ทำไมคุณไม่ควรใช้ SMS สำหรับการยืนยันตัวตนแบบสองขั้นตอน และมีทางเลือกอื่นใดบ้าง?

การตรวจสอบปัจจัยสองชั้น (2FA)จะเพิ่มชั้นความปลอดภัยที่สำคัญให้กับบัญชีออนไลน์ของคุณ แต่น่าเสียดายที่วิธีการทั้งหมดไม่ได้ถูกสร้างมาเท่าเทียมกัน ผู้คนจำนวนมากอาศัย 2FA ผ่าน SMS เพราะเชื่อว่าเป็นตัวเลือกที่ปลอดภัย น่าเสียดายที่ SMS ไม่ใช่วิธีที่สมบูรณ์แบบ นี่คือเหตุผลที่คุณควรหยุดใช้ SMS สำหรับ 2FA และสิ่งที่คุณสามารถใช้แทนได้…

การสลับซิมทำให้แฮกเกอร์สามารถขโมยหมายเลขโทรศัพท์ของคุณได้

ความเสี่ยงที่น่าตกใจที่สุดประการหนึ่งในการใช้ SMS สำหรับ 2FA คือการสลับซิม ซึ่งเป็นเทคนิคที่ผู้โจมตีหลอกล่อให้ผู้ให้บริการมือถือของคุณย้ายหมายเลขโทรศัพท์ของคุณไปยังซิมการ์ดใหม่ เมื่อพวกเขาควบคุมหมายเลขของคุณได้แล้ว พวกเขาสามารถบล็อกข้อความ SMS ใดๆ ที่ส่งไปยังหมายเลขนั้นได้

วิธีการทำงานมีดังนี้: ผู้โจมตีจะติดต่อผู้ให้บริการโทรศัพท์มือถือของคุณโดยแอบอ้างว่าเป็นคุณ การใช้ข้อมูลส่วนบุคคลที่ขโมยมา เช่น ที่อยู่ หรือสี่หลักสุดท้ายของหมายเลขประกันสังคม ทำให้ผู้ให้บริการสามารถโน้มน้าวใจให้ย้ายหมายเลขโทรศัพท์ของคุณไปยังซิมการ์ดของตนได้ เมื่อการเปลี่ยนแปลงนี้เสร็จสมบูรณ์ ผู้โจมตีจะสกัดกั้นข้อความที่ส่งถึงหมายเลขของคุณ รวมถึงรหัส 2FA ที่ใช้เพื่อปกป้องบัญชีของคุณ

ความเสียหายไม่ได้หยุดอยู่เพียงแค่นั้น พวกเราหลายคนเชื่อมโยงหมายเลขโทรศัพท์ของเรากับบัญชีต่างๆ หลายบัญชี ตั้งแต่อีเมลไปจนถึงโซเชียลมีเดียและแอปธนาคาร การสลับซิมที่ประสบความสำเร็จสามารถทำให้ผู้โจมตีเข้าถึงบัญชีต่างๆ ที่เชื่อมโยงกับหมายเลขโทรศัพท์ของคุณตั้งแต่อีเมลไปจนถึงแอปธนาคาร คู่มือฉบับก่อนหน้าของ Quantrimang.com เกี่ยวกับการแลกเปลี่ยนซิมการ์ดคืออะไร และวิธีการป้องกันตนเองสามารถช่วยให้คุณหลีกเลี่ยงการหลอกลวงที่พบบ่อยมากขึ้นนี้ได้

ข้อความ SMS อาจถูกดักฟังได้

แม้ว่าคุณจะหลีกเลี่ยงการสลับซิม แต่ข้อความ SMS ยังคงไม่ปลอดภัย พวกเขาเดินทางผ่านเครือข่ายที่สามารถถูกดักฟังได้ง่าย แฮกเกอร์สามารถใช้ประโยชน์จากจุดอ่อนในระบบส่งสัญญาณหมายเลข 7 (SS7) ซึ่งเป็นโปรโตคอลโทรคมนาคมระดับโลกที่ช่วยให้ผู้ให้บริการสามารถกำหนดเส้นทางการโทรและข้อความได้ การใช้ประโยชน์จาก SS7 ช่วยให้ผู้โจมตีสามารถสกัดกั้นข้อความ SMS ได้โดยไม่ต้องเข้าถึงโทรศัพท์จริงของคุณ

นี่ไม่ใช่แค่ทฤษฎีเท่านั้น การแฮ็กซิมเป็นปัญหาที่มีมานานแล้ว อาชญากรทางไซเบอร์และแม้แต่กลุ่มที่ได้รับการสนับสนุนจากรัฐบางกลุ่มก็ใช้ช่องโหว่ SS7 เพื่อสอดส่องการสื่อสารและขโมยข้อมูลที่ละเอียดอ่อน เนื่องจาก SMS ไม่ได้รับการเข้ารหัส เนื้อหาของข้อความรวมทั้งรหัสผ่านครั้งเดียวจะถูกเปิดเผยในระหว่างการส่ง

อีกวิธีหนึ่งที่ข้อความอาจถูกบุกรุกได้คือผ่านแอพที่เป็นอันตรายหรือสปายแวร์ที่ติดตั้งบนอุปกรณ์ของคุณ โปรแกรมเหล่านี้สามารถตรวจสอบข้อความ SMS ขาเข้าของคุณและส่งต่อรหัส 2FA ไปยังผู้โจมตีโดยที่คุณไม่ทราบ

SMS เชื่อมโยงกับหมายเลขโทรศัพท์ของคุณ

ข้อเสียสำคัญอีกประการหนึ่งของ 2FA ที่ใช้ SMS ก็คือ มันต้องอาศัยหมายเลขโทรศัพท์ของคุณ ความสามารถในการรับรหัสเชื่อมโยงโดยตรงกับบริการมือถือของคุณ หากคุณอยู่ในพื้นที่ที่มีสัญญาณไม่ดี 2FA ที่ใช้ SMS จะไม่มีประโยชน์เลย แม้จะใช้งานWi-Fiก็ตาม ต่างจากวิธีการยืนยันตัวตนแบบอื่นที่สามารถทำงานผ่านการเชื่อมต่ออินเทอร์เน็ต SMS ต้องใช้สัญญาณโทรศัพท์มือถือที่เสถียร

การพึ่งพานี้อาจทำให้คุณติดอยู่ในสถานการณ์ที่คุณจำเป็นต้องเข้าถึงบัญชีของคุณแต่ไม่สามารถรับรหัสได้ ไม่ว่าคุณจะเดินทางไปยังสถานที่ห่างไกลหรือเพียงแค่อยู่ในอาคารที่สัญญาณไม่ดี ข้อจำกัดนี้ทำให้ SMS มีความน่าเชื่อถือได้น้อยลงเมื่อเทียบกับวิธีอื่นๆ

ทางเลือก: แอป Authenticator

แทนที่จะพึ่งพา SMS สำหรับการยืนยันตัวตน 2FA ให้เปลี่ยนไปใช้แอปยืนยันตัวตน 2FA แทน แอปเช่น Google Authenticator, Microsoft Authenticator และ Authy จะสร้างรหัสผ่านแบบใช้ครั้งเดียวที่มีระยะเวลาจำกัด (TOTP) โดยตรงบนอุปกรณ์ของคุณ ซึ่งให้ทางเลือกอื่นที่ปลอดภัยและเชื่อถือได้มากกว่า SMS

ข้อได้เปรียบประการแรกของแอปพลิเคชันการตรวจสอบสิทธิ์คือความปลอดภัย ต่างจาก SMS แอปเหล่านี้จะสร้างรหัสในโทรศัพท์ของคุณ ซึ่งหมายความว่ารหัสจะไม่ถูกส่งผ่านเครือข่ายที่อาจถูกดักจับหรือถูกใช้ประโยชน์ได้ นอกจากนั้นยังได้รับการปกป้องด้วยระบบรักษาความปลอดภัยชั้นพิเศษอีกด้วย โดยแอปต่างๆ จำนวนมากต้องใช้รหัสผ่าน ลายนิ้วมือ หรือการสแกนใบหน้าจึงจะเข้าถึงรหัสได้

เหตุผลอีกประการหนึ่งที่ผู้คนชอบแอปตรวจสอบสิทธิ์คือฟังก์ชันการทำงานแบบออฟไลน์ เนื่องจากรหัสถูกสร้างขึ้นโดยตรงบนอุปกรณ์ คุณจึงไม่จำเป็นต้องเชื่อมต่อมือถือเพื่อใช้งานรหัสเหล่านี้ ไม่ว่าคุณจะอยู่ในพื้นที่ห่างไกลที่ไม่มีบริการหรืออยู่ในอาคารที่สัญญาณไม่ดี คุณยังเข้าถึงรหัสได้ตราบเท่าที่คุณมีอุปกรณ์

ผู้คนชอบ Authy มากกว่าแอปตรวจสอบความถูกต้องอื่น เพราะมีการสำรองข้อมูลบนคลาวด์ ทำให้สามารถกู้คืนบัญชีได้ง่ายในกรณีที่โทรศัพท์หาย ในเวลาเดียวกันยังรักษาความปลอดภัยการสำรองข้อมูลเหล่านี้ด้วยการเข้ารหัส เพื่อให้มั่นใจว่ามีเพียงคุณเท่านั้นที่สามารถเข้าถึงได้ Google Authenticator เป็นอีกหนึ่งตัวเลือกยอดนิยม ทั้งสองตัวเลือกนั้นฟรี รองรับอย่างกว้างขวาง และตั้งค่าได้ง่าย

การใช้แอปพลิเคชัน Authenticator นั้นง่ายมาก เมื่อตั้งค่าเสร็จแล้ว โดยปกติจะสแกนรหัส QR ที่เว็บไซต์จัดเตรียมให้ระหว่างขั้นตอนการตั้งค่า 2FA จากนั้นคุณเพียงเปิดแอปเพื่อเข้าถึงรหัสทุกครั้งที่คุณเข้าสู่ระบบ รหัสจะรีเฟรชทุก ๆ 30 วินาที ดังนั้น แม้ว่าจะมีคนขโมยรหัสไป รหัสก็จะไร้ประโยชน์ทันที

การตรวจสอบปัจจัยสองชั้นมีความจำเป็นต่อการรักษาความปลอดภัยของบัญชีของคุณ แต่วิธีที่คุณใช้ก็มีความสำคัญ แม้ 2FA ที่ใช้ SMS จะดูสะดวก แต่ก็เต็มไปด้วยจุดอ่อนมากมาย ตั้งแต่การสลับซิม ไปจนถึงวิธีการดักจับและแม้แต่ปัญหาเชิงปฏิบัติ เช่น การครอบคลุมสัญญาณมือถือที่ไม่ดี ความเสี่ยงเหล่านี้ทำให้ SMS ไม่ใช่มาตรการป้องกันความปลอดภัยออนไลน์ของคุณที่น่าเชื่อถือ