การอัปเดตความปลอดภัยทางอินเทอร์เน็ต: การตรวจสอบสิทธิ์แบบสองปัจจัยและการตรวจสอบสิทธิ์แบบหลายปัจจัย

ในช่วงกลางทศวรรษ 1980 เมื่อฉันเริ่มต้นการเดินทางด้วยอุปกรณ์อิเล็กทรอนิกส์สำหรับคอมพิวเตอร์ ผู้คนไม่มีบัญชีออนไลน์หลายบัญชีเหมือนทุกวันนี้ หากคุณมี “บัญชี” ที่เกี่ยวข้องกับคอมพิวเตอร์ คุณอาจเชื่อมต่อกับหน่วยงานรัฐบาล หน่วยงานวิจัย หรือสถาบันการศึกษาบางประเภท โดยใช้ ARPANET, CSNET หรือ NSFNET ซึ่งเป็นบรรพบุรุษของอินเทอร์เน็ตยุคใหม่

อีกทางหนึ่ง หากคุณเป็นเหมือนฉันและจำกัดความปรารถนาในการใช้คอมพิวเตอร์เพียงเล็กน้อย คุณใช้คอมพิวเตอร์ "ที่บ้าน" (ของฉันคือ Commodore 64) และเชื่อมต่อกับ "Bulletin Board Systems" ซึ่งคล้ายกับอินเทอร์เน็ตสมัยใหม่โดยใช้ตัวนับ . – การตั้งค่าโมเด็มผ่านเครือข่ายโทรศัพท์ คุณยังสามารถสมัครรับบริการเครือข่ายที่เน้นผู้บริโภคเป็นหลัก เช่น FidoNet หรือ Compuserve ซึ่งคิดค่าบริการเป็นนาที

ในการเข้าถึงเทคโนโลยีที่ยอดเยี่ยมเหล่านี้ คุณใช้ "บัญชี" เช่นเดียวกับทุกวันนี้ ซึ่งประกอบด้วยชื่อผู้ใช้ (ทั้งที่คุณกำหนดหรือประดิษฐ์ขึ้น) และรหัสผ่าน สองสิ่งนี้ได้เปิดประตูสู่อินเทอร์เน็ตทุกบานที่เขามีอยู่ ข้อกำหนดรหัสผ่านนั้นเรียบง่าย ความปลอดภัยไม่ใช่ประเด็นสำคัญ และอาชญากรรมในโลกไซเบอร์ก็ค่อนข้างหายาก

กรอไปข้างหน้าจนถึงวันนี้และสิ่งต่าง ๆ มีการเปลี่ยนแปลงอย่างมาก แม้ว่าอาชญากรรมออนไลน์จะขยายวงกว้างจนมีการแพร่กระจายอย่างกว้างขวาง แต่เรายังคงใช้ชื่อผู้ใช้และรหัสผ่าน แม้ว่าข้อกำหนดรหัสผ่านจะมีความเข้มงวดมากขึ้นและการรักษาความปลอดภัยได้มุ่งเน้นแล้ว แต่เราต้องการมากกว่านี้ในการต่อสู้เพื่อให้ออนไลน์ได้อย่างปลอดภัย ชื่อผู้ใช้และรหัสผ่านไม่เพียงพออีกต่อไป ป้อน 2FA และ MFA

การรับรองความถูกต้องด้วยสองปัจจัย (2FA) และการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) เป็นคำที่อธิบายสิ่งเดียวกันโดยพื้นฐาน: วิธีการนำเสนอหลักฐานเพิ่มเติม (เรียกว่า "ปัจจัย") เพื่อพิสูจน์ว่าคุณเป็นคนที่คุณบอกว่าคุณเป็นเมื่อคุณพยายาม เข้าถึงบริการออนไลน์ กระบวนการทั้งหมดเรียกว่า "การรับรองความถูกต้อง" กล่าวคือ คุณมีความสุจริตใจ หรือ "ของแท้" หรือ "คุณ" ที่แท้จริง

รูปแบบชื่อผู้ใช้/รหัสผ่านเก่าใช้ "ปัจจัย" เดียวเท่านั้น ซึ่งก็คือรหัสผ่าน เหตุผลหนึ่งที่ต้องมี “ปัจจัย” อีกประการหนึ่งคือฐานข้อมูลรหัสผ่านจำนวนมากถูกแฮ็กและเปิดเผยต่อใครก็ตามที่สนใจจะตรวจสอบ บางคนมีความผิดในการใช้รหัสผ่านที่เดาง่ายและคาดเดาง่ายซึ่งไม่เคยเปลี่ยนเลย อีกเหตุผลที่ต้องมี “ปัจจัย” อีกประการหนึ่งก็คือ ผู้คนจำนวนมากใช้รหัสผ่านเดียวกันสำหรับบัญชีทั้งหมดของตน การมีปัจจัยมากขึ้นจะทำให้คนผิดเข้าถึงบัญชีได้ยากขึ้น

ปัจจัยต่างๆ รวมถึงสิ่งที่คุณมี (เช่น บัตรธนาคาร) สิ่งที่คุณรู้ (เช่น รหัสผ่านหรือ PIN) สิ่งที่คุณเป็น (ข้อมูลชีวมาตร เช่น ลายนิ้วมือหรือลักษณะทางกายภาพอื่นๆ ที่เป็นเอกลักษณ์ของคุณ) และบางที่ที่คุณอยู่ (เช่น เมื่อเชื่อมต่อกับเครือข่ายหรือข้อมูลตำแหน่งเฉพาะ เช่น GPS)

การใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยที่พบบ่อยที่สุดคือการส่งรหัสในข้อความไปยังโทรศัพท์ของคุณเมื่อคุณพยายามเข้าสู่ระบบบัญชีออนไลน์ ตัวอย่างเช่น คุณเข้าสู่ระบบ Amazon โดยป้อนรหัสผ่านของคุณ (ปัจจัยแรก) Amazon จะส่งรหัสให้คุณซึ่งคุณต้องป้อน (ปัจจัยที่สอง) จากนั้นคุณจะได้รับอนุญาตให้ใช้บัญชี Amazon ของคุณ

น่าเสียดายที่แม้ว่าจะยังคงใช้กันอย่างแพร่หลาย แต่ไม่แนะนำให้ใช้ข้อความเพื่อขอรับรหัส MFA/2FA อีกต่อไป ผู้ร้ายบนอินเทอร์เน็ตได้ค้นพบวิธีต่างๆ มากมายในการแฮ็กวิธีส่งข้อความ Microsoft ได้ออกการแจ้งเตือนเมื่อเดือนพฤศจิกายนปีที่แล้ว โดยระบุว่า เนื่องจากความกังวลด้านความปลอดภัย ผู้คนควรเลิกใช้ 2FA ที่ใช้ข้อความตัวอักษร และเริ่มใช้แอปตรวจสอบสิทธิ์เช่น Authy, Microsoft Authenticator หรือ "โทเค็นที่ปลอดภัย" เช่น YubiKey

คอลัมน์ถัดไป: วิธีใช้เครื่องมือ MFA/2FA เช่น Authy และ Yubikey

Dave Moore จาก CISSP ดำเนินการซ่อมคอมพิวเตอร์ในโอคลาโฮมามาตั้งแต่ปี 1984 ผู้ก่อตั้ง Internet Safety Group Ltd ที่ไม่แสวงหากำไร เขายังสอนสัมมนาฝึกอบรมชุมชนเกี่ยวกับความปลอดภัยทางอินเทอร์เน็ตอีกด้วย สามารถติดต่อได้ที่หมายเลข 405-919-9901 หรือ internetsafetygroup.org