ทุกวันนี้ การโจรกรรมข้อมูลบนโลกออนไลน์เป็นสิ่งที่พบเจอได้ง่ายและเห็นได้บ่อยครั้ง ต่อให้ผู้ใช้งานจะพยายามระมัดระวังตัวมากแค่ไหนก็ตาม ไม่กดลิงก์อะไรซี้ซั้ว ไม่เข้าใช้งานเว็บไซต์ที่ไม่น่าเชื่อถือหรือเว็บไซต์ปลอม เพื่อลดโอกาสถูกดักจับข้อมูลสำคัญต่าง ๆ ส่งไปยังผู้ไม่หวังดี แต่แค่ใช้ชีวิตประจำวันปกติธรรมดา ก็จะพบว่าพวกมิจฉาชีพหรือแฮกเกอร์นั้นมีความพยายามสูงกว่าที่จะเข้าถึงข้อมูลส่วนตัวของเราให้ได้ ดังเช่นไม่นานมานี้ ที่มีข่าวว่ามีประชาชนจำนวนมากได้รับข้อความแจ้งเตือนจาก LINE Official ว่าไลน์ (LINE) ที่ตนเองใช้งานอยู่นั้น จู่ ๆ ก็ถูกล็อกอินซ้อนจากต่างประเทศ บางคนโดนล็อกอินซ้อนจนบัญชีถูกล็อก จึงใช้งานไลน์บัญชีเดิมไม่ได้อีกต่อไป
จากปัญหาดังกล่าวที่เปิดขึ้น มีคำแนะนำว่าให้รีบเข้าไปเปลี่ยนรหัสผ่านของตนเอง และให้รีบเปิด 2FA ใช้งาน เพื่อเพิ่มความปลอดภัยให้กับบัญชี ปัญหาคือมีคนจำนวนไม่น้อยที่ไม่รู้ว่า 2FA คืออะไร ต้องไปจัดการเปิดยังไง หรือเปิดมาแล้วมันจะช่วยปกป้องบัญชีของเราได้มากน้อยแค่ไหน ทั้งที่ความจริงแล้ว 2FA ที่ว่านี้ หลาย ๆ แพลตฟอร์มออนไลน์มีการบังคับให้ผู้ใช้งานเปิดใช้งานมาสักพักแล้ว โดยขู่ว่าถ้าไม่เปิด ก็จะใช้งานบัญชีไม่ได้จนกว่าจะเปิด ซึ่งหนึ่งในแพลตฟอร์มที่ใช้วิธีบังคับให้ผู้ใช้งานเปิดใช้ 2FA ก็คือเฟซบุ๊ก (Facebook) นั่นเอง
2FA คืออะไร
2FA ย่อมาจาก Two-Factor Authentication มันคือการยืนยันตัวตนแบบ 2 ขั้นตอน สำหรับเพิ่มประสิทธิภาพการรักษาความปลอดภัยบัญชีใช้งานแพลตฟอร์ม พูดง่าย ๆ ก็คือ หากเปิดใช้ 2FA แล้ว จะทำให้บุคคลผู้ไม่หวังดีเข้าถึงบัญชีแพลตฟอร์มต่าง ๆ ได้ยากขึ้นกว่าเดิม เพราะโดยปกติแล้ว ผู้ใช้งานมักยืนยันตัวตนเข้าใช้งานบัญชีต่าง ๆ เพียงขั้นตอนเดียว ด้วยการใช้ Username และ Password ล็อกอินเข้าใข้งาน แต่เนื่องจากวิธียืนยันตัวตนดังกล่าวไม่เพียงพอที่จะรักษาความปลอดภัยในยุคที่มิจฉาชีพเกลื่อนเมือง เพราะหลายคนมักจะใช้ Username และ Password เดียวกันทั้งหมดกับบัญชีใช้งานในแพลตฟอร์มต่าง ๆ หากแฮกเข้าได้บัญชีหนึ่ง ก็เข้าได้ทุกบัญชี
Two-factor authentication (2FA) จึงกลายเป็นหนึ่งในรูปแบบการยืนยันตัวตน Multi-factor authentication (MFA) เป็นลักษณะการยืนยันตัวตนได้หลากหลายวิธี เพื่อป้องกันบุคคลอื่นที่ไม่ได้รับอนุญาต ผ่านเข้าไปใช้งานบัญชีของคุณโดยที่คุณอาจไม่รู้ตัว หากคุณเปิดการยืนยันตัวตน 2 ขั้นตอนไว้ ก็ต้องยืนยันให้ผ่านในทุกขั้นถึงจะเข้าใช้งานได้ และอาจต้องยืนยันด้วยว่าเราเองเป็นคนทำกิจกรรมลับ ๆ ล่อ ๆ เองในบางครั้ง หากระบบแจ้งเตือนการเข้าใช้งานที่ผิดปกติเข้ามา และเราก็จำได้ว่าเราเป็นคนทำกิจกรรมนั้นเอง
ด้วยเหตุนี้ ทำให้การยืนยันตัวตน 2 ขั้นตอนจึงมีความสำคัญ ด้วยสามารถใช้เป็นปราการในการป้องกันความเสี่ยงที่จะถูกผู้ไม่หวังดีพยายามแฮกเข้าสู่ระบบเพื่อโจรกรรมข้อมูลของเรา เพิ่มระดับความปลอดภัยชั้นที่ 2 ให้กับการเข้าถึงบัญชี โดยการเปิดใช้ 2FA จะทำให้การจะเข้าถึงข้อมูลจำเป็นต้องใช้มากกว่า Username และ Password อย่างไรก็ตาม ข้อมูลที่จะนำมาใช้กับ 2FA จะเป็นข้อมูลที่มีเพียงเจ้าของบัญชีเท่านั้นที่ทราบหรือมี โดยปัจจัยในการยืนยันตัวตนสองหรือหลายปัจจัยที่แตกต่างกัน จะแบ่งออกเป็น 3 ประเภท คือ
- สิ่งที่เรารู้ (something you know) คือ ข้อมูลมีแค่เราเท่านั้นที่ทราบ เช่น username-password หรือ PIN code หรือคำตอบของคำถามที่เฉพาะเจาะจง อย่างเพื่อนสนิทในวัยเด็กของคุณคือใคร
- สิ่งที่เรามี (something you have) คือ สิ่งของที่มีเราเท่านั้นที่ครอบครอง เช่น ซิมการ์ดโทรศัพท์ อุปกรณ์บรรจุกุญแจเข้ารหัส หรืออุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP)
- สิ่งที่เราเป็น (something you are) คือ ข้อมูลชีวมิติของเราที่มีเพียงหนึ่งเดียว ไม่มีใครมีซ้ำกับเรา เช่น ใบหน้า ม่านตา และลายนิ้วมือ
ซึ่งปัจจุบันนี้ เว็บไซต์หรือผู้ให้บริการแพลตฟอร์มออนไลน์หลาย ๆ เจ้าเริ่มเปิดฟีเจอร์ “การยืนยันตัวตนสองชั้น” หรือ Two-factor authentication (2FA) เพื่อเพิ่มความปลอดภัยให้กับผู้ใช้งาน ผู้ใช้งานก็จะยุ่งยากยืนยันตัวตนขั้นที่ 2 ก่อนที่ระบบจะอนุญาตให้เราเข้าใช้งานเว็บไซต์หรือแอปฯ ต่าง ๆ แต่ในอีกทางหนึ่ง ถ้าแฮกเกอร์พยายามจะเข้าสู่บัญชีของเรา มันจะยังไม่สามารถเข้าระบบของเราได้ง่าย ๆ ขนาดนั้น เพราะติดการยืนยันตัวตน ซึ่งต้องยืนยันตัวตนขั้นที่ 2 ให้ผ่านเสียก่อนถึงจะเข้าได้ และระหว่างนี้เราจะได้รับแจ้งเตือนว่ามีคนอื่นพยายามจะเข้าระบบของเรา
อะไรบ้างที่เราควรเปิดใช้งานการยืนยันตัวตนสองขั้น
เพราะทุกวันนี้ ภัยและมิจฉาชีพออนไลน์นั้นมีหลายรูปแบบมาก ในขณะที่หลายคนประมาทเพราะคิดว่าบัญชีของตนเองไม่ได้มีความลับอะไรมากมาย จึงไม่ต้องการความปลอดภัยขั้นสุดขนาดนั้น แค่รหัสผ่านอย่างเดียวก็น่าจะเพียงพอ หรือบางคนก็ขี้เกียจยุ่งยากกับการยืนยันตัวตนซ้ำแล้วซ้ำอีกไม่จบไม่สิ้น จึงละเลยการเปิดใช้งานยืนยันตัวตนสองขั้นไป แต่หารู้ไม่ว่าไม่จำเป็นว่าบัญชีคุญต้องมีอะไรสำคัญ เพราะหากบัญชีคุณถูกแฮกแล้วนำไปใช้สวมรอยในการกระทำในทางมิชอบโดยไม่รู้ตัว คุณอาจต้องโทษทางกฎหมายแทนมิจฉาชีพพวกนั้นก็ได้ หรือข้อมูลอื่น ๆ ที่เกี่ยวกับตัวคุณอาจถูกขโมยไปเพื่อนำไปแฮกบัญชีแพลตฟอร์มอื่น ๆ ก็เป็นได้
ด้วยความเสี่ยงเช่นนี้ ทำให้ผู้ให้บริการแพลตฟอร์มออนไลน์ต่าง ๆ เปิดบริการยืนยันตัวตนสองขั้นให้กับผู้ใช้งาน เพราะหากเกิดเหตุการณ์ไม่พึงประสงค์ อย่างน้อยแพลตฟอร์มก็ถือว่าได้เปิดให้ใช้งานแล้ว (แต่ผู้ใช้งานไม่ยอมใช้เอง) แต่การเกิดเหตุการณ์ลักษณะนั้น ถึงจะเป็นผู้ใช้งานที่ประมาทเอง แต่แพลตฟอร์มก็เสียหายอยู่ดี ตรงที่ปล่อยให้มีการกระทำมิชอบ ดังนั้น แพลตฟอร์มออนไลน์ต่าง ๆ จึงเริ่มมีมาตรการให้ผู้ใช้งานต้องปกป้องบัญชีให้ปลอดภัย! ด้วยการ “บังคับ” ให้เปิดการยืนยันตัวตนสองชั้น หากไม่เปิดใช้งานก็จะไม่สามารถใช้บัญชีได้
ที่ชัดเจนที่สุดคือ Facebook กับการบังคับให้เปิดใช้งาน “Facebook Protect” ที่หากไม่ทำจะถูกล็อกบัญชี จนกว่าจะเปิดใช้งาน โดย Facebook แจ้งว่า การยืนยันตัวตนแบบสองขั้นเป็นฟีเจอร์การรักษาความปลอดภัยที่จะช่วยปกป้องบัญชี Facebook ของคุณแทนการใช้รหัสผ่านเพียงอย่างเดียว เมื่อคุณตั้งค่าการยืนยันตัวตนแบบสองขั้นไว้ คุณจะต้องกรอกรหัสเข้าสู่ระบบพิเศษหรือยืนยันการเข้าสู่ระบบของคุณ ทุกครั้งที่มีคนพยายามเข้าถึงบัญชี Facebook ของคุณจากเบราว์เซอร์หรืออุปกรณ์มือถือที่เราไม่รู้จัก และคุณสามารถรับการแจ้งเตือนเมื่อมีคนพยายามเข้าสู่ระบบจากเบราว์เซอร์หรืออุปกรณ์มือถือที่เราไม่รู้จักได้อีกด้วย
การเปิดใช้งาน Facebook Protect ก็จะช่วยให้ Facebook ของเราปลอดภัยขึ้นอีกระดับหนึ่ง เวลาที่เราไปเข้าใช้งานจากอุปกรณ์ที่แปลกไปจากเดิม ทาง Facebook จะแจ้งให้เราทราบว่ามีความพยายามเข้าสู่ระบบจากอุปกรณ์ที่ไม่รู้จัก มันจะเด้งขอส่งรหัสพิเศษมาให้คุณ และจะให้คุณกรอกรหัสยืนยันตัวตนอีกครั้งหนึ่ง หากรหัสตรงกันถึงจะเข้าใช้งานได้ หรือถ้าคนนั้นไม่ใช่คุณ มันก็จะแจ้งเตือนว่าถ้าไม่ใช่คุณ แสดงว่ามีคนอื่นพยายามจะเข้าใช้งาน ให้คุณจัดการรักษาความปลอดภัยบัญชีตัวเอง
จึงสมควรเป็นอย่างยิ่งที่จะเปิดใช้งานยืนยันตัวตนสองชั้นกับบัญชีโซเชียลมีเดียของตัวเองทุกบัญชี ทุกแพลตฟอร์ม ให้คุณลองคิดดูว่ามีกี่เว็บไซต์ กี่แอปฯ กี่เกม ที่คุณเชื่อมบัญชีไว้ด้วยโซเชียลมีเดียต่าง ๆ แบบว่าถ้าเข้าโซเชียลมีเดียแพลตฟอร์มหนึ่งได้ เว็บไซต์ แอปฯ เกม เหล่านั้นก็จะเข้าใช้งานได้ด้วยเช่นกัน คุณอาจเสียเงินซื้อไอเทมในเกมจนเงินเกลี้ยงบัญชีโดยไม่รู้ตัว ตรงนี้คือจุดบอดที่คุณต้องรีบอุด เพื่อป้องกันไม่ให้คนอื่นเข้ามายุ่งกับบัญชีโซเชียลมีเดียของคุณโดยที่คุณไม่อนุญาต
นอกจากนี้ ยังมีพวกแอปฯ หรือแพลตฟอร์มทำธุรกรรมทางการเงิน ที่คุณควรเปิดการยืนยันตัวตนสองชั้นไว้ เช่น แอปฯ ธนาคาร แอปฯ ชอปปิงออนไลน์ เพราะในแอปฯ เหล่านี้มีข้อมูลการเงินของคุณแทบทุกอย่าง เพื่อป้องกันการเสียเงินซื้อนู่นนั่นนี่โดยที่คุณไม่รู้ตัว แม้ว่าปกติเราจะได้รับอีเมลหรือข้อความจากธนาคารส่งมาอยู่แล้วเวลาที่ต้องจ่ายเงิน แต่มันก็จะปลอดภัยขึ้นมาอีกระดับหนึ่ง เช่น ถ้าบัญชีคุณโดนแฮก คุณก็จะรู้ได้ทันที
ที่พิเศษขึ้นมาคือ อีเมล ซึ่งทาง Gmail ก็เคยมีการบังคับให้ผู้ใช้งานเปิดการยืนยันตัวตนสองชั้นเช่นกัน ซึ่งจริง ๆ แล้วอีเมลของคุณก็ไม่ต่างไปจากบัญชีโซเชียลมีเดียเลย เพราะคุณใช้อีเมลในการสมัครเว็บไซต์นู่นนั่นนี่มากมาย (ใช่แล้ว! คุณใช้อีเมลสมัครบัญชีโซเชียลมีเดียด้วย) จึงจำเป็นมากที่คุณควรจะเปิดใช้การยืนยันตัวตนสองขั้นกับอีเมลตามที่ระบบบังคับให้คุณทำ
การยืนยันตัวตนสองชั้นจะปกป้องบัญชีเราได้ดีกว่าอย่างไร
- ลดความเสี่ยงที่จะโดนแฮก
หัวใจสำคัญที่ทำให้เราต้องเปิดใช้งานการยืนยันตัวตนสองขั้น รวมถึงยอมที่จะต้องเข้าใช้งานพวกแอปฯ ต่าง ๆ ได้ยุ่งยากขึ้น คือ ลดความเสี่ยงที่จะถูกแฮกจากอุปกรณ์ที่ไม่รู้จักนั่นเอง โดยเฉพาะพวกแพลตฟอร์มออนไลน์ที่เต็มไปด้วยข้อมูลส่วนตัวของเรา การทำธุรกรรมทางการเงิน และอาจเป็นช่องทางในการทำมาหากินด้วย เช่น Facebook, Twitter, Instagram หรือ YouTube เพราะมันคงไม่คุ้มกันหากเราจะโดนล้วงข้อมูลหรือถูกยึดบัญชีไปได้ง่าย ๆ เพียงเพราะตัวเรารำคาญความยุ่งยากที่จะเกิดขึ้นจากการยืนยันตัวตนซ้ำ ๆ หลายรอบ
อุปกรณ์อิเล็กทรอนิกส์ที่ล็อกอินบัญชีนั้น ๆ อยู่เป็นประจำ เมื่อเปิดใช้งานการยืนยันตัวตนสองขั้นแล้ว จะไม่ถูกถามรบกวนการเข้าใช้งานอีก ความยุ่งยากจะเกิดขึ้นแค่ตอนเปิดใช้งาน แต่ถ้าเป็นอุปกรณ์อื่น ๆ ที่ไม่เคยล็อกอินบัญชีนั้น ๆ มาก่อน แล้วมีความพยายามที่จะเข้าบัญชีนั้นให้ได้ ไม่ว่าจะโดยการสุ่มรหัสผ่านหรือบังเอิญได้รหัสมาก็ตาม ระบบจะขอร้องให้ผู้ที่ลักลอบล็อกอินยืนยันตัวตนขั้นที่สองอีกครั้ง หากไม่สามารถยืนยันได้ว่าเป็นเจ้าของบัญชีที่แท้จริง ก็จะไม่สามารถเข้าใช้งานได้ ที่สำคัญ ระบบจะแจ้งเตือนไปยังเจ้าบัญชีว่ามีคนกำลังพยายามจะเข้าใช้งานระบบของคุณ
แม้ว่าการเปิดใช้การยืนยันตัวตนสองชั้นจะไม่ใช่วิธีการที่ปลอดภัย 100 เปอร์เซ็นต์ แต่มันก็ปลอดภัยกว่าการใส่รหัสผ่านธรรมดา ๆ แน่นอน อย่างน้อย ๆ ก็ช่วยอุดช่องโหว่ในการเดาสุ่มรหัสผ่านแบบถ้าสุ่มถูกก็เข้าระบบได้เลย หรือการล่วงรู้คำตอบของคำถามลับ เนื่องจากข้อมูลบางส่วนสามารถพบได้ในบันทึกสาธารณะ โดยเฉพาะการใช้งานโซเชียลมีเดีย ที่เรามักแชร์ข้อมูลเหล่านี้ไว้ โดยการเปิดการยืนยันตัวตน 2 ขั้นเปรียบเสมือนประตูที่ล็อกกุญแจไว้ 2 ชั้น ถึงจะเปิดกลอนชั้นแรกได้ก็ยังติดกลอนอีกชั้นอยู่ดี และเครื่องตรวจจับขโมยก็แจ้งเตือนเจ้าของบ้านไปแล้วด้วยว่ามีคนพยายามบุกรุก พยายามจะเปิดประตูบ้านให้ได้ แต่ติดว่าเข้าไม่ได้ เพราะยืนยันความเป็นเจ้าของบ้านไม่ผ่าน
- ความปลอดภัยสูงกว่า
อย่างที่บอกว่าการเปิดใช้งานการยืนยันตัวตนสองขั้นก็เหมือนกับการล็อกกุญแจบ้าน 2 ชั้น แม้ว่ากุญแจชั้นแรกจะถูกเปิดได้ ก็ยังติดกุญแจชั้นที่ 2 ตรงจุดนี้ทำให้บัญชีของเราปลอดภัยสูงกว่าการใช้รหัสผ่านธรรมดา ที่ต่อให้คาดเดาได้ยากแต่มันก็มีโอกาสที่จะถูกล่วงรู้ไปได้ด้วยวิธีต่าง ๆ ซึ่งมิจฉาชีพชำนาญเรื่องพวกนี้อยู่แล้ว วิธีการหรือขั้นตอนมันอาจจะยุ่งยากกว่าเดิม แต่ก็ดีกว่าต้องมานั่งรู้สึกแย่ที่บัญชีหรือข้อมูลต่าง ๆ ถูกขโมยไป
แต่ถึงการยืนยันตัวตนสองขั้นจะมีความปลอดภัยมากกว่าแค่กรอกรหัสผ่าน ตรงที่การยืนยันนั้นมีแค่คุณเท่านั้นที่รู้ว่าจะเปิดมันออกอย่างไร และจำเป็นต้องใช้อุปกรณ์อื่นที่คุณเป็นเจ้าของช่วยในการเปิด แต่ก็ไม่ได้หมายความว่ามันจะปลอดภัยโดยสิ้นเชิง คุณยังมีโอกาสถูกแฮกหรือถูกเข้าสู่ระบบโดยไม่ได้รับอนุญาต ทว่าโอกาสก็น้อยกว่าอยู่ดี คุณยังได้รับการแจ้งเตือนว่าบัญชีถูกบุกรุก ยังยืดเวลาช่วงที่มิจฉาชีพกำลังพยายามปลอมเป็นคุณเข้าระบบ ไปชิงเปลี่ยนรหัสผ่านได้ก่อน มันจึงป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต จากอุปกรณ์แปลก ๆ ที่ไม่เคยใช้งานหรือจากที่ที่ไม่คุ้นเคย