่อนไหวต่อเทคนิคการหลอกลวงของเหล่าแฮกเกอร์

 

ตัวอย่างเช่น การตรวจสอบสิทธิ์ผ่านข้อความมีความเสี่ยงที่จะถูกแฮกเกอร์สกัดกั้นและปลอมแปลง โดยเฉพาะอย่างยิ่งหากพวกเขาสามารถขโมยบัญชีที่รองรับหมายเลขโทรศัพท์มือถือของบุคคลได้ กระบวนการกู้คืนบัญชีต่างๆ สำหรับรหัสผ่านที่สูญหายก็สามารถถูกแฮกเกอร์ควบคุมได้เช่นกันในการจัดการกับการพิสูจน์ตัวตนแบบสองขั้นตอน

 

และมัลแวร์ที่ซับซ้อนที่ติดไวรัสให้กับคอมพิวเตอร์และอุปกรณ์ต่างๆสามารถเปลี่ยนเส้นทางของข้อความในการตรวจสอบสิทธิ์และแจ้งไปยังอุปกรณ์ที่เป็นของแฮกเกอร์แทนที่จะเป็นเจ้าของบัญชีที่ถูกต้อง ซึ่งถึงมันจะทำงานจากภายในแต่ก็ยังเกี่ยวข้องกับการตรวจสอบสิทธิ์แบบสองขั้นตอนเหมือนกัน

 

วิธีการที่ปลอดภัยที่สุดของ 2FA คือใช้โทเคนฮาร์ดแวร์เฉพาะ เช่น Google Titan Hardware Key หรือ Yubico Key เพราะแฮกเกอร์จะปลอมแปลงได้ยาก เว้นแต่จะขโมยมาจากผู้อื่นโดยตรง ตัวอย่างเช่น ข้อเสนอของ Google ใช้การเข้ารหัสเพื่อยืนยันตัวตนของผู้ใช้และใช้ URL แยกต่างหากเพื่อหยุดไม่ให้ผู้โจมตีเข้าถึงบัญชีแม้ว่าจะมีชื่อผู้ใช้และรหัสผ่านก็ตาม

 

ในทางกลับกัน การรับรองความถูกต้องแบบสองขั้นตอนที่อาศัย SMS น่าจะหลีกเลี่ยงได้ดีที่สุดหากคุณใช้งานองค์กรที่มีขุมทรัพย์ข้อมูลมาก

 

แม้ว่า 2FA อาจจะไม่ใช่ตัวจัดการปัญหาด้านความปลอดภัยที่ครั้งหนึ่งเคยคาดว่าจะเป็น แต่มันก็ยังคงเป็นส่วนสำคัญในการรักษาความปลอดภัยและการควบคุมการเข้าถึงที่ควรคำนึงถึงเมื่อมีการจัดหาและตั้งค่าบริการสำหรับธุรกิจหรือชีวิตส่วนตัวของคุณ เพราะยิ่งคุณสร้างอุปสรรคในการเข้าถึงบัญชีมากเท่าไหร่ ก็จะยิ่งมีโอกาสน้อยที่เหล่าแฮกเกอร์จะกำหนดเป้าหมายไปที่คุณ

 

 

ที่มาwww.quickserv.co.th 

อ่านบทความเพิ่มเติมได้ที่ www.kodefix.com