การยืนยันแบบ 2 ชั้น ผ่าน SMS ปลอดภัยแค่ไหน ทำไมทวิตเตอร์จึงยกเลิก
#SecurityUpdate | การยืนยันแบบ 2 ชั้น ผ่าน SMS ปลอดภัยแค่ไหน ทำไมทวิตเตอร์จึงยกเลิก
จากกระแสข่าวการเปลี่ยนแปลงครั้งใหญ่ของทวิตเตอร์ที่ประกาศว่า จะยกเลิกการยืนยันตัวแบบ 2 ขั้นตอน ผ่าน SMS ในแอคเคานต์ของผู้ใช้งานฟรี และเปิดให้ผู้ที่จ่ายเงินสมัครใช้งาน Twitter Blue ใช้งานได้เท่านั้น ทำให้บรรดาผู้ใช้งานทวิตเตอร์ส่วนใหญ่ที่ไม่ได้มีการจ่ายเงินเพื่อรับฟีเจอร์เหล่านี้เริ่มไม่มั่นใจในเรื่องความปลอดภัย และกังวลว่าตัวเองอาจถูกแฮ็กบัญชีได้ในสักวันหนึ่ง จนถึงขึ้นมีการลังเลใจว่า จะไปต่อ หรือ พอแค่นี้ ?
ทั้งนี้ทวิตเตอร์ไม่ใช่ผู้ให้บริการรายแรกที่มีการสนับสนุน และออกนโยบายการยกเลิกการยืนยันตัวตนแบบ 2 ขั้นตอน ผ่าน SMS เพราะก่อนหน้านี้ เมื่อปี 2020 บริษัทไมโครซอฟต์ก็ได้ออกมาแจ้งเตือนให้ผู้ใช้งานเลิกใช้งานการยืนยันตัวตนแบบ 2 ขั้นตอน มาแล้ว เนื่องจากมีการศึกษาพบว่า การยืนยันตัวตนแบบ 2 ขั้นตอน หรือ Two-Factor Authentication (2FA) ให้โทษกับผู้ใช้งานมากกว่าประโยชน โดยจากการศึกษาพบว่า การยืนยันตัวตนด้วยวิธีดังกล่าวมีช่องโหว่ค่อนข้างมาก ทำให้แฮ็กเกอร์สามารถดักจับข้อความที่ส่งมาจากระบบ และนำไปใช้ในการแฮ็กบัญชีผู้ใช้งานได้ ไม่เพียงเท่านั้น เพราะเมื่อแฮ็กเกอร์ดับจับข้อมูล SMS ได้แล้ว แทนที่จะส่งรหัส OTP หรือลิงก์ไปเพื่อให้กดยืนยันตัวตน อาจมีการส่งลิงก์เข้าไปยังอุปกรณ์ หากผู้ใช้งานหลงเชื่อแล้วกดลิงก์เหล่านั้นก็จะทำให้อุปกรณ์เกิดความเสียหาย หรือถูกขโมยข้อมูลสำคัญได้
ด้วยเหตุนี้หลาย ๆ องค์กรด้านเทคโนโลยี หรือผู้ให้บริการแอปพลิเคชันหลายแห่งจึงเริ่มมีการนำเอาการยืนยันตัวตนแบบ 2 ขั้นตอน ผ่านช่องทางอื่นมาใช้มากขึ้น โดยเฉพาะการพัฒนาแอปพลิเคชัน Authenticator ขึ้นมา เพื่อใช้ในการสร้างรหัส OTP ในการยืนยันการเข้าสู่ระบบอีกขั้นหนึ่ง ซึ่งถือเป็นอีกหนึ่งวิธีที่ช่วยสร้างความปลอดภัยให้กับบัญชีผู้ใช้งานได้ดียิ่งขึ้นกว่าเดิม เนื่องจากแอปพลิเคชันเหล่านี้จะสร้างรหัสเป็นตัวเลข 6 ตัว ที่สามารถนำไปใช้กับแต่ละบัญชีขึ้นที่อุปกรณ์ได้ทันที โดยไม่ต้องมีการส่งข้อมูลมาจากที่อื่น และรหัสเหล่านี้จะมีอายุเพียง 60 วินาทีเท่านั้น ดังนั้นจึงมั่นใจในเรื่องความปลอดภัยได้ดีกว่าการใช้การยืนยันตัวตนแบบ 2 ขั้นตอน และนี่คือตัวอย่างแอปพลิเคชัน Authenticator ที่คนนิยมใช้ในขณะนี้
Google Authenticator
Google Authenticator เป็นแอปพลิเคชันสร้างรหัสผ่านเพื่อยืนยันตัวตนแบบ 2 ขั้นตอน ที่ได้รับความนิยมมากเป็นอันดับต้น ๆ ของโลก ด้วยหน้าตาของแอปพลิเคชันที่เรียบง่าย และไม่ซับซ้อน อีกทั้งยังเป็นแอปพลิเคชันที่ Google เป็นผู้พัฒนา จึงทำให้คนส่วนใหญ่วางใจเรื่องความปลอดภัย
Microsoft Authenticator
Microsoft อีกหนึ่งบริษัทยักษ์ใหญ่ด้านซอฟต์แวร์นี้ก็มีการพัฒนาแอปพลิเคชันการยืนยันตัวตนแบบ 2 ขั้นตอน ซึ่ง Microsoft Authenticator ก็มีหน้าตาที่ใช้งานง่าย และสามารถระบุโลโก้ของแต่ละบัญชีที่บันทึกไว้ได้ ซึ่งสามารถช่วยลดความสับสน ทว่ามีกระแสข่าวว่าแอปพลิเคชันดังกล่าวเน้นการพัฒนาแอปฯ ให้กับผู้ใช้งานโทรศัพท์ระบบ iOS มากกว่า จึงอาจไม่สะดวกต่อผู้ใช้งานโทรศัพท์ระบบแอนดรอยด์สักเท่าไรนัก
นอกจากแอปพลิเคชันที่ใช้ในการยืนยันตัวตนแบบ 2 ขั้นตอนแล้ว การยืนยันตัวตนด้วยการใช้ Security Key ก็ยังคงได้รับความนิยมอยู่เช่นเดียวกัน โดย Key เหล่านี้จะสะดวกต่อการใช้งานมากกว่า เนื่องจากไม่จำเป็นต้องใช้แอปพลิเคชั่น หรืออุปกรณ์อื่น ๆ แค่เพียงมี Security Key ที่มีลักษณะคล้ายกับ USB และเสียบเข้ากับอุปกรณ์ที่จะเข้าถึงบัญชีก็สามารถยืนยันตัวตนได้ทันที
ทั้งนี้เมื่อเทียบกับการยืนยันตัวตนแบบ 2 ขั้นตอน ผ่าน SMS แล้ว การใช้แอปพลิเคชัน และการใช้ Security Key ทั้ง 2 วิธีนี้ล้วนมีความปลอดภัย และค่อนข้างรัดกุมกว่า ดังนั้นจึงไม่ใช่เรื่องที่ควรกังวลใจกับการที่ทวิตเตอร์ยกเลิกการยืนยันตัวตนแบบ 2 ขั้นตอน ผ่าน SMS เพราะยังมีวิธีอื่นที่สามารถช่วยสร้างความปลอดภัยให้กับบัญชีได้ โดยเป็นหน้าที่ของผู้ใช้งานบัญชีเองด้วยที่จะต้องหาวิธีที่ช่วยป้องกันบัญชีผู้ใช้งานของตัวเองให้ปลอดภัยมากที่สุด เพราะหากไม่มีความระมัดระวังมากพอ แม้จะมีเทคโนโลยีหรือโซลูชันใด ๆ ที่สามารถช่วยป้องกันการถูกคุกคาม ก็ย่อมมีความเสี่ยงอยู่ดี
ขอบคุณข้อมูลจาก