การตรวจสอบสิทธิ์แบบสองปัจจัยหรือที่เรียกกันทั่วไปว่า “2FA” เป็นหนึ่งใน วิธีที่ง่ายและปลอดภัยที่สุดในการปกป้องบัญชีออนไลน์ที่ละเอียดอ่อน จากการเข้าถึงโดยพวกมิจฉาชีพ วิธีง่ายๆในการปกป้องบัญชีเว็บไซต์อันดับต้น ๆ จำนวนมากและผู้ให้บริการปัจจุบันมีการป้องกันการเข้าสู่ระบบ 2FA สำหรับลูกค้าของตน.

อย่างไรก็ตามยังมีค่อนข้าง ไม่กี่คนที่ใช้ 2FA, เลือกที่จะไม่เปิดใช้งานการป้องกัน 2FA แทนแม้ว่าจะมีให้ใช้งานก็ตาม หนึ่ง บริษัท วิจัยออนไลน์ พบว่าต่ำอย่างน่าตกใจ ผู้ใช้ 28% ใช้ 2FA เป็นประจำ เพื่อเข้าถึงบัญชีที่ละเอียดอ่อนโดยมีเพียง 54% ของสิ่งเหล่านี้โดยใช้มัน โดยสมัครใจ, มากกว่าการบังคับใช้โดยผู้ให้บริการของตน.

แต่การรับรองความถูกต้องด้วยสองปัจจัยไม่ใช่กระบวนการใหม่และแม้ว่าผู้ใช้บางคนอาจมองว่าเป็นห่วงพิเศษที่ต้องข้ามผ่าน 2FA ก็เป็นหนึ่งใน ขั้นตอนที่สำคัญที่สุด เพื่อรับรองความปลอดภัยขั้นพื้นฐานของบัญชีออนไลน์.

สำหรับผู้ใช้ cryptocurrency ผู้ถือสินทรัพย์ดิจิทัลและผู้ที่ทำธุรกรรมผ่านทางออนไลน์เป็นประจำ การแลกเปลี่ยน crypto, การรักษาข้อมูลของคุณให้ปลอดภัยเป็นสิ่งสำคัญสูงสุด. การใช้บริการ 2FA เป็นขั้นตอนแรกที่สำคัญในกระบวนการรักษาความปลอดภัยนั้น ที่นี่เราจะแนะนำคุณตลอด 2FA คืออะไร, แอปพลิเคชันใดดีที่สุด, ข้อ จำกัด ของ 2FA, และจุดที่คุณควรมองหาเพื่อเพิ่มความปลอดภัย.

2FA คืออะไร?

การตรวจสอบการเข้าสู่ระบบหรือข้อมูลประจำตัวผ่าน 2FA มีต้นกำเนิดมาจากแนวคิดที่เรียกว่า ‘การรับรองความถูกต้องหลายปัจจัย’หรือ MFA การรับรองความถูกต้องแบบหลายปัจจัยขึ้นอยู่กับผู้ใช้ที่มีความรู้เฉพาะเกี่ยวกับบางสิ่งที่เป็นส่วนตัวเช่น PIN หรือชื่อสัตว์เลี้ยง ครอบครองบางสิ่งบางอย่างเช่นสมาร์ทโฟนหรือบัตรธนาคาร หรือสิ่งที่มีซึ่งเป็นของแต่ละบุคคลเช่นลายนิ้วมือ.

Two Factor Authentication คืออะไร?

ตามชื่อ, 2FA ต้องการเพียงสองปัจจัยเหล่านี้ในการตรวจสอบสิทธิ์ บุคคล นี่เพียงพออย่างสมบูรณ์สำหรับการรักษาความปลอดภัยของบัญชีผู้ใช้ทั่วไปและใช้เวลาน้อยกว่าการยืนยันผ่านสามขั้นตอนขึ้นไป นี่เป็นหนึ่งในสาเหตุหลักที่ 2FA กลายเป็นรูปแบบการตรวจสอบที่ได้รับความนิยมมากที่สุด.

ในขณะที่เรากำลังจะพูดถึง 2FA สำหรับซอฟต์แวร์การตรวจสอบและรับรองความถูกต้องทางออนไลน์ที่นี่มีโอกาส คุณได้ใช้ 2FA แล้ว ในชีวิตประจำวันของคุณ สำหรับผู้ให้บริการธนาคารแบบดั้งเดิม, ชิปและ PIN เป็นรูปแบบพื้นฐานที่สุดรูปแบบหนึ่งของกระบวนการตรวจสอบสองขั้นตอนโดยผู้ใช้ต้องแสดงบัตรธนาคารซึ่งเป็นสิ่งที่พวกเขามี“ควบคู่ไปกับ PIN ซึ่งเป็นสิ่งที่พวกเขา”ทราบ’.

เมื่อทำธุรกรรมออนไลน์, เช่นการป้อนรายละเอียดการเข้าสู่ระบบในเว็บไซต์, คุณอาจไม่มี PIN หรือบัตรจริง. แล้วเว็บไซต์จะรู้ได้อย่างไรว่าคุณเป็นคนที่คุณอ้างว่าเป็นไม่ใช่แฮกเกอร์ที่พยายามเข้าถึงบัญชีของคุณ? นี่คือที่ที่ใช้วิธีการและแอปพลิเคชัน 2FA ที่ทันสมัย มาสำรวจกัน ระบบเหล่านี้ทำงานอย่างไร.

2FA ทำงานอย่างไร?

เราได้สำรวจทฤษฎีเบื้องหลัง 2FA แล้วตอนนี้เรามาตรวจสอบกัน วิธีการทำงานในทางปฏิบัติ. แอปตรวจสอบสิทธิ์ส่วนใหญ่ทำงานผ่านสิ่งที่เรียกว่า “รหัสผ่านครั้งเดียวตามเวลา’หรือ‘ TOTP ’ นี่คือลักษณะของ ‘โทเค็นซอฟต์แวร์’และเป็นประเภทของ 2FA ที่เราจะพูดถึงในบทความนี้ส่วนใหญ่.

2FA ทำงานอย่างไร?

เพื่อให้คุณรู้ถึงความแตกต่าง 2FA ‘โทเค็นฮาร์ดแวร์‘ คือ รหัสที่สร้างขึ้น บน ทางกายภาพ และ ชิ้นส่วนฮาร์ดแวร์เฉพาะ, เช่นปุ่มกดที่มีหน้าจอ LCD ขนาดเล็ก ปัจจุบันหน่วยเหล่านี้ไม่นิยมใช้เนื่องจากมีราคาแพงและเสียง่ายหรือถูกขโมยได้ง่าย ลองมาดูวิธีการ ระบบ 2FA ที่ใช้โทเค็นซอฟต์แวร์ทำงานได้ ด้วยตัวอย่างโลกแห่งความจริง.

เมื่อคุณสร้างบัญชีแลกเปลี่ยนมาใช้กัน Binance ที่นี่คุณมีตัวเลือกในการ เปิด 2FA และใช้แอปรับรองความถูกต้องเพื่อยืนยันการเข้าสู่ระบบของคุณ สมมติว่าเราใช้ Google Authenticator กับบัญชี Binance ของเรา. Binance จะ สร้างรหัสลับ, ซึ่งคุณสามารถทำได้ สแกนโดยใช้รหัส QR ผ่านอุปกรณ์มือถือของคุณ คุณสามารถทำสิ่งนี้กับแอปตัวตรวจสอบสิทธิ์อื่น ๆ ได้เนื่องจากคีย์ที่สร้างขึ้นเป็นส่วนหนึ่งของ TOTP รหัสมาตรฐาน.

ตอนนี้บัญชีทั้งสองนี้เชื่อมโยงกันและไม่มีใครนอกจากแอปตรวจสอบสิทธิ์ของคุณและผู้ให้บริการสามารถดูรหัสที่สร้างขึ้นได้ แอปรับรองความถูกต้องจะรวมคีย์ลับของคุณเข้ากับรหัสการเข้าถึงโดยใช้ฟังก์ชันแฮชที่ปลอดภัย คล้ายกับการทำงานของฟังก์ชันแฮชในบล็อกเชน, ผู้รับรองความถูกต้องจะใช้แฮชการเข้ารหัสเพื่อพิสูจน์ตัวตนคำขอ จากการแลกเปลี่ยนและ สร้างรหัสหกหลักที่ไม่ซ้ำกัน เพื่อเข้าถึงบัญชีของคุณ.

ในตัวอย่างนี้เมื่อคุณพยายามเข้าสู่ระบบ Binance ครั้งต่อไปการแลกเปลี่ยนจะ แจ้งให้คุณป้อนรหัส 2FA ของคุณ. ณ จุดนี้คุณจะต้องเตรียมโทรศัพท์ของคุณให้พร้อมและเปิดแอปตรวจสอบสิทธิ์และคุณจะมองหารหัส 6 หลักที่มีเครื่องหมาย “Binance”.

แผนภาพการรับรองความถูกต้องสองปัจจัย

เพียงพิมพ์รหัสนี้จากนั้นผู้ให้บริการจะอนุญาตการเข้าสู่ระบบของคุณ แม้ว่าในทางปฏิบัติจะง่ายและรวดเร็ว มีบางสิ่งที่ต้องจำ. ประการแรกเนื่องจากเป็นไฟล์ รหัสผ่านครั้งเดียว, โดยปกติจะหมดอายุและสร้างรหัสใหม่ทุกๆ 30 วินาที.

ประการที่สองถ้าคุณ ทำโทรศัพท์หรือแอปตรวจสอบสิทธิ์สูญหาย, คุณจะไม่สามารถเข้าถึงบัญชีที่เชื่อมโยงของคุณได้อีกต่อไป. นั่นเป็นเหตุผลว่าทำไมจึงสำคัญอย่างยิ่งที่เมื่อคุณเชื่อมโยงตัวตรวจสอบสิทธิ์กับบัญชีใหม่เป็นครั้งแรก บันทึกความปลอดภัยของคีย์การกู้คืน 16 หลัก, ซึ่งสร้างขึ้นจากการตั้งค่า วิธีนี้ช่วยให้คุณกู้คืนบัญชีได้อย่างรวดเร็วแทนที่จะรอให้ผู้ให้บริการยืนยันตัวตนของคุณด้วยตนเอง.

แอพพลิเคชั่น 2FA Authenticator ที่ดีที่สุด

ในขณะที่บางไซต์สร้างรูปแบบง่ายๆของ 2FA สำหรับผู้ใช้ของตนเช่น ส่งรหัสทางอีเมลหรือข้อความ SMS, คนอื่น ๆ ขอความช่วยเหลือจากโซลูชันขั้นสูงเพิ่มเติม ในกรณีเหล่านี้เว็บไซต์หรือผู้ให้บริการ จะใช้รหัสมาตรฐานเพื่อสร้างหมายเลข TOTP, ซึ่งสามารถเปิดเผยได้โดยใช้แอปตรวจสอบสิทธิ์โดยเฉพาะ.

แอปพลิเคชันตัวรับรองความถูกต้องเหล่านี้โดยทั่วไปใช้เทคนิคการเข้ารหัสเพื่อรักษาข้อมูลของผู้ใช้ให้ปลอดภัยอาจต้องใช้ PIN หรือข้อมูลไบโอเมตริกซ์ในการเข้าถึงและโดยปกติจะสามารถเข้าถึงได้ผ่านแอปบนอุปกรณ์เคลื่อนที่ มาดูกัน ตรวจสอบแอพตรวจสอบสิทธิ์ที่ดีที่สุดด้านล่าง.

Authy

Authy ก่อตั้งขึ้นในปี 2554 โดยผู้เชี่ยวชาญด้านความปลอดภัย Daniel Palacio และ Gleb Chuvpilo นับตั้งแต่ก่อตั้ง บริษัท ได้เติบโตขึ้นเป็น หนึ่งในตัวรับรองความถูกต้องที่ใช้กันอย่างแพร่หลาย ในตลาดให้บริการลูกค้าด้วยบริการต่างๆเช่น Uber, LinkedIn และ Gmail.

หน้าแรกของ Authy

สามารถดาวน์โหลดได้ฟรีบน Android และ iOS Authy เป็นหนึ่งในไฟล์ ผู้ให้บริการชั้นนำของโซลูชัน 2FA. ในฐานะแอปตรวจสอบสิทธิ์ที่ได้รับคะแนนสูงสุด Authy สามารถซิงค์กับอุปกรณ์หลายเครื่อง ผู้ใช้จำนวนมากพึ่งพา Authy เนื่องจากเป็น หนึ่งในเท่านั้น แอพตรวจสอบความถูกต้องซึ่งเป็น ทุ่มเทให้กับ 2FA, ในขณะที่ข้อเสนออื่น ๆ เช่น Microsoft และตัวตรวจสอบสิทธิ์ของ Google ได้รับการจัดทำขึ้นเพื่อเข้าถึงบริการของตนเองเป็นอันดับแรก.

Authy ยังสามารถใช้กับเดสก์ท็อป Windows และนาฬิกา Apple ซึ่งแตกต่างจาก Google Authenticator อย่างไรก็ตามหากผู้ใช้ไม่ไว้วางใจในการจัดเก็บโทเค็นซอฟต์แวร์ในอุปกรณ์หลายเครื่องผู้ใช้สามารถปิดใช้งานคุณลักษณะนี้ได้ตามต้องการ.

คุณสมบัติที่ยอดเยี่ยมอีกอย่างที่ Authy มอบให้กับผู้ใช้คือ การสำรองข้อมูลที่เข้ารหัสในระบบคลาวด์. ซึ่งหมายความว่าหากคุณ สูญเสียอุปกรณ์มือถือของคุณ, ตราบเท่าที่คุณเปิดใช้งานฟังก์ชันหลายอุปกรณ์คุณก็ทำได้ เข้าถึงบัญชีของคุณจากอุปกรณ์อื่นที่เชื่อมโยง. แอปอื่น ๆ ไม่มีสิ่งนี้ดังนั้นหากคุณทำมือถือหายคุณต้องรีเซ็ตรหัสการตรวจสอบสิทธิ์ทั้งหมด.

Authy เป็นบริการฟรี สำหรับผู้ใช้ปลายทางในการดาวน์โหลดและใช้งาน แทนที่จะเรียกเก็บเงินจากผู้ใช้ Authy จะสร้างรายได้จากบริการของตนโดย ทำงานร่วมกับผู้ให้บริการและธุรกิจต่างๆ ที่ซื้อโซลูชันซอฟต์แวร์ผ่าน บริษัท แม่ Twilio ด้วยเหตุนี้จึงน่าจะเป็น Authy จะยังคงเป็นบริการฟรี.

Microsoft Authenticator

รับรองความถูกต้องอย่างเป็นทางการ จากคอมพิวเตอร์ยักษ์ใหญ่ Microsoft คือ มีให้บริการทั้งบน Android และ iOS และอนุญาต หลายบัญชี ที่จะเพิ่มลงในแอป ดังที่คุณเห็นในภาพหน้าจอ Microsoft Authenticator สร้างรหัส 6 หลักที่ใช้ได้ 30 วินาที.

หน้าแรกของ Microsoft Authenticator

เช่นเดียวกับตัวรับรองความถูกต้องอื่น ๆ, แอปของ Microsoft ใช้ TOTP มาตรฐานอุตสาหกรรมสำหรับการสร้างรหัสรับรองความถูกต้อง ซึ่งหมายความว่าสามารถเพิ่มบัญชีใด ๆ ที่ใช้มาตรฐานเดียวกันนี้ในแอป Microsoft Authenticator ได้ไม่ว่าบัญชีนั้นจะอยู่ในตระกูลซอฟต์แวร์ของ Microsoft หรือไม่ก็ตาม อย่างไรก็ตาม, ตัวตรวจสอบสิทธิ์ของ Microsoft ใช้ได้เฉพาะมือถือ.

Microsoft’s Authenticator คือไฟล์ ซอฟต์แวร์ที่เรียบง่ายและใช้งานได้จริง, แต่ถึงอย่างนั้นก็ไม่ได้ใช้งานในระดับเดียวกับแอปพลิเคชันการตรวจสอบสิทธิ์อื่น ๆ.

Google Authenticator

ซอฟต์แวร์ Google Authenticator คือ หนึ่งในแอปพลิเคชั่นที่ใช้บ่อยที่สุดและง่ายที่สุดในการทำ 2FA ด้วย. เช่นเดียวกับแอปอื่น ๆ Authenticator ของ Google ใช้อัลกอริทึมรหัสผ่านมาตรฐาน TOTP เพื่อสร้างรหัสผ่าน.

การยืนยันแบบ 2 ขั้นตอนของ Google

ในการรองรับแอป Google Authenticator ผู้ให้บริการต้องสร้างไฟล์ มีความปลอดภัยสูง คีย์ลับ 80 บิต สำหรับผู้ใช้แต่ละคนซึ่งช่วยให้แอปสร้างไฟล์ HMAC-SHA1 ข้อความหรือรหัสการเข้ารหัส.

เดิมทีเปิดตัวโดยใช้ใบอนุญาตโอเพนซอร์สปัจจุบัน Google Authenticator เป็นซอฟต์แวร์ที่เป็นกรรมสิทธิ์ซึ่งอาจบ่งชี้ว่า Google เห็นตลาด 2FA ใหญ่แค่ไหนในอีกไม่กี่ปีข้างหน้า อย่างไรก็ตามแม้จะเป็นกรรมสิทธิ์ แต่ไฟล์ ขณะนี้แอป Google Authenticator สามารถดาวน์โหลดและใช้งานได้ฟรี.

ขณะนี้ Google Authenticator ใช้ได้เฉพาะบนอุปกรณ์มือถือเท่านั้น, และไม่เหมือนกับ Authy คือไม่สามารถใช้บนเดสก์ท็อปได้ อย่างไรก็ตามสิ่งนี้สามารถติดตั้งได้ทั้งบนอุปกรณ์ Android และ iOS รวมถึงแท็บเล็ตและไอแพด.

ไซต์ใดที่ใช้ 2FA อยู่แล้ว?

มีเว็บไซต์หลายพันแห่งที่รองรับ 2FA ซึ่งรวมถึงเว็บไซต์โซเชียลมีเดียหลัก ๆ เช่น เฟสบุ๊ค, ทวิตเตอร์, LinkedIn, และ อินสตาแกรม, ให้กับผู้ค้าปลีกเช่น อีเบย์, Etsy, และ Shopify. ในช่วงไม่กี่ครั้งที่ผ่านมาจำนวนเว็บไซต์ที่รองรับโทเค็นซอฟต์แวร์ที่ใช้ 2FA กำลังเติบโตอย่างรวดเร็ว.

บริการยอดนิยมที่รองรับการรับรองความถูกต้องด้วยสองปัจจัย

อย่างไรก็ตามเรื่องนี้ยังมีเว็บไซต์หลักบางแห่งที่ยังไม่รองรับโทเค็นซอฟต์แวร์ 2FA บริษัท ค้าปลีกยักษ์ใหญ่ของจีน, AliExpress, ไม่รองรับ 2FA บนไซต์ของพวกเขา, แม้จะเชื่อมโยงกับวิธีการชำระเงินและมีรายละเอียดที่อยู่ส่วนบุคคล ในทำนองเดียวกันบริการสตรีมมิ่งชั้นนำของสหรัฐอเมริกา Netflix ไม่รองรับ 2FA เข้าสู่ระบบและไม่น่าแปลกใจที่บริการสตรีมมิ่งเพลง Spotify.

ดังนั้นเราสามารถถาม, ทุกเว็บไซต์หรือผู้ใช้ทุกคนจำเป็นต้องเปิดใช้งาน 2FA? หากคุณกำลังเข้าถึงเฉพาะไซต์ที่ความปลอดภัยไม่ใช่ประเด็นสำคัญคุณอาจไม่ต้องการขั้นตอนการเข้าสู่ระบบเพิ่มเติมในการตรวจสอบสิทธิ์ผ่าน 2FA มีวิธีอื่นในการตรวจสอบการเข้าสู่ระบบอย่างง่ายดายเช่นการสแกนลายนิ้วมือไบโอเมตริกซ์หรือการจดจำใบหน้า ที่กล่าวว่ายังคง ขอแนะนำให้คุณเปิดใช้งาน 2FA ในทุกบัญชีของคุณ!

อีเมล์ & การตรวจสอบ SMS VS. แอปรับรองความถูกต้อง

คุณอาจกำลังคิดว่าทำไมต้องประสบปัญหาในการดาวน์โหลดแอปเฉพาะสำหรับ 2FA ในเมื่อ บริษัท ต่างๆสามารถส่งรหัสผ่านไปยังบัญชีอีเมลที่เกี่ยวข้องหรือทาง SMS ได้ เป็นคำถามที่ดีเช่นเดียวกับ การรับรองความถูกต้องทาง SMS และอีเมล วิธีการยังคงอยู่ ปลอดภัยกว่าการไม่มีการรับรองความถูกต้องสองขั้นตอนเลย.

แต่เมื่อพูดถึงการปกป้องบัญชีของคุณ, SMS และอีเมลไม่มีที่ไหนใกล้ปลอดภัยเท่ากับเครื่องยืนยันตัวตนโดยเฉพาะ. ต่อไปนี้คือบางวิธีที่แฮกเกอร์สามารถเลี่ยงผ่าน SMS หรือวิธีการตรวจสอบอีเมลแบบง่ายๆ.

  • การแลกเปลี่ยนซิม – การแลกเปลี่ยนซิม กำลังเป็นปัญหามากขึ้นเรื่อย ๆ โดยพื้นฐานแล้วการแลกเปลี่ยนซิมคือเมื่ออาชญากร ติดต่อผู้ให้บริการเครือข่ายมือถือของคุณ และ ขอให้โอนหมายเลขของคุณไปยังซิมการ์ดใหม่. แม้ว่าคุณอาจสงสัยว่าเหตุใดผู้ให้บริการจึงยอมให้ทำเช่นนี้ แต่ก็เป็นเรื่องธรรมดาหากผู้ใช้ทำโทรศัพท์หายและต้องการรักษาหมายเลขโทรศัพท์เดิมไว้ ตามปกติแล้วเมื่อมิจฉาชีพมีหมายเลขโทรศัพท์ของคุณ SMS ทุกรายการที่มีไว้สำหรับคุณจะหาทางไปหาพวกเขา หาก 2FA ที่ใช้ SMS เป็นการป้องกันเดียวในบัญชีของคุณและแฮ็กเกอร์รายนี้มีชื่อผู้ใช้และรหัสผ่านของคุณแล้ว, ตอนนี้พวกเขาสามารถเข้าถึงบัญชีของคุณได้อย่างสมบูรณ์. หากเป็นบัญชีแลกเปลี่ยนเช่น Bitmex พวกเขาสามารถถอนเงินทั้งหมดของคุณได้ นี่คือเหตุผลสำคัญที่บัญชี Exchange ส่วนใหญ่จะไม่ใช้วิธีการตรวจสอบสิทธิ์โดยใช้ SMS.
  • อีเมล Pwnage – เว็บไซต์ยอดนิยม ‘ฉันได้รับ Pwned?’เป็นฐานข้อมูลขนาดใหญ่ของการละเมิดข้อมูลที่ใหญ่ที่สุดที่จะเกิดขึ้นทั่วโลก เว้นแต่คุณจะเป็นผู้ใช้ที่พิถีพิถันอย่างไม่น่าเชื่อ, คุณอาจจะพบว่า ในบางจุด, ข้อมูลของคุณถูกละเมิด. การละเมิดข้อมูลเกิดขึ้นเมื่อไซต์ที่คุณลงชื่อสมัครใช้โดยใช้ที่อยู่อีเมลของคุณถูกบุกรุกและข้อมูลผู้ใช้จะถูกขโมย ในสถานการณ์ที่เลวร้ายที่สุด, ซึ่งอาจรวมถึง ข้อมูลการชำระเงินและข้อมูลประจำตัว, แต่แฮกเกอร์มักจะขโมย ชื่อผู้ใช้, อีเมล, และ รหัสผ่าน. หากคุณเป็นเหมือนผู้ใช้ส่วนใหญ่คุณมักจะใช้รหัสผ่านเดียวกันหรือรหัสผ่านที่คล้ายกันซ้ำสำหรับหลาย ๆ ไซต์ นี่เป็นความฝันของแฮ็กเกอร์ – เพราะหากพวกเขารู้อีเมลและรหัสผ่านของคุณจากการละเมิดครั้งเดียวพวกเขาก็สามารถใช้เพื่อเข้าถึงอีเมลของคุณได้ เราได้สำรวจสาเหตุที่คุณต้องการผู้จัดการรหัสผ่านที่ปลอดภัยที่นี่ แต่สำหรับวัตถุประสงค์ของ 2FA ที่ใช้อีเมลคุณควรคิดว่าบัญชีของคุณอาจถูกบุกรุก.

ตามที่เราได้ตรวจสอบแล้วเครื่องตรวจสอบความถูกต้องจะให้ ความปลอดภัยที่เข้ารหัสบนอุปกรณ์แยกต่างหาก. หากแฮ็กเกอร์ต้องการเข้าถึงบัญชีแลกเปลี่ยนของคุณซึ่งได้รับการคุ้มครองโดย Google 2FA เช่นพวกเขาจะต้องมีอุปกรณ์มือถือของคุณหรือเป็นแฮกเกอร์ที่มีประสบการณ์พอสมควร.

หากแอปตรวจสอบสิทธิ์ 2FA ของคุณได้รับการปกป้องด้วยเครื่องหมายไบโอเมตริกซ์เช่นลายนิ้วมือแฮ็กเกอร์จะเข้าถึงได้ยากขึ้น แต่ถึงอย่างไร, 2FA ไม่สามารถกันกระสุนได้. นี่คือบางกรณีที่ 2FA ถูกละเมิด.

2FA ล้มเหลวที่ไหน?

ไม่มีเทคโนโลยีใดที่ผิดพลาดและ 2FA ก็ไม่มีข้อยกเว้น มีบางกรณีที่ 2FA ล้มเหลวในการปกป้องบัญชีผู้ใช้ – แต่ไม่ได้หมายความว่าคุณไม่ควรใช้ มาดูบางกรณีที่ 2FA ได้รับการพิสูจน์แล้วว่ามีช่องโหว่และเพราะเหตุใด.

ช่องโหว่แรกและสำคัญที่สุดคือการโจมตีแบบฟิชชิ่งที่ตรงไปตรงมา เอฟบีไอมี เตือนเมื่อเร็ว ๆ นี้ ผู้ใช้ที่ แฮกเกอร์อาจใช้ “man-in-the-middle” พิมพ์การโจมตีแบบฟิชชิ่งเพื่อล่อให้ผู้ใช้ป้อนรายละเอียดการเข้าสู่ระบบและรหัสผ่านลงในเว็บไซต์ปลอม.

2FA ล้มเหลวที่ไหน?

ไซต์ดังกล่าวซึ่งอาจเชื่อมโยงผ่านไฟล์ อีเมลที่ดูเป็นของแท้อย่างสมบูรณ์, ถ่ายทอดข้อมูลนี้ไปยังไซต์จริงจากนั้นอนุญาตให้แฮกเกอร์เข้าถึงบัญชีของคุณ นี่คือรูปแบบการโจมตีที่ใช้วิศวกรรมสังคม แม้ว่ามันอาจจะดูเรียบง่าย, วิศวกรรมสังคมเป็นหนึ่งในรูปแบบฟิชชิงที่มีประสิทธิภาพมากที่สุด สำหรับข้อมูลผู้ใช้และบัญชีแฮ็ก.

โดยพื้นฐานแล้ววิศวกรรมสังคมอาศัยความจริงที่ว่า ผู้ใช้โดยเฉลี่ยจะไม่สังเกตเห็นว่าพวกเขาถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม, ซึ่งอาจมีไฟล์ URL ที่แตกต่างกันอย่างไม่น่าเชื่อ, ตัวอย่างเช่น “gmaiI (dot) com” โดยที่ “L” คือตัวพิมพ์ใหญ่ “i” การโจมตีประเภทนี้เป็นเรื่องปกติและสำหรับผู้ใช้ทั่วไปการโจมตีเหล่านี้ยากที่จะตรวจจับ.

บริษัท ความปลอดภัยดิจิทัล Knowbe4 เตือนว่าบ่อยครั้ง แฮกเกอร์จะตามหลังโทเค็นเซสชันของผู้ใช้เท่านั้น. นี่คือคุกกี้เฉพาะที่สร้างขึ้นสำหรับแต่ละเซสชันที่ผู้ใช้เริ่มต้นบนเว็บไซต์ตัวอย่างเช่น LinkedIn หรือ Facebook แฮกเกอร์สามารถ ขโมยโทเค็นเซสชัน และใช้เพื่อ แย่งชิงเซสชันที่ถูกต้องของผู้ใช้ – เข้าถึงข้อมูลส่วนตัวทั้งหมด.

โฮมเพจ KnowBe4

Knowbe4 ยังเตือนว่าแฮกเกอร์ขั้นสูงสามารถทำได้ สร้างตัวสร้างรหัสที่ซ้ำกัน. ในกรณีนี้ผู้โจมตีสามารถเรียนรู้หมายเลขเมล็ดพันธุ์และอัลกอริทึมที่ใช้ในการสร้างรหัสรับรองความถูกต้องและใช้เพื่อ สร้างรหัสที่เหมือนกับเหยื่อ. หากผู้โจมตีทราบชื่อผู้ใช้หรือรหัสผ่านของคุณอยู่แล้วพวกเขาสามารถใช้วิธีนี้เพื่อดำเนินการตรวจสอบสิทธิ์ 2FA.

สิ่งเหล่านี้อาจดูน่ากังวล แต่ถ้าคุณไม่ใช่เป้าหมายที่มีรายละเอียดสูง, แฮกเกอร์ไม่น่าจะใช้วิธีการที่เสียค่าใช้จ่ายและใช้เวลานานเหล่านี้ เพื่อบุกรุกบัญชีของคุณ ในทำนองเดียวกันในกรณีที่ไม่มีการใช้ 2FA เลยแฮกเกอร์สามารถเข้าถึงบัญชีผู้ใช้ได้เร็วขึ้นมากและมีผลกระทบร้ายแรงเรามาลองตรวจสอบบางส่วนที่สุด แฮ็ครายละเอียดสูงที่ 2FA สามารถช่วยได้.

แฮ็กที่ 2FA สามารถป้องกันได้

ตลอดช่วงปลายปี 2559 และต้นปี 2560 หน่วยงานรายงานเครดิตผู้บริโภคของอเมริกา Equifax ประสบปัญหาการละเมิดข้อมูล ซึ่งนำไปสู่ การเรียกร้องภาษีหลอกลวงจำนวนมาก. ในการละเมิดแฮกเกอร์เข้าถึงรหัส PIN 4 หลักง่ายๆซึ่งออกให้กับพนักงานของแพลตฟอร์มเพื่อเข้าถึงบันทึกของพวกเขา.

Equifax – ที่มา: Shutterstock.com

หลังจากยกข้อมูลนี้และตอบคำถามส่วนตัวได้สำเร็จอาชญากรก็ไปข้อมูลหลังหักภาษีซึ่งขโมยมาจาก “บริการเกี่ยวกับบัญชีเงินเดือน’. จากนั้นข้อมูลนี้ถูกนำไปใช้ ยื่นข้อเรียกร้องคืนภาษีที่ฉ้อโกง ในชื่อพนักงานเพื่อขโมยการขอคืนภาษี.

หาก Equifax มี 2FA สำหรับพนักงานเหล่านี้แทนที่จะเป็นรหัส PIN ธรรมดาก็เป็นเช่นนั้น ไม่น่าเป็นไปได้อย่างยิ่งที่แฮกเกอร์จะไม่ประสบความสำเร็จ. ในทำนองเดียวกันข้อมูลนี้ยังแสดงให้เห็นว่าข้อมูลส่วนบุคคลของเราเช่นคำถามเพื่อความปลอดภัยไม่ปลอดภัยหรือเป็นความลับอย่างที่เราคิด.

สถานการณ์คล้าย ๆ กันนี้เกิดขึ้นกับไซต์ยอดนิยมหลายแห่งและได้รับผลกระทบ GoToMyPC ของ Citrix ในปี 2559 เว็บไซต์จำนวนมากได้รับความเดือดร้อน การละเมิดขนาดใหญ่ ที่ผู้ใช้มี ชื่อผู้ใช้และรหัสผ่านถูกขโมย. แม้ว่าไซต์เหล่านี้ซึ่งนับ LinkedIn และ MySpace อยู่ในอันดับจะระบุการแฮ็กและแจ้งเตือนผู้ใช้ทั้งหมด, ข้อมูลที่ถูกขโมยนี้ยังคงถูกระบุไว้เพื่อขายบนเว็บมืด.

หน้าแรกของ GoToMyPC

ด้วยเหตุนี้ผู้โจมตีจึงพยายามใช้ข้อมูลเพื่อเข้าถึงบัญชีใน “GoToMyPC” ซึ่งเป็นผู้ให้บริการซอฟต์แวร์เดสก์ท็อประยะไกลที่อนุญาตให้ผู้ใช้เข้าถึงเดสก์ท็อปของพีซีจากเครื่องอื่น โดยธรรมชาติแล้วนี่คือไฟล์ เป้าหมายที่น่าสนใจสำหรับแฮกเกอร์, เกิดขึ้นได้จากความปลอดภัยของรหัสผ่านที่ไม่ดีของคนส่วนใหญ่ มีการระบุการละเมิด แต่ก่อนที่ผู้โจมตีจะสามารถเข้าถึงบัญชีของผู้ใช้บางรายได้.

อย่างไรก็ตามหากมีการเปิดใช้งาน 2FA ในสถานการณ์นี้, ผู้โจมตีจะไม่สามารถผ่านหน้าการเข้าสู่ระบบ GoToMyPC เริ่มต้นได้. ทั้ง LinkedIn และ GoToMyPC ได้ใช้การรับรองความถูกต้องเข้าสู่ระบบ 2FA.

2FA ข้อดี

  • เพิ่มความปลอดภัยอีกชั้นให้กับบัญชีออนไลน์ของคุณ
  • จำเป็นสำหรับความปลอดภัยของกองทุนในการแลกเปลี่ยน
  • ดีกว่าการรับรองความถูกต้องทาง SMS หรืออีเมล
  • ไม่มีข้อผิดพลาด แต่เพิ่มความปลอดภัยอย่างมาก
  • เมื่อใช้ร่วมกับโปรแกรมจัดการรหัสผ่านทำให้บัญชีมีความปลอดภัยอย่างเหลือเชื่อ

2FA จุดด้อย

  • เพิ่มขั้นตอนพิเศษในกระบวนการเข้าสู่ระบบ
  • หากคุณสูญเสียแอปตรวจสอบสิทธิ์การเข้าถึงบัญชีของคุณอาจทำได้ยาก

คุณควรใช้ 2FA?

คำตอบสั้น ๆ คือใช่. แม้ว่าผู้ใช้บางรายอาจถูกระงับโดยขั้นตอนการเข้าสู่ระบบเพิ่มเติมที่จำเป็น แต่ 2FA ก็ให้ความสำคัญอย่างไม่ต้องสงสัย ชั้นความปลอดภัยพิเศษ สำหรับบัญชีออนไลน์ของคุณ.

ลองนึกถึง 2FA ที่เลือกใช้เข็มขัดนิรภัยในยานพาหนะ ทุกคนรู้ดีว่าการคาดเข็มขัดนิรภัยจะเพิ่มโอกาสในการรอดชีวิตจากอุบัติเหตุ ในขณะที่มัน ไม่ใช่การรับประกันความปลอดภัยทั้งหมด, เป็นการป้องกันที่สำคัญอีกชั้นหนึ่ง.

สรุป - ที่มา: Shutterstock.comสรุป – ที่มา: Shutterstock.com

ในทำนองเดียวกันในขณะที่ 2FA ไม่สามารถรับประกันว่าบัญชีของคุณจะไม่ถูกบุกรุก, มันทำให้มาก แฮ็กเกอร์เข้าถึงได้ยากขึ้น. ดังนั้นเช่นเดียวกับที่คุณจะบ้าไม่คาดเข็มขัดนิรภัยในรถซิ่งคุณจะบ้าไม่ต้องใช้โซลูชัน 2FA เพื่อปกป้องบัญชีออนไลน์ของคุณ.

กล่าวได้ว่าการเลือกแอปตรวจสอบสิทธิ์ที่ดีที่สุดเป็นเรื่องยาก โดยรวม, แต่ละแอปตัวตรวจสอบสิทธิ์ ที่เราได้กล่าวไว้ข้างต้นคือ ตัวเลือกรอบด้านที่ยอดเยี่ยม เพื่อเพิ่มชั้นการป้องกันพิเศษให้กับบัญชีของคุณ อย่างไรก็ตามผู้ใช้ทุกคนควรพิจารณาใช้ แอพ 2FA ร่วมกับตัวจัดการรหัสผ่าน, และตรวจสอบให้แน่ใจว่ามีการใช้ PIN หรือรหัสไบโอเมตริกซ์ที่รัดกุมเพียงพอเพื่อเข้าถึงอุปกรณ์เคลื่อนที่ของคุณ.

ในความเป็นจริงเราไม่แนะนำให้คุณใช้โทรศัพท์มือถือของคุณเองเพื่อเข้าถึง 2FA วิธีที่ดีที่สุดในการรักษาความปลอดภัยคือเก็บไว้ในโทรศัพท์หรือแผ่นรองที่คุณไม่ได้ใช้งานและไม่ได้เชื่อมต่อกับอินเทอร์เน็ตหรือหมายเลขโทรศัพท์ ด้วยวิธีนี้คุณจะไม่ทำหายเนื่องจากไม่ได้พกติดตัวไปด้วย (เช่นเดียวกับมือถือของคุณ) และมีโอกาสน้อยที่จะตกเป็นเป้าหมายของแฮกเกอร์หรือเครื่องรูดซิมเนื่องจากไม่ได้เชื่อมต่อกับหมายเลขโทรศัพท์มือถือหรือ อินเตอร์เนต.

เราขอแนะนำให้ใช้เบราว์เซอร์ที่ปลอดภัยและบริการ VPN ที่มีชื่อเสียงเพื่อเพิ่มความปลอดภัยและความเป็นส่วนตัวทางออนไลน์.

อ้างอิง

สิบเอ็ดวิธีในการเอาชนะการรับรองความถูกต้องด้วยสองปัจจัย โดย Roger Grimes

ซิมแลกเปลี่ยนพระคัมภีร์: จะทำอย่างไรเมื่อการแลกเปลี่ยนซิมเกิดขึ้นกับคุณ

อย่างไร รหัสผ่านแบบใช้ครั้งเดียวตามเวลา ทำงานและทำไมคุณควรใช้ในแอปของคุณ

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me