• โฮมเพจ
  • บทความ
  • บล็อก
  • การส่งข้อความและการตรวจสอบสิทธิ์แบบสองปัจจัย: สิ่งที่ทุกธุรกิจควรรู้

การส่งข้อความและการตรวจสอบสิทธิ์แบบสองปัจจัย: สิ่งที่ทุกธุรกิจควรรู้

เผยแพร่แล้ว: 2022-10-12
นักธุรกิจที่ใช้แล็ปท็อปพีซีและสมาร์ทโฟน

เนื่องจากอาชญากรมีความพยายามมากขึ้นในการเจาะระบบป้องกันของผู้ใช้ ธุรกิจจึงต้องมีความกระตือรือร้นมากขึ้นในการรักษาความสมบูรณ์ของข้อมูล

ลูกค้าซึ่งเคยชินกับการส่งอีเมลราวกับว่าส่งทางไปรษณีย์ อาจรู้สึกไม่สบายใจกับขั้นตอนเพิ่มเติมที่จำเป็น โชคดีที่ลูกค้าได้รับข้อมูลที่ดีขึ้นและกระบวนการก็ง่ายขึ้น

วัตถุประสงค์คือการทำให้การระบุตัวตนแบบสองปัจจัยเป็นเรื่องง่ายที่สุดสำหรับผู้ใช้ปลายทาง ในขณะเดียวกันก็ทำให้มั่นใจว่าเป็นการยากที่ผู้กระทำผิดจะเลี่ยงผ่าน

ฟังดูน่าเกรงขาม? ผ่อนคลาย! การรับรองความถูกต้องด้วยสองปัจจัย ( 2FA ) ได้รับการพัฒนาเพื่อต่อสู้กับโจรที่ฉลาดเหล่านั้น

มันทำงานอย่างไร?

2FA เพิ่มเลเยอร์พิเศษให้กับโปรโตคอลการตรวจสอบสิทธิ์ สามารถมาได้หลายรูปแบบ บางครั้งก็เป็นแบบไบโอเมตริกซ์ ซึ่งจำเป็นต้องมีเสียง ลายนิ้วมือ การสแกนม่านตา หรือสิ่งของพิเศษอื่นๆ ที่เป็นส่วนหนึ่งของการผสมผสาน

สิ่งเหล่านี้จำเป็นต้องมีการเก็บบันทึกอย่างกว้างขวางและการจัดเก็บ PII (ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) ซึ่งสามารถเพิ่มขึ้นอย่างมากให้กับโอเวอร์เฮด รวมทั้งก่อให้เกิดความกังวลด้านความปลอดภัยเพิ่มเติมหากพื้นที่จัดเก็บนั้นถูกบุกรุก

อย่างไรก็ตาม แม้ว่าเทคนิคดังกล่าวจะเป็นไปได้ แต่ส่วนใหญ่ใช้ไม่ได้ผล สถาบันเช่นธนาคารจะออกบัตรประจำตัวเฉพาะให้กับ (เช่น) ใช้งานเครื่องถอนเงินอัตโนมัติ (ATM) แทน บัตรดังกล่าวไม่มีประโยชน์หากไม่มี PIN (หมายเลขประจำตัวประชาชน)

การรักษาความปลอดภัยนี้อาศัยการมีรายการเฉพาะและรวมเข้ากับความรู้เฉพาะ บัตรธนาคารอาจสูญหายได้เมื่อกระเป๋าสตางค์ถูกขโมยหรือถูกใส่ผิดที่ แต่ตัวบัตรเองจะไร้ประโยชน์หากไม่มี PIN

การรับรองความถูกต้องด้วยสองปัจจัยช่วยเพิ่มกระบวนทัศน์ 'ชื่อผู้ใช้' และ 'รหัสผ่าน' แบบดั้งเดิม

ประโยชน์ของการรับรองความถูกต้องด้วยสองปัจจัย

ภาพการตรวจสอบสิทธิ์แบบสองปัจจัย

แก๊งที่รวมตัวกันหรือแม้แต่อาชญากรเดี่ยว ได้ค้นพบกลยุทธ์ที่จะหลอกล่อให้คนฉลาดตัดสินใจผิดพลาดอย่างน่าทึ่ง เช่น ให้สิทธิ์เข้าถึงอย่างปลอดภัยกับคนแปลกหน้า หรือการแชร์รหัสผ่าน

2FA ผ่าน SMS ทำให้กระบวนการนี้ยากพอสำหรับอาชญากร ซึ่งโดยส่วนใหญ่แล้ว พวกเราส่วนใหญ่ไม่น่าสนใจเกินกว่าจะดึงดูดความสนใจ

ขจัดขั้นตอน

IoT หรือ Internet of Things เป็นประโยชน์อย่างยิ่งต่อมนุษยชาติ (เช่นเดียวกับความหายนะในบางกรณี) หมายความว่าขณะนี้มีการใช้งานสมาร์ทโฟน 5 พันล้านเครื่อง รวมถึงอุปกรณ์อื่นๆ อีกนับไม่ถ้วนที่สามารถรับข้อความ SMS

ตามการประมาณการในปัจจุบัน Earthlings 21/2 พันล้านคนถือสมาร์ทโฟนอย่างน้อยหนึ่งเครื่อง (นอกเหนือจากอุปกรณ์อื่น ๆ ของเราทั้งหมด)

มันอยู่กับเราเกือบตลอดเวลา เข้าถึงได้ง่าย และเราค่อนข้างพึ่งพามันได้

บริการ 2FA ไม่จำเป็นต้องออกเครื่องมือระบุตัวตนที่รอบคอบ และไม่ต้องจัดเก็บข้อมูลที่ไม่จำเป็นเกี่ยวกับบุคคล

เรายังสามารถมีชื่อและรหัสผ่านได้ แต่ตอนนี้ เมื่อระบุตัวตนแล้ว บริการนี้สามารถใช้การตรวจสอบสิทธิ์ SMS เพื่อส่งข้อความถึงเราพร้อม PIN ชั่วคราวที่จะหมดอายุในเวลาเพียงหนึ่งหรือสองนาที

ตอนนี้คุณ รู้ บางอย่างแล้ว (ชื่อและรหัสผ่าน) และ มี บางอย่าง (โทรศัพท์ของคุณ) ดังนั้นคุณสามารถดำเนินการต่อได้ อะไรจะง่ายกว่านี้

ไม่ต้องกลัวลูกค้าจะใช้มัน

บางบริษัทคิดว่าลูกค้าจะกบฏและนำธุรกิจของตนไปที่อื่น เพื่อเป็นหลักฐาน พวกเขามักจะชี้ให้เห็นถึงความจริงที่ว่ามีเพียง 10% ของผู้ใช้ Gmail ที่เปิด 2FA หรือโดยเฉพาะอย่างยิ่ง 90% ที่ไม่ เปิด

แม้ว่าการใช้ 2FA เป็นความคิดที่ดีอย่างไม่ต้องสงสัย แต่คุณต้องระวังกระบวนทัศน์ที่ทำงานที่นี่ ผู้คนมักใช้บริษัทรักษาความปลอดภัยหรือบริการอีเมล ISP ส่วนตัวสำหรับอีเมล "สำคัญ" ของตน และ Gmail เพื่อดูดซับสแปมและให้การสื่อสารกับเว็บไซต์ที่ไม่น่าเชื่อถือ

ผู้ที่ใช้มันเพื่อ 'ทุกอย่าง' มักจะใส่ใจมากขึ้น สำหรับส่วนที่เหลือ มันไม่คุ้มกับความพยายามพิเศษ

ขณะนี้ลูกค้าเรียกร้อง 2FA สำหรับธุรกรรมทางการเงิน

เมื่อพูดถึงการย้าย เงิน ลูกค้ามักจะมีความเฉพาะเจาะจงมากขึ้นและใช้ประโยชน์จากมาตรการรักษาความปลอดภัยเพิ่มเติม

หากคุณ ไม่มี บริการตรวจสอบสิทธิ์ SMS บริการ จะ ย้ายไปที่ผู้ให้บริการรายอื่น เว็บไซต์ยอดนิยม เช่น Amazon, LinkedIn, PayPal และ DropBox ต้องการ 2FA สำหรับธุรกรรมทางการเงินจากอุปกรณ์ที่ไม่รู้จัก หรือเพื่อแลกเปลี่ยน PII

เพื่อความสะดวก คุณมักจะพบช่องทำเครื่องหมายเล็กๆ ที่ระบุว่า 'เชื่อถืออุปกรณ์นี้' ซึ่งหมายความว่าธุรกรรมในอนาคตผ่านอุปกรณ์นั้นจะได้รับการเชื่อถือโดยอัตโนมัติ

หากคุณยืมแท็บเล็ตของเพื่อนเพื่อเข้าสู่ระบบบัญชีธนาคาร คุณจะต้องได้รับรหัสการตรวจสอบสิทธิ์แบบครั้งเดียวและแบบจำกัดเวลา แต่ในอุปกรณ์ที่ลงทะเบียนไว้ จะใช้รหัสผ่านและชื่อปกติของคุณเท่านั้น

บางไซต์กำหนดให้คุณรับรองอุปกรณ์เพียงครั้งเดียว อื่นๆ รายเดือนหรือรายปี ไซต์ที่มีความปลอดภัยสูงต้องใช้ 2FA ทุกครั้งที่เข้าสู่ระบบ

ความท้าทายของการรับรองความถูกต้องด้วยสองปัจจัย

2FA ไม่ใช่ยาครอบจักรวาลเพราะแฮ็กเกอร์ผู้เชี่ยวชาญสามารถสกัดกั้น SMS และโอนสายได้ทันที ทั้งหมดนี้เพื่อส่งรหัสผลลัพธ์ไปที่อื่น

อย่างไรก็ตาม 'อย่าตกใจ!' ตามที่ดักลาส โนล อดัมส์เคยแนะนำเรา ต้องใช้เงินจำนวนมาก และมักจะจำกัดไว้เฉพาะพนักงานที่ไม่ซื่อสัตย์ภายในผู้ให้บริการ GSM เท่านั้น เพื่อสร้างโอกาสในการหาประโยชน์เหล่านี้

เมื่อมีกำไรที่สำคัญ โจรก็เต็มใจที่จะใช้ความพยายามมากขึ้น

ผู้ที่ถ่ายโอนข้อมูลหลายหมื่นหรือหลายล้าน (หรือในกรณีของคนดัง ภาพเปลือยทั้งหมด) จำเป็นต้องใช้มาตรการป้องกันเพิ่มเติม แต่นั่นไม่ได้เกี่ยวข้องกับประชากรส่วนใหญ่

ระบบบางระบบอ่อนแอหรือได้รับการปกป้องโดยตัวแทนฝ่ายบริการลูกค้าที่กังวลเกินกว่าจะรีเซ็ตรหัสผ่าน น่าจะเป็นการดีที่สุดที่จะยึดติดกับบริษัทที่มีชื่อเสียงที่ใช้บริการแบรนด์เนม

แน่นอนว่า 2FA อาจสร้างปัญหาให้กับผู้ที่รู้สึกว่าจำเป็นต้องซื้อสมาร์ทโฟนเครื่องใหม่ทุกปี พวกเขาต้องอัปเดตบัญชีทั้งหมด ระบุอุปกรณ์ใหม่ (เพิ่มใหม่และลบการอนุญาตเก่า) ก่อนจึงจะสามารถเข้าถึงได้อย่างราบรื่น นั่นคือต้นทุนของการมีเทคโนโลยีล่าสุดอยู่เสมอ...

เครื่องมือเพิ่มเติมสำหรับ2FA

คุณอาจคิดว่ามีเครื่องมือที่ดีกว่าที่จะมี มีเครื่องมือของแอป เช่น Google Authenticator (ดูตัวอย่างการทดสอบการทำงานที่นี่) ที่เป็นข้อพิสูจน์ว่าไม่มีการ "สกัดกั้น SMS" หรือหากคุณเป็นแฟนของ Apple ให้แจ้งเตือนแบบพุชที่ไม่ได้ใช้ระบบ SMS ด้วย

คุณสามารถใช้สิ่งนั้นได้ถ้ามันดึงดูดใจคุณ ในสภาพแวดล้อมที่มีความปลอดภัยสูง มีเครื่องมือที่แข็งแกร่งกว่า และมักใช้เมื่อจำเป็น

คุณอาจเคยได้ยินเกี่ยวกับอุปกรณ์คีย์ fob แบบ USB ที่สร้างรหัสผ่านแบบสุ่มตามคำขอ เป็นต้น สิ่งนี้มีประโยชน์สำหรับองค์กร แต่น้อยกว่ามากสำหรับการติดต่อกับสมาชิกทั่วไปหลายพันคน

The Takeaway

ทั้งหมดนี้เป็นระบบที่ยอดเยี่ยมและเอาชนะจุดอ่อนที่รับรู้ของ 2FA ที่ขับเคลื่อนด้วย SMS อย่างไรก็ตาม ความจริงก็คือความอ่อนแอที่กล่าวไว้นั้นเล็กน้อยและไม่จำเป็นต้องเกิดขึ้นจริง ความผิดมักจะอยู่ที่การนำโปรโตคอลไปใช้โดยบริษัทสื่อสารแต่ละแห่ง

ข้อบกพร่องเหล่านั้นจะกลายเป็นทางวิชาการในเวลาที่เราก้าวไปสู่การขจัดช่องโหว่ในโปรโตคอลที่ถูกโจมตีเช่น SS7 (ใช้เพื่อเปิดใช้งานการโรมมิ่งบนเครือข่ายโทรศัพท์ต่างๆ)

SMS เป็นตัวเลือกที่ยอดเยี่ยมเพราะผู้คนเข้าใจมันเป็นอย่างดี มันมีอยู่ทุกหนทุกแห่ง และทำให้ชีวิตของแฮกเกอร์ซับซ้อนขึ้น

ปกป้องตัวคุณเองและลูกค้าของคุณ เช่นเดียวกับที่เราทำกับ Cloud Data Service ซึ่งเป็นหน่วยงานพัฒนาเว็บและซอฟต์แวร์ที่อาศัยการรักษาความปลอดภัย SMS 2FA เพื่อให้แน่ใจว่าข้อมูลของลูกค้ายังคงเป็นส่วนตัว

หากคุณต้องการช่องทางการสื่อสารที่น่าเชื่อถือและปลอดภัยสำหรับลูกค้าของคุณ ให้ติดต่อกับผู้เชี่ยวชาญ TextMagic ของเราผ่านแบบฟอร์มการติดต่อออนไลน์ของเรา หรือลงทะเบียนเพื่อทดลองใช้งานฟรี คุณจะได้เห็นว่าวิธีนี้ได้ผลสำหรับตัวคุณเอง!