หลังจากเมื่อคราวก่อนเราได้พูดถึงเรื่อง Password Manager และ MFA ไปคร่าวๆแล้วส่วนนึง รอบนี้เราจะมาคุยกันถึงเรื่อง MFA แบบลงรายละเอียดมากขึ้นครับ MFA หรือ Multi Factored Authentication คือกระบวนการเข้าสู่ระบบบัญชีแบบหลายขั้นตอนที่กำหนดให้ผู้ใช้ป้อนข้อมูลเพิ่มเติมนอกเหนือจากรหัสผ่าน เพื่อเป็นการยืนยันว่าเราเป็นเจ้าของบัญชีจริงๆ เช่น การใช้ OTP ที่ส่งผ่าน SMS ที่เราคุ้นเคยกันดี, การอนุมัติผ่าน Authenthicator หรือ security key ไปจนถึงการใช้รหัสผ่านชีวภาพอย่างลายนิ้วมือหรือม่านตาเป็นต้น
.
ในวันนี้เราจะมาพูดถึงการใช้ MFA 2 แบบคือ Authenticator และ security key ซึ่งจะมีทั้งแบบที่ใช้ได้ฟรีๆไปจนถึงเสียเงินซื้อ รวมถึงข้อดีข้อเสียของทั้ง 2 ตัวกันครัช เริ่มกันที่อย่างแรกก่อน
.
Authenticator App คืออะไร?
.
คือแอปพลิเคชันมือถือที่ให้การรักษาความปลอดภัยอีกชั้นแก่บัญชีต่างๆของคุณที่รองรับ MFA โดยการสร้างรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (Time-based OTP) ซึ่งส่วนมากจะเป็นรหัส 6 หลัก ที่จะถูกวนเปลี่ยนไปเรื่อยๆทุก 30 วินาที รหัสผ่านเหล่านี้ใช้สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) และจะช่วยปกป้องบัญชีของคุณจากการเข้าถึงที่ไม่ได้รับอนุญาต เพราะหลังจากกรอกรหัสผ่านตามปกติแล้ว คุณจะต้องใช้ OTP ที่ได้จาก Authenticator กรอกอีกชั้น เพื่อเป็นการยืนยันว่าเป็นคุณจริงๆ เพราะเป็นอันที่รู้กันดีว่า รหัสผ่าน หรือ Password นั้นสามารถรั่วได้ แต่การใช้ OTP จาก Authentiator จะช่วยเพิ่มความปลอดภัยเข้าไปอีก
.
Authenticator ตอนนี้นิยมใช้กันแพร่หลาย และมีหลายเจ้าที่ได้รับความนิยม เช่น Microsoft Authenticator, Google Authenticator, Authy, Duo และนอกจากนี้ Password Manager ส่วนใหญ่ ก็จะสามารถสร้าง/เก็บ OTP ไว้ในตัวได้ด้วยเช่นกัน
.
เนื่องจากการใช้ 2FA ด้วย Authenticator นั้นแพร่หลายอยู่แล้ว ทำให้บริการออนไลน์ส่วนใหญ่ในโลกสามารถเปิดใช้งาน MFA/2FA กับ Authenticator ได้ในทันที โดยส่วนใหญ่ก็เพียงแค่เข้าไปที่บริการที่ต้องการใช้งาน เลือกเปิดใช้ 2FA แล้วแสกน QR Code ด้วย Authenticator ก็เป็นอันจบ คุณก็จะได้ OTP มาเก็บไว้ใช้ในภายหลัง
.
ข้อดีของ Authenticator คือ
– ฟรี! เกือบทุกเจ้าในตลาดที่มีตอนนี้สามารถดดาวน์มาใช้ได้ฟรีไม่เสียเงิน
– ผูกติดกับโทรศัพท์มือถือ ไม่ต้องพกอะไรเพิ่ม
– ใช้งานง่ายและบริการส่วนใหญ่ในโลกรองรับ Authenticator อยู่แล้ว
ส่วนข้อเสียหลักก็คือ
– การที่ App นั้นผูกเข้ากับมือถือ ทำให้ถ้ามือถือหาย แบตหมด หรือเสียหาย ก็ทำให้คุณงานเข้าได้ทันทีหากต้องการใช้งาน เพราะชีวิตคุณแทบจะผูกอยุ่กับมือถือของคุณนั่นเอง
.
Security key คืออะไร
.
Security key หรือ Security Token ซึ่งโดยส่วนมากแล้วจะมาในรูปแบบคล้ายๆ USB drive ที่เราใช้กันอยู่นั่นหละ แต่ต่างกันคือ Security key ไม่สามารถเอาไปใช้เก็บข้อมูลอะไรได้ นอกเสียจากเอาใช้สำหรับทำ MFA เท่านั้น ซึ่ง Security key ส่วนใหญ่ใช้เทคโนโลยีการเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography) โดยอธิบายแบบไม่ซับซ้อนคือ เจ้า Secutiry Key จะสร้าง “กุญแจ” เป็นคู่ขึ้นมา เรียกว่า Public & Private key บริการที่เราเปิดใช้งาน MFA ด้วย Security key จะเป็นคนเก็บสิ่งที่เรียกว่า Public Key ของเราเอาไว้ และเจ้า Public Key ดังกล่าวจะถูกเปิดใช้งานหรือ validate ได้ก็เมื่อเราใช้ Security key ที่มี Private Key ซึ่งเป็นคู่กันเสียบเข้าไปที่คอมของเราเท่านั้นจึงจะเป็นการยืนยันตัวตนที่สมบูรณ์ หากยังนึกภาพการทำงานไม่ออกให้คิดถึง แม่กุญแจ (Public Key) และ ลูกกุญแจ (private key) ดูครับ
.
ข้อดีของระบบ Public/Private key แบบนี้คือ แม้ผู้ให้บริการดังกล่าวจะทำ Public Key เรารั่วออกไป ก็ไม่ส่งผลกระทบต่อบริการอื่นๆ เพราะ Public Key ไม่สามารถเอาไปใช้ปลดล๊อกบริการอื่นได้ ต้องใช้ Private key ซึ่งก็คือตัว Security token ที่เราถืออยู่เท่านั้น เพราะคุณไม่สามารถเอาแม่กุญแจ ไปไขแม่กุญด้วยกันได้นั่นเอง Secutiry key ส่วนใหญ่จะทำการตรวจสอบด้วยการเสียบผ่าน USB-A หรือ USB-C เข้าไปที่อุปกรณ์ที่ต้องการเมื่อบริการที่เราต้องการ login ร้องขอ นอกจากนี้ใน Security key บางรุ่นยังรองรับการใช้ NFC ด้วย เพียงแค่สัมผัสเข้ากับอุปกรณ์เท่านั้น นับว่าสะดวกมากๆ
.
นอกจากนี้ ถึงแม้ Security Key จะถูกขโมยไป ตราบเท่าที่เราไม่ได้เขียนว่าเจ้าสิ่งนี้ใช้ผูกกับอะไรอยู่ คนที่เอาไปก็ไม่สามารถรู้ได้ว่านี่คือ key ของบัญชีอะไร
.
ยี่ห้อในตลาดตอนนี้มีหลายยี่ห้อ แต่ที่ได้รับความนิยมคือ Yubikey และมีหลายรุ่นให้เลือกเช่นรุ่น USB-A, USB-C รุ่นที่มี NFC ในตัว หรือรุ่นมินิที่ขนาดเท่าตัวรับสัญญาณ Bluetooth เป็นต้น
ข้อดีของ Security Key คือ
– พกพาสะดวก ขนาดจิ๋วเท่า usb drive
– ไม่ต้องพึ่งพาแบตเตอรี่หรือ app ใดๆ
– ความปลอดภัยสูงกว่า Authenticator App
– ส่วนใหญ่ทนทาน (มันทนจริงๆนะ)
.
แต่ข้อดีก็มาพร้อมข้อเสียเช่นกัน
– แพง ต้องเสียเงินซื้อ ราคาจะอยู่ราวๆ 1000-3000 บาทแล้วแต่รุ่น
– มีเจ้าใหญ่ครองตลาดอยู่คือ Yubikey จนเอายี่ห้ออื่นแทบไม่ขึ้นมาให้เลือก
– เพราะพกพาสะดวก ดังนั้นหากทำหายขึ้นมาคืองานเข้าทันที
– บริการที่รองรับ Security key ยังไม่เยอะเท่าการรองรับ Authenticator หากสมมุติกว่า ในโลกนี้มีบริการที่ให้ใช้ MFA ด้วย Authenticator 100 อย่าง ก็อาจจะมีบริการแค่ราวๆ 20-30 ที่รองรับ Security key ในตอนนี้
.
ใดๆก็ตามหากอ่านมาถึงตรงนี้ แอดมึนก็อยากให้ทุกคนใส่ใจกับการทำ MFA/2FA เอาไว้ให้มากๆ ไม่ว่าจะใช้แบบไหนก็ตาม อย่าไปคิดว่าการเปิด MFA เป็นเรื่องน่ารำคาญหรือยุ่งยาก ไม่อยากศึกษา ใช้แค่รหัสผ่านก็พอแล้ว ขอให้จำเอาไว้ว่า ในตอนนี้การจู่โจมทาง Cyber หนักข้อขึ้นเรื่อยๆในทุกปี และรหัสผ่านเราพร้อมที่จะรั่วได้ทุกนาที และ “การป้องกันรหัสง่ายและประหยัดเวลากว่าการขอกู้คืนบัญชีที่โดนแฮกเป็นร้อยเท่า” ครัช