ในการแสวงหาความปลอดภัยที่สมบูรณ์แบบความสมบูรณ์แบบคือศัตรูของคนดี ผู้คนกำลังวิพากษ์วิจารณ์โดยใช้ SMS การรับรองความถูกต้องด้วยสองปัจจัย เจริญรอย แฮ็ค Reddit แต่การใช้สองปัจจัยที่ใช้ SMS ก็ยังดีกว่าการไม่ใช้การยืนยันตัวตนแบบสองปัจจัยเลย
ผู้ใช้ Gmail กว่า 90% ไม่ได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
ผู้เชี่ยวชาญด้านความปลอดภัยที่พูดคุยเกี่ยวกับการยืนยัน SMS ไม่ดีพอกำลังก้าวไปไกลเกินไป ผู้ใช้ Gmail กว่า 90% ไม่ได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยใด ๆ เลยตามก การนำเสนอ Grzegorz Milka วิศวกรของ Google ให้ในงาน USENIX Enigma 2018 สิ่งที่คนส่วนใหญ่สามารถทำได้เพื่อป้องกันตัวเองทางออนไลน์คือการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยทุกประเภทสำหรับบัญชีที่สำคัญของพวกเขา
คิดว่าเป็นแบบนี้ สมมติว่าคุณต้องการล็อคประตูหน้าบ้านเพื่อป้องกันบ้านของคุณ ผู้เชี่ยวชาญด้านความปลอดภัยกำลังถกเถียงกันอยู่ว่าประเภทของการล็อกที่ดีที่สุดนั้นดีกว่าการล็อกที่ถูกกว่า แน่นอนว่าเข้าท่า แต่ถ้าคุณไม่มีแม่กุญแจที่แพงกว่านั้นก็ไม่มีแม่กุญแจที่ถูกกว่าก็ยังดีกว่าไม่มีแม่กุญแจเลยใช่ไหม
ใช่การตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้แอปนั้นดีกว่าการตรวจสอบสิทธิ์โดยใช้ SMS แต่หาก SMS เป็นข้อเสนอของบริการทั้งหมดก็ยังดีกว่าไม่ใช้เลย
ปัจจัยสองประการที่ใช้ SMS มีจุดอ่อนบางประการ แต่นั่นก็ขาดประเด็นไป ผู้โจมตีจะต้องใช้เวลาในการข้ามการยืนยันทาง SMS ของคุณ และเป้าหมายส่วนใหญ่อาจไม่คุ้มค่ากับความพยายามมากนัก
ทำไมคุณต้องมีการรับรองความถูกต้องสองปัจจัย
การตรวจสอบสิทธิ์แบบสองปัจจัยได้รับการตั้งชื่อเนื่องจากคุณต้องมีสองสิ่งในการเข้าสู่บัญชีของคุณ: สิ่งที่คุณรู้ (รหัสผ่านของคุณ) และสิ่งที่คุณมี (รหัสความปลอดภัยเพิ่มเติมจากอุปกรณ์มือถือของคุณหรือโทเค็นทางกายภาพ)
เมื่อคุณเปิดใช้งานการรับรองความถูกต้องแบบสองปัจจัยโดยใช้ SMS บริการจะส่งหมายเลขโทรศัพท์มือถือของคุณไปพร้อมกับรหัสแบบใช้ครั้งเดียวทุกครั้งที่คุณลงชื่อเข้าใช้จากอุปกรณ์ใหม่ ดังนั้นแม้ว่าใครบางคนจะมีชื่อผู้ใช้และรหัสผ่านของคุณสำหรับบัญชีนั้นพวกเขาจะไม่สามารถลงชื่อเข้าใช้บัญชีของคุณได้หากไม่มีการเข้าถึงข้อความของคุณ
นอกจากนี้ยังมีอื่น ๆ ประเภทของวิธีการสองปัจจัย รวมถึง แอปบนโทรศัพท์ของคุณ ที่สร้างรหัสความปลอดภัยชั่วคราวและ คีย์ความปลอดภัยทางกายภาพ คุณต้องเสียบเข้ากับคอมพิวเตอร์ของคุณ
การรับรองความถูกต้องด้วยสองปัจจัยทุกประเภทจะให้การปกป้องบัญชีที่สำคัญจำนวนมากเช่นอีเมลโซเชียลมีเดียและบัญชีธนาคารของคุณ โดยเฉพาะอย่างยิ่งหากคุณใช้รหัสผ่านซ้ำ หลายคนใช้รหัสผ่านซ้ำในหลาย ๆ เว็บไซต์และเมื่อฐานข้อมูลรหัสผ่านของเว็บไซต์หนึ่งรั่วไหล รหัสผ่านนั้นสามารถใช้เพื่อลงชื่อเข้าใช้บัญชีอีเมลของพวกเขา . การรับรองความถูกต้องด้วยสองปัจจัยจะหยุดสิ่งนี้ในแทร็ก
ไม่ได้หมายความว่าคุณควรใช้รหัสผ่านซ้ำ คุณไม่ควรใช้รหัสผ่านซ้ำ คุณควร ใช้โปรแกรมจัดการรหัสผ่านที่ดี เพื่อติดตามรหัสผ่านที่คาดเดายากและไม่ซ้ำใคร
ทำไมผู้คนถึงบอกว่าการรับรองความถูกต้องทาง SMS ไม่ดี?
การตรวจสอบสิทธิ์สองปัจจัยโดยใช้ SMS นั้นไม่เหมาะอย่างยิ่งเพราะอาจมีคนขโมยหมายเลขโทรศัพท์ของคุณหรือดักฟังข้อความของคุณได้ ตัวอย่างเช่น:
- ผู้โจมตีสามารถปลอมตัวเป็นคุณและย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์เครื่องใหม่ในไฟล์ หลอกลวงการย้ายหมายเลขโทรศัพท์ . นี่เป็นการโจมตีที่มีโอกาสมากที่สุด
- ผู้โจมตีสามารถดักจับข้อความ SMS ที่มีไว้สำหรับคุณได้ ตัวอย่างเช่นพวกเขาสามารถปลอมแปลงหอสัญญาณโทรศัพท์ที่อยู่ใกล้คุณหรือรัฐบาลอาจใช้การเข้าถึงเครือข่ายเซลลูลาร์เพื่อส่งต่อข้อความ
นั่นเป็นเหตุผลที่ผู้เชี่ยวชาญแนะนำให้ใช้วิธีการสองปัจจัยอีกวิธีหนึ่งซึ่งไม่สามารถใช้ในทางที่ผิดได้ง่ายโดยรัฐในประเทศและจะไม่มีความเสี่ยงหากผู้ให้บริการเครือข่ายมือถือของคุณให้หมายเลขโทรศัพท์ของคุณกับบุคคลอื่น หากคุณได้รับรหัสจากแอปในโทรศัพท์หรือคีย์ความปลอดภัยทางกายภาพที่คุณเสียบอยู่ปัจจัย 2 ประการของคุณจะไม่เสี่ยงต่อปัญหาเกี่ยวกับเครือข่ายโทรศัพท์ ผู้โจมตีจะต้องใช้โทรศัพท์ที่ปลดล็อกหรือคีย์ความปลอดภัยที่คุณต้องลงชื่อเข้าใช้
แน่นอนว่าในโลกที่สมบูรณ์แบบ SMS ไม่ใช่ทางออกที่ดี เราได้อธิบายแล้ว ทำไมผู้เชี่ยวชาญด้านความปลอดภัยไม่ชอบการตรวจสอบสิทธิ์แบบสองขั้นตอนทาง SMS . แต่แม้ว่าเราจะระบุกรณีนั้นเราก็พยายามทำให้สิ่งหนึ่งชัดเจน: การรับรองความถูกต้องด้วยสองปัจจัยทาง SMS นั้นดีกว่าไม่มีอะไรมาก
ที่เกี่ยวข้อง: เหตุใดคุณจึงไม่ควรใช้ SMS สำหรับการตรวจสอบสิทธิ์สองปัจจัย (และจะใช้อะไรแทน)
บางคนต้องการความปลอดภัยมากกว่าที่ให้บริการ SMS
คนทั่วไปสามารถใช้การตรวจสอบสิทธิ์ทาง SMS ได้ในตอนนี้ การตรวจสอบสิทธิ์โดยใช้ SMS ทำให้ผู้โจมตีประสบปัญหาเพิ่มเติมในการเข้าสู่บัญชีของคุณและคุณอาจไม่คุ้มกับปัญหาของพวกเขาเมื่อมีเป้าหมายอื่น ๆ ที่ง่ายกว่าและมีประสิทธิภาพมากกว่า คนส่วนใหญ่ไม่ได้ใช้การตรวจสอบสิทธิ์ทาง SMS ด้วยซ้ำและเว็บจะเป็นสถานที่ที่ปลอดภัยกว่ามากหากทุกคนทำเช่นนั้น
ผู้ที่มีแนวโน้มที่จะตกเป็นเป้าหมายของผู้โจมตีที่มีความซับซ้อนควรหลีกเลี่ยงการตรวจสอบสิทธิ์โดยใช้ SMS ตัวอย่างเช่นหากคุณเป็นนักการเมืองนักข่าวคนดังหรือผู้นำธุรกิจคุณอาจตกเป็นเป้าหมายได้ หากคุณเป็นผู้ที่สามารถเข้าถึงข้อมูลขององค์กรที่ละเอียดอ่อนผู้ดูแลระบบที่สามารถเข้าถึงระบบที่ละเอียดอ่อนได้อย่างลึกซึ้งหรือเพียงแค่คนที่มีเงินจำนวนมากในธนาคาร SMS อาจเสี่ยงเกินไป
แต่ถ้าคุณเป็นคนทั่วไปที่มีบัญชี Gmail หรือ Facebook และไม่มีใครมีเหตุผลที่จะใช้เวลามากมายในการเข้าถึงบัญชีของคุณการตรวจสอบสิทธิ์ทาง SMS ก็ทำได้ดีและคุณควรเปิดใช้งานโดยสิ้นเชิงแทนที่จะใช้อะไรเลย
คุณปลอดภัยเท่าลิงค์ที่อ่อนแอที่สุดเท่านั้น
นี่เป็นความจริงที่โชคร้ายอีกประการหนึ่งที่ดูเหมือนว่าทุกคนจะเข้าใจตรงกัน: แม้ว่าคุณจะหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยทาง SMS สำหรับบัญชี แต่ SMS ก็อาจเป็นวิธีสำรองได้ ตัวอย่างเช่นแม้ว่าคุณจะสร้างรหัสด้วยแอปเพื่อลงชื่อเข้าใช้บัญชี Google ของคุณคุณก็ทำได้ กู้คืนบัญชีของคุณ โดยใช้หมายเลขโทรศัพท์ของคุณ นี่คือการปกป้องคุณหากคุณเคย สูญเสียการเข้าถึงโทรศัพท์สองปัจจัยของคุณ หรือโทเค็น
กล่าวอีกนัยหนึ่งบริการหลายอย่างอาจเป็นส่วนใหญ่ให้คุณเข้าสู่บัญชีของคุณด้วยหมายเลขโทรศัพท์ของคุณแม้ว่าคุณจะใช้รหัสที่สร้างโดยแอปหรือคีย์ความปลอดภัยเกือบตลอดเวลาก็ตาม คุณมีความปลอดภัยเท่ากับลิงก์ที่อ่อนแอที่สุดในระบบเท่านั้น ลองตรวจสอบวิธีอื่น ๆ ในการลงชื่อเข้าใช้หากคุณไม่มีวิธีการปกติ
ด้วยเหตุนี้ในการล็อกบัญชี Google อย่างแท้จริงคุณไม่จำเป็นต้องหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองขั้นตอนทาง SMS เท่านั้น คุณต้องลงทะเบียนด้วย โปรแกรมการปกป้องขั้นสูงของ Google ซึ่งก็คือ Google โฆษณาสำหรับ“ นักข่าวนักเคลื่อนไหวผู้นำทางธุรกิจและทีมรณรงค์ทางการเมือง” โปรแกรมฟรีนี้กำหนดให้คุณต้องใช้คีย์ความปลอดภัยเพื่อลงชื่อเข้าใช้ แต่ยังต้องการข้อมูลเพิ่มเติมอีกมากมายในการกู้คืนบัญชี
โปรดใช้ SMS หากคุณไม่ได้ใช้ 2FA ในขณะนี้
เราไม่ต้องการกล่อมคุณให้รู้สึกปลอดภัยที่ผิดพลาด: หากคุณเป็นคนที่มีแนวโน้มที่จะตกเป็นเป้าหมายของรัฐบาลต่างประเทศสายลับขององค์กรหรืออาชญากรที่เป็นระบบคุณควรหลีกเลี่ยงการรับรองความถูกต้องด้วยสองปัจจัยทาง SMS และปิดกั้น บัญชีที่มีความปลอดภัยมากขึ้น
แต่ถ้าคุณเป็นคนทั่วไปที่ยังไม่ได้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยก็อย่าได้รับการห้าม: ปัจจัยสองอย่างที่ใช้ SMS จะทำให้คุณปลอดภัยมากกว่าการไม่มีสองปัจจัยเลย เป็นพื้นฐานที่สำคัญสำหรับการรักษาความปลอดภัย
ทุกคนควรใช้การยืนยันทาง SMS เว้นแต่ว่าจะใช้สิ่งที่ดีกว่า
เครดิตรูปภาพ: bluestok /Shutterstock.com.
