SMS 2FA คุ้มค่าที่จะใช้หรือไม่?

ใช่ หากไม่มีตัวเลือกที่ดีกว่านี้เสนอให้ SMS 2FA นั้นดีกว่า 2FA ที่ไม่มีเลยอย่างมาก — โดยจะหยุดการโจมตีด้วยการยัดข้อมูลประจำตัวจำนวนมาก แต่สำหรับบัญชีใดก็ตามที่คุณสามารถใช้ TOTP หรือคีย์ฮาร์ดแวร์แทนได้ ให้ทำ การโจมตีด้วยการสลับ SIM กับบัญชีที่ได้รับการป้องกันทาง SMS ทำให้เกิดการสูญเสียอย่างแท้จริง โดยเฉพาะอย่างยิ่งสำหรับบัญชีสกุลเงินดิจิตอลและบัญชีโซเชียลที่มีชื่อเสียง

ฉันควรใช้แอปยืนยันตัวตนใด

Aegis (โอเพ่นซอร์ส, Android) และ Raivo (โอเพ่นซอร์ส, iOS) เป็นตัวเลือกที่สะอาดตา 1Password และ Bitwarden สามารถจัดเก็บความลับ TOTP ควบคู่ไปกับรหัสผ่าน หลีกเลี่ยง Google Authenticator หากคุณไม่มีข้อมูลสำรอง จนกระทั่งเมื่อไม่นานมานี้ไม่มีการซิงค์ และผู้ใช้จำนวนมากสูญเสียบัญชีไปหลังจากทำโทรศัพท์หาย Authy ซิงค์ แต่มีการละเมิดฐานข้อมูลผู้ติดต่อในปี 2024

คีย์ฮาร์ดแวร์คุ้มค่ากับราคาหรือไม่

ใช่สำหรับบัญชีที่มีมูลค่าสูงของคุณ YubiKeys หนึ่งคู่ (การสำรองข้อมูลหลักหนึ่งรายการในตู้นิรภัย) มีมูลค่ารวมประมาณ 90 เหรียญสหรัฐฯ และเป็นการลงทุนด้านความปลอดภัยที่มีเลเวอเรจสูงสุดที่คนส่วนใหญ่เคยทำ บัญชีใดๆ ที่สามารถกำหนดค่าให้ต้องใช้คีย์ฮาร์ดแวร์ — และบัญชีที่สำคัญหลายๆ บัญชีก็สามารถทำได้ — ควรจะเป็นเช่นนั้น

2FA สามารถข้ามได้หรือไม่?

TOTP และการแจ้งเตือนแบบพุชสามารถข้ามได้โดยฟิชชิ่งแบบเรียลไทม์ (ผู้โจมตีมอบพร็อกซีการเข้าสู่ระบบไปยังไซต์จริง) คีย์ฮาร์ดแวร์ (FIDO2) ไม่สามารถทำได้ เนื่องจากการผูกต้นทางจะทำให้ลายเซ็นเฉพาะไซต์ ขั้นตอนการกู้คืนบัญชียังทำให้ 2FA อ่อนแอลง — หากคุณสามารถรีเซ็ต 2FA ผ่านทาง SMS ได้ SMS จะกลายเป็นพื้นที่การโจมตี

เหตุใดบางเว็บไซต์จึงรองรับเฉพาะ SMS 2FA เท่านั้น

ค่าใช้จ่ายในการดำเนินการและการเข้าถึง SMS ใช้งานได้กับโทรศัพท์ทุกรุ่นโดยไม่ต้องติดตั้งแอพ TOTP/FIDO ต้องมีการตั้งค่าเพียงครั้งเดียวซึ่งผู้ใช้บางรายอาจรู้สึกสับสน ธนาคารใหญ่ๆ ดำเนินการช้าในการนำ FIDO มาใช้; บริการคลาวด์และเทคโนโลยีได้นำมาใช้เมื่อหลายปีก่อน ข่าวดี: ทุกไซต์ที่สำคัญที่สุดสำหรับความปลอดภัยของคุณรองรับ TOTP เป็นอย่างน้อย และส่วนใหญ่รองรับคีย์ฮาร์ดแวร์

อธิบายการรับรองความถูกต้องด้วยสองปัจจัย: TOTP, Push, SMS และคีย์ฮาร์ดแวร์

รหัสผ่านเพียงอย่างเดียวก็เป็นปัจจัยหนึ่ง — "สิ่งที่คุณรู้" ผู้โจมตีที่ขโมยหรือคาดเดาว่าเป็นเจ้าของบัญชี การตรวจสอบสิทธิ์แบบสองปัจจัยจะเพิ่มปัจจัยที่สองที่เป็นอิสระ — "สิ่งที่คุณมี" หรือ "สิ่งที่คุณเป็น" ซึ่งทำให้รหัสผ่านที่ถูกขโมยไปนั้นไร้ประโยชน์ ส่วนที่ยากไม่ใช่ว่าจะใช้ 2FA หรือไม่ จะใช้วิธีไหนเพราะวิธีการไม่แรงเท่ากัน

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) หรือ การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ต้องใช้ข้อมูลประจำตัวเพิ่มเติมนอกเหนือจากรหัสผ่านเพื่อเข้าสู่ระบบ หมวดหมู่ปัจจัยคือ:

สิ่งที่คุณรู้ — รหัสผ่าน, PIN, คำถามเพื่อความปลอดภัย
บางอย่างที่คุณ have — โทรศัพท์, โทเค็นฮาร์ดแวร์, สมาร์ทการ์ด
สิ่งที่คุณเป็น — ลายนิ้วมือ, ใบหน้า, จอประสาทตา, เสียง

สองปัจจัยจาก หมวดหมู่ที่แตกต่างกัน คือมาตรฐาน รหัสผ่านและคำถามเพื่อความปลอดภัยไม่ใช่ 2FA จริง — ทั้งคู่เป็น "สิ่งที่คุณรู้"

ปัจจัยการจัดอันดับ

จากอ่อนแอที่สุดไปหาแข็งแกร่งที่สุด:

SMS — 2FA กระแสหลักดั้งเดิม เสี่ยงต่อการเปลี่ยน SIM (ผู้โจมตีโน้มน้าวให้ผู้ให้บริการโอนหมายเลขของคุณ) และสกัดกั้นผ่านจุดอ่อน SS7 ยังคงดีกว่าไม่มี 2FA แต่เป็นตัวเลือกที่อ่อนแอที่สุดที่ยังคงใช้กันอย่างแพร่หลาย
รหัสที่ส่งอีเมล — แข็งแกร่งพอๆ กับบัญชีอีเมลเท่านั้น ซึ่งมักจะมี 2FA ที่อ่อนแอกว่า ยอมรับได้ว่าเป็นวิธีการกู้คืนทางเลือกสุดท้าย ไม่ใช่ปัจจัยหลัก
TOTP (รหัสผ่านแบบใช้ครั้งเดียวตามเวลา) — รหัสที่สร้างโดยแอปตรวจสอบความถูกต้อง (Aegis, Authy, Google Authenticator, 1Password) ทุกๆ 30 วินาที ซึ่งได้มาจากความลับที่แชร์ ฟิชชิ่งได้ เนื่องจากผู้โจมตีแบบเรียลไทม์ที่หลอกให้คุณป้อนรหัสในเว็บไซต์ปลอมสามารถเล่นซ้ำได้
Push การแจ้งเตือน — "อนุมัติการเข้าสู่ระบบนี้หรือไม่" การแจ้งเตือนบนอุปกรณ์ที่เชื่อถือได้ สะดวก แต่เสี่ยงต่อ "ความเหนื่อยล้าของ MFA" ซึ่งผู้โจมตีจะอนุมัติสแปมจนกว่าผู้ใช้จะแตะใช่
ฮาร์ดแวร์คีย์ความปลอดภัย (FIDO2/WebAuthn) — โทเค็น USB/NFC จริง เช่น YubiKey, Solo, Google Titan กุญแจสำคัญบ่งบอกถึงการท้าทายจากไซต์ โดยผูกมัดการตอบสนองต่อแหล่งที่มาของไซต์แบบเข้ารหัส หมายความว่าฟิชชิ่งเป็นไปไม่ได้เนื่องจากไซต์ปลอมไม่สามารถทริกเกอร์ลายเซ็นที่ถูกต้องได้ นี่คือมาตรฐานระดับสูง

วิธีการทำงานของ TOTP จริง

เมื่อคุณลงทะเบียน ไซต์จะแสดงโค้ด QR ที่มีข้อมูลลับ 160 บิตที่ใช้ร่วมกัน แอปตรวจสอบความถูกต้องของคุณจัดเก็บไว้ หากต้องการสร้างโค้ด แอป:

ใช้เวลา Unix ปัจจุบันหารด้วย 30 (ให้ตัวนับซึ่งเพิ่มขึ้นทุกๆ 30 วินาที)
HMAC-SHA1 พร้อมด้วยความลับที่แชร์บนตัวนับ
แยกตัวเลข 6 หลักจากเอาต์พุต HMAC (ไดนามิก การตัดทอน).

เซิร์ฟเวอร์จะคำนวณค่าเดียวกันอย่างอิสระและยอมรับรหัสหากตรงกัน โปรโตคอลถูกกำหนดไว้ใน RFC 6238; มีความสมมาตร ออฟไลน์โดยสมบูรณ์ และทำงานบนแอปตรวจสอบความถูกต้องทุกแอป

เหตุใดคีย์ฮาร์ดแวร์จึงแตกต่างกัน

FIDO2/WebAuthn ผูกการรับรองความถูกต้องกับที่มาของเว็บไซต์ในโปรโตคอลเอง รหัสฮาร์ดแวร์ไม่เคยเปิดเผยรหัสส่วนตัว เพียงแต่พิสูจน์การครอบครองโดยการลงนามในคำท้าทายที่มีโดเมนของเว็บไซต์ด้วย หากไซต์ฟิชชิ่งที่ evil.com ขอลายเซ็น YubiKey คีย์ดังกล่าวจะถือเป็นการท้าทายสำหรับ evil.com ซึ่งไซต์ธนาคารจริงจะไม่ยอมรับ ด้วย TOTP ผู้ใช้สามารถพิมพ์รหัส 6 หลักลงใน evil.com ซึ่งจะส่งต่อไปยังธนาคารจริงแบบเรียลไทม์ คีย์ฮาร์ดแวร์ปิดรูนั้น

รหัสการกู้คืน

ทุกบัญชีที่ได้รับการป้องกันด้วย 2FA ควรมีรหัสการกู้คืนสำรองที่พิมพ์และจัดเก็บทางกายภาพ — ในตู้นิรภัยพร้อมเอกสารสำคัญทุกที่ ยกเว้นบนอุปกรณ์เดียวกันกับที่เก็บปัจจัยที่สอง การสูญเสียปัจจัยที่สองโดยไม่มีรหัสกู้คืนจะทำให้คุณถูกล็อคอย่างถาวรสำหรับบริการส่วนใหญ่ ขั้นตอนการกู้คืนจะแตกต่างกันไป: บริการบางอย่างยอมรับการยืนยันตัวตนโดยฝ่ายสนับสนุน แต่มีแนวโน้มไปสู่การล็อกเอาต์อย่างหนักสำหรับบัญชีที่ไม่มีรหัสการกู้คืน

Passkeys: 2FA ใน tap

Passkeys เดียว (ข้อมูลประจำตัว FIDO2 ที่จัดเก็บไว้ในพวงกุญแจระบบปฏิบัติการหรือตัวจัดการรหัสผ่านของคุณ) ยุบรหัสผ่าน + ปัจจัยที่สองในการตรวจสอบชีวมาตรหรือ PIN เดียวบนอุปกรณ์ที่ผ่านการตรวจสอบสิทธิ์ระดับอุปกรณ์แล้ว พวกมันป้องกันฟิชชิ่งได้ด้วยเหตุผลเดียวกันกับฮาร์ดแวร์คีย์ และพวกมันก็ซิงค์ผ่านพวงกุญแจ iCloud, Google Password Manager, 1Password ฯลฯ ทิศทางระยะกลางคือการแทนที่รหัสผ่าน + 2FA ด้วยพาสคีย์สำหรับไซต์ใหม่ ในขณะเดียวกันก็เก็บรหัสผ่าน + คีย์ฮาร์ดแวร์สำหรับไซต์รุ่นเก่า

จุดที่ 2FA มีความสำคัญมากที่สุด

บัญชีที่มีมูลค่าสูงซึ่งต้องการ 2FA ที่แข็งแกร่ง: อีเมลหลักของคุณ (เวกเตอร์การกู้คืนสำหรับทุกสิ่งทุกอย่าง) เครื่องมือจัดการรหัสผ่าน ธนาคารของคุณ นายทะเบียนโดเมนของคุณ บัญชีคลาวด์ของคุณ (AWS/GCP/Azure) และที่เก็บโค้ดของคุณ (GitHub/GitLab) สำหรับสิ่งเหล่านี้ คีย์ฮาร์ดแวร์ — ควรมีสองอันสำหรับการสำรองข้อมูล — คือการลงทุนที่เหมาะสม สำหรับทุกสิ่งทุกอย่าง TOTP ผ่านแอปตรวจสอบความถูกต้องถือเป็นค่าเริ่มต้นที่ใช้งานได้จริง

คำถามที่พบบ่อย

SMS 2FA คุ้มค่าที่จะใช้หรือไม่?: ใช่ หากไม่มีตัวเลือกที่ดีกว่านี้เสนอให้ SMS 2FA นั้นดีกว่า 2FA ที่ไม่มีเลยอย่างมาก — โดยจะหยุดการโจมตีด้วยการยัดข้อมูลประจำตัวจำนวนมาก แต่สำหรับบัญชีใดก็ตามที่คุณสามารถใช้ TOTP หรือคีย์ฮาร์ดแวร์แทนได้ ให้ทำ การโจมตีด้วยการสลับ SIM กับบัญชีที่ได้รับการป้องกันทาง SMS ทำให้เกิดการสูญเสียอย่างแท้จริง โดยเฉพาะอย่างยิ่งสำหรับบัญชีสกุลเงินดิจิตอลและบัญชีโซเชียลที่มีชื่อเสียง
ฉันควรใช้แอปยืนยันตัวตนใด: Aegis (โอเพ่นซอร์ส, Android) และ Raivo (โอเพ่นซอร์ส, iOS) เป็นตัวเลือกที่สะอาดตา 1Password และ Bitwarden สามารถจัดเก็บความลับ TOTP ควบคู่ไปกับรหัสผ่าน หลีกเลี่ยง Google Authenticator หากคุณไม่มีข้อมูลสำรอง จนกระทั่งเมื่อไม่นานมานี้ไม่มีการซิงค์ และผู้ใช้จำนวนมากสูญเสียบัญชีไปหลังจากทำโทรศัพท์หาย Authy ซิงค์ แต่มีการละเมิดฐานข้อมูลผู้ติดต่อในปี 2024
คีย์ฮาร์ดแวร์คุ้มค่ากับราคาหรือไม่: ใช่สำหรับบัญชีที่มีมูลค่าสูงของคุณ YubiKeys หนึ่งคู่ (การสำรองข้อมูลหลักหนึ่งรายการในตู้นิรภัย) มีมูลค่ารวมประมาณ 90 เหรียญสหรัฐฯ และเป็นการลงทุนด้านความปลอดภัยที่มีเลเวอเรจสูงสุดที่คนส่วนใหญ่เคยทำ บัญชีใดๆ ที่สามารถกำหนดค่าให้ต้องใช้คีย์ฮาร์ดแวร์ — และบัญชีที่สำคัญหลายๆ บัญชีก็สามารถทำได้ — ควรจะเป็นเช่นนั้น
2FA สามารถข้ามได้หรือไม่?: TOTP และการแจ้งเตือนแบบพุชสามารถข้ามได้โดยฟิชชิ่งแบบเรียลไทม์ (ผู้โจมตีมอบพร็อกซีการเข้าสู่ระบบไปยังไซต์จริง) คีย์ฮาร์ดแวร์ (FIDO2) ไม่สามารถทำได้ เนื่องจากการผูกต้นทางจะทำให้ลายเซ็นเฉพาะไซต์ ขั้นตอนการกู้คืนบัญชียังทำให้ 2FA อ่อนแอลง — หากคุณสามารถรีเซ็ต 2FA ผ่านทาง SMS ได้ SMS จะกลายเป็นพื้นที่การโจมตี
เหตุใดบางเว็บไซต์จึงรองรับเฉพาะ SMS 2FA เท่านั้น: ค่าใช้จ่ายในการดำเนินการและการเข้าถึง SMS ใช้งานได้กับโทรศัพท์ทุกรุ่นโดยไม่ต้องติดตั้งแอพ TOTP/FIDO ต้องมีการตั้งค่าเพียงครั้งเดียวซึ่งผู้ใช้บางรายอาจรู้สึกสับสน ธนาคารใหญ่ๆ ดำเนินการช้าในการนำ FIDO มาใช้; บริการคลาวด์และเทคโนโลยีได้นำมาใช้เมื่อหลายปีก่อน ข่าวดี: ทุกไซต์ที่สำคัญที่สุดสำหรับความปลอดภัยของคุณรองรับ TOTP เป็นอย่างน้อย และส่วนใหญ่รองรับคีย์ฮาร์ดแวร์