การเข้ารหัสสองชั้น เป็นกระบวนการที่ระบบรุ่นใหม่ ไม่ว่าจะเป็นการ Login เข้าระบบผ่านการทำงานที่บ้าน หรือเข้าใช้บัญชีออนไลน์ต่างๆ บทบาทของระบบความปลอดภัยสองชั้น แทบจะเข้ามาอยู่ในทุกกิจกรรมแล้ว วันนี้มาดูกันว่า 2FA กระบวนการเหล่านี้มีอะไรบ้าง ปลอดภัยกว่าที่เคยเป็นยังไงกัน

Two Factor authentication (2FA) คืออะไร

ถ้าหากเรานั่นเห็นวิวัฒนาการของอินเตอร์เน็ตยุค 10 ปีมานี้เองจะเห็นได้ว่าพัฒนาการทางด้านระบบความปลอดภัยมีการพัฒนามากยิ่งขึ้นตามบทบาทของมันในชีวิต เริ่มจากมันเป็นบอร์ดแลกเปลี่ยนสนทนา แลกเปลี่ยนรูปภาพต่าง หรือแค่นัดซื้อขายสินค้าเพียงเท่านั้นเอง

1FA authentication

โดย 1FA (One factor authentication) หรือการเข้ารหัสเพียงชั้นเดียว ที่เราใช้เป็นประจำเป็นเพียงการใช้ “รหัสผ่าน” ในการเข้ามาทำงานเท่านั้นเอง จนกระทั่งการเปลี่ยนแปลงบทบาทของมันกลายมาเป็น “การยืนยันตัวตน” รวมถึง “การเงิน” ที่ทำการสั่งจ่ายผ่านโลกออนไลน์ ทำให้กระบวนการยืนยันตัวตนด้วย “รหัสผ่าน” ไม่เพียงพอที่ป้องกัน “การโจมตีทางไซเบอร์” อีกต่อไป จึงเป็นขั้นต่อยอดของการพัฒนาสองชั้น หรือ MFA เพื่อมั่นใจถึงความปลอดภัยได้อย่างสูงสุด แล้วมันคืออะไรบ้าง

2FA authentication

การเข้ารหัสสองขั้นตอน เป็นกระบวนการที่ต้องเข้ารหัสสองชั้น 2fa ด้วยการใช้ “รหัสผ่าน” ร่วมกับการยืนยันตัวตนในหลากหลายรูปแบบ เพื่อที่จะทำให้มั่นใจว่ากระบวนการยืนยันตัวตนทางอินเตอร์เน็ตมีความปลอดภัยเพียงพอ แล้วมันมีกี่ประเภท

กระบวนการเข้ารหัส 2FA มีกี่ประเภท

ปัจจุบันแต่ละแพลตฟอร์มนั้นเลือกการใช้ ระบบป้องกันสองชั้นที่แตกต่างกันออกไปตามความปลอดภัยที่ต้องการ โดยแบ่งเป็น 4 ประเภท ดังนี้

• Token USB

   ในยุคก่อนที่อินเตอร์เน็ต และ มือถือจะเข้ามามีบทบาทในชีวิตเราสูง เป็นยุคแรกที่เราใช้การยืนยันตัวตนด้วยการเสียบอุปกรณ์ที่บรรจุข้อมูลสำหรับยืนยันตัวก็ได้ถูกนำมาใช้งาน แต่ข้อจำกัดของมันคือเราสามารถถูกขโมยได้เช่นกัน

• รหัสเข้าใช้ครั้งเดียว OTP (One Time Password)

  ในช่วงหลังจากที่มือถือเป็นอวัยวะสำคัญสำหรับเรา ทำให้มือถือมีความสำคัญและน่าเชื่อถือไม่ต่างจากการพกบัตรประชาชน ทำให้การส่งรหัส OTP ยืนยันเข้าไปใน SMS มือถือเครื่องที่เราใช้จึงเริ่มใช้งานในการยืนยันตัวอย่างแพร่หลาย โดยรหัสผ่านนั้นมีอายุ 5 นาทีหลังจากที่ส่ง วิธีการนี้นิยมในการเข้าไปใช้ธุรกรรมทางการเงินต่างๆในธนาคารออนไลน์นั่นเอง

• โปรแกรม

  ถึงแม้การพัฒนาด้าน OTP ที่ส่งเข้ามือถือของแต่ละคนในการยืนยันตัวตนแล้ว มันยังมีข้อจำกัดในหลายด้าน ทั้งในกรณีที่ผู้ใช้บริการเป็น Application ต่างชาติที่ไม่ได้จดทะเบียนในประเทศก็ไม่สามารถส่ง SMS เข้ามาในมือถือได้ หรือ ระยะเวลาที่ OTP จะหมดอายุมันนานเกินจะทำให้แฮกเกอร์สามารถสวมสิทธิ์ได้ หรือ บางครั้ง SMS ก็ไม่เข้าเครื่องก็มี เลยเป็นที่มาของการพัฒนาขั้นต่อไป คือการใช้โปรแกรมในการมาสุ่มรหัสการใช้งานครั้งเดียวได้
  โดยวิธีการนี้เป็นการเชื่อมต่อระหว่างผู้ให้บริการ กับ เจ้าของโปรแกรมตรวจสอบบุคคล ในการให้สิทธิ์ในการสุ่มรหัส 6 หลักในการลงชื่อเข้าใช้แต่ละครั้ง เช่น เมื่อเราเข้าสู่ระบบด้วยรหัสผ่านเสร็จแล้ว ขั้นที่สองต้องเปิด Authentication app ที่จะเปลี่ยนรหัสผ่านใหม่ทุกๆ 30 วินาที มากรอกลงไปอีกครั้งเพื่อยืนยันว่าเราเป็นตัวจริงนั่นเอง โดยเพียงแค่มีอินเตอร์เน็ต และแอปพลิเคชั่นเท่านั้น ก็สามารถใช้ได้แล้วนั่นเอง จึงเริ่มเป็นที่นิยมแพร่หลาย

• Inherent

  วิธีการนี้เป็นการตรวจสอบโดยใช้เซนเซอร์ในการยืนยันตัวตนของเรา เช่น การแสกนลายนิ้วมือ การแสกนม่านตา หรือ การแสกนใบหน้าก่อนจะเข้าใช้งานนั่นเอง โดยหลายครั้งวิธีนี้อาจจะมีข้อจำกัดของอุปกรณ์ด้วยเช่นเดียวกัน เช่น กล้องไม่ชัด หรือ เซนเซอร์มีปัญหา ก็อาจจะทำให้ยืนยันตัวตนในวิธีนี้มีข้อจำกัดอยู่นั่นเองLocation

  วิธีการจับตำแหน่งของเราเป็นวิธีการหนึ่งที่ส่วนใหญ่ไม่ได้ทำระบบเพียงสองชั้นแต่จะเป็นความปลอดภัยสาม สี่ชั้นก็เป็นไปได้ ในธุรกิจการเงินนั่นเอง เช่นการเข้าระบบถึงแม้จะผ่านการยืนยันตัวด้วยรหัสผ่าน และระบบ SMS แล้ว แต่ปรากฏว่าอยู่ตำแหน่งต่างประเทศ เป็นเหตุทำให้มีการต้องยืนยันตัวตนอีกซ้ำอีกครั้ง หรือ ระบบอาจจะบล็อคไม่ให้ทำธุรกรรมได้นั่นเอง

เมื่อ 10 ปีที่แล้วเราคงพอจะจินตนาการภาพไม่ออกว่าวันนึงเราจะใช้มือถือเครื่องเดียว ไปเที่ยวได้ทั่วประเทศโดยไม่ต้องจับเงินกระดาษ และเงินเหรียญได้เลยแล้วถ้าบอกว่าอีก 10 ปีข้างหน้าเราจะมีบ้านท่ามกลางหุบเขาที่มีสูดโอโซนได้เต็มปอดในทุกวัน พร้อมกับนั่งประชุมงานกับเพื่อนร่วมงานที่ห่างออกไป 1 หมื่นกิโลเมตรแบบสัมผัสชีพจรกันได้

…คงยากจะจินตนาการ แต่กำลังจะเป็นไปได้ด้วยโลกเสมือน Metaverse 

Metaverse จะเชื่อมต่อโลกทั้งสองใบเข้าด้วยกัน

หลายคนที่เคยเล่นเกมส์ออนไลน์ เก็บ Level ซื้อขาย Item ซึ่งกันและกันหรือแม้แต่หลงรักตัวละครเสมือนในเกมส์ ที่มีเบื้องหลังเป็นคนควบคุมมันอยู่ จนหลายคู่เกิดการคบหาดูใจในชีวิตจริงก็มีมาให้เห็นไม่น้อย

จนกระทั่งการประกาศพัฒนาโลกเสมือนของเจ้าพ่อ Social Media ที่จะร่วมมือกับนักพัฒนาในการทำให้โลกจริงและโลกเสมือนเชื่อมต่อกันแบบไร้รอยต่อ ซึ่งต้องมีการระดมความคิด และนักวิจัยหลายแขนง ทั้งพัฒนาข้อจำกัดอินเตอร์เน็ต โครงสร้างพื้นฐาน ความเร็วของคอมพิวเตอร์ และที่ขาดไม่ได้ก็คือ อุปกรณ์อินเตอร์เน็ตสรรพสิ่ง Internet of Things : IoT 

ดูเหมือนว่าการพัฒนานี้ถ้าเปรียบอินเตอร์เน็ตเป็นพระเอกของเรื่อง ฉะนั้นอุปกรณ์ IoT ที่เป็นเครื่องมือที่เชื่อมต่ออินเตอร์เน็ต มันเสมือนนางเอกของการพัฒนาเทคโนโลยี่โลกเสมือนชิ้นนี้เลยทีเดียว ทั้งความสะดวกสบายของอุปกรณ์เหล่านี้นี่เอง เป็นที่มาของแฮกเกอร์ที่อยากจะเข้าไปตักตวงผลประโยชน์ โดยเฉพาะการเรียกค่าไถ่ระบบ หรือ Ransomware นั่นเอง

ดาบสองคมของ IoT

โดยหัวใจหลักของอุปกรณ์ Internet of Things นั้นคือ การเชื่อมต่อไร้สาย ซึ่งสะดวกและเปราะบางมากที่สุด ซึ่งวิธีการที่ Hacker ใช้เจาะเข้าระบบเหล่านี้ส่วนใหญ่ยังไม่ซับซ้อนเหมือนระบบ Firewall 

• วิศวกรรมย้อนกลับ

อุปกรณ์ Iot เหล่านี้เบื้องหลังคือคอมพิวเตอร์ตัวจิ๋วที่มีการประมวลผลด้วยสมองที่เรียกว่า CPU ซึ่งเมื่อผู้ใช้งานซื้อมาใช้แล้วจะมีการตั้งค่ารหัสผ่านเข้าไปในระดับโปรแกรม แต่ระดับฮาร์ดแวร์อย่าง CPU นั้นการจะมาตั้งรหัสผ่านต่างๆใหม่ คงต้องใช้ผู้เชี่ยวชาญด้านระบบมาปรับเปลี่ยนการตั้งค่า ซึ่งไม่ใช่ทุกคนที่ทำได้อย่างแน่นอน ทำให้เมื่อแฮกเกอร์นั้นกลับไปเปิดดูคู่มือสถาปัตยกรรมของรุ่น CPU เหล่านี้จากอินเตอร์เน็ต จะพบรหัสผ่านเข้าระบบที่เป็นค่าเริ่มต้นจากโรงงานได้อย่างง่ายดายนั่นเอง

• Password เจ้าปัญหา

นอกจากระบบฮาร์ดแวร์แล้วสิ่งที่เป็นความน่ากังวลต่อมาคือผู้ใช้งานตั้งรหัสที่คาดเดาง่ายนั่นเอง ทั้งการตั้งชื่อและรหัสผ่านเดียวกันในทุก Application และ Platform หรือตั้งตามวันเดือนปีเกิดเหล่านี้ เป็นสิ่งที่แฮกเกอร์เข้าถึงข้อมูลได้ง่ายนั่นเอง

-ไม่ใช้ Username และ Password เดียวในทุกๆแพลตฟอร์ม
ในโลกออนไลน์นั้นทุก Application มีความเสี่ยงในการถูกขโมยข้อมูลได้ทั้งหมด ฉะนั้นปัญหาต่อมาคือเมื่อถูกขโมยจากที่หนึ่ง อาจจะมีการสุ่ม Login จากช่องทางอื่นๆได้เช่นเดียวกัน กรณีดังกล่าวการตั้งรหัสผ่านที่ไม่เหมือนกัน หรือใช้ Two authentication ก็จะช่วยในกรณี่นี้ได้

-ไม่จดรหัสผ่านไว้ใน Application 

อีกหนึ่งเคสที่เริ่มโด่งดังขึ้นในช่วงที่สกุลเงินดิจิตอลเป็นที่นิยมบนโลกนี้ คือการจดศัพท์ 12 คำสำหรับกู้รหัสผ่านบัญชี Digital wallet นั่นเอง โดยเหยื่อที่ถูกขโมยเงินออกจากบัญชีมีหลายคนที่เกิดจากการจดข้อมูลไว้ในคอมพิวเตอร์ หรือ มือถือนั่นเอง ฉะนั้นการจดใส่กระดาษแล้วเก็บไว้ในที่ปลอดภัยจะช่วยแก้ปัญหาการถูกขโมยได้

• Bluetooth เจ้าปัญหา

บลูธูธเป็นหนึ่งในส่วนประกอบของ IoT ด้วยการกินแบตเตอรี่ที่ต่ำ และกระจายอยู่ในวงกว้างได้ ความสะดวกสบายนี้ก็นำมาซึ่งปัญหาได้เช่นเดียวกัน เพราะผู้ที่อยู่ในระยะ 20-30 เมตรของอุปกรณ์สามารถเชื่อมต่อเข้าอุปกรณ์ได้ง่ายนั่นเอง โดยอุปกรณ์ชิ้นแรกๆที่ถูกพุ่งเป้าหมายในการโจมตีคืออุปกรณ์ลำโพงอัจฉริยะ ที่สามารถเป็นทั้งตัวรับเสียงไมคโครโฟน และตัวกระจายเสียงนั่นเอง เมื่อนำอุปกรณ์เหล่านี้มาไว้ในที่ส่วนตัว ก็อาจจะถูกดักฟังเสียงได้เช่นเดียวกัน ฉะนั้นการตรวจให้แน่ใจว่าอุปกรณ์ไม่ได้มีการเปิดให้ค้นเจออยู่ตลอด จะช่วยป้องกันการถูกแฮกเกอร์เข้ามาได้นั่นเอง

ความเป็นส่วนตัวที่เปลี่ยนไป

สิ่งที่ปฏิเสธความสะดวกสบายของอุปกรณ์ IoT ที่เริ่มจะรู้ใจเราไปทุกเรื่อง เช่น อากาศร้อนก็ช่วยเปิดแอร์ ฟ้ามืดก็ช่วยเปิดไฟ นมในตู้เย็นหมดก็ช่วยสั่งจากร้านค้า หรือแม้กระทั่งตัวใจเต้นเร็วก็ช่วยเก็บข้อมูลไปให้แพทย์ประจำตัววินิจฉัยโลก เหล่านี้จะทำให้ความเป็นส่วนตัวของทุกคนเริ่มหมดไป ซึ่งเบื้องหลังของอุปกรณ์เหล่านี้คือผู้ให้บริการต่างๆนั่นเอง 

จะเป็นยังไงถ้าหากมีโปรโมชั่นข้าวผัดกะเพราไก่มาเสนอในแอพในวันที่ AI รู้ว่าเราไม่ทำอาหารเย็น จากการติดตามพฤติกรรมประจำวันของเรา หรือ โปรโมชั่นโปรแกรมตรวจเบาหวาน ในวันที่ระดับน้ำตาลในเลือดเราสูงกว่าค่าเฉลี่ยเป็นเวลานาน สิ่งเหล่านี้จะตามมาด้วยการเสียความเป็นส่วนตัว ซึ่งแลกมาด้วยอุปกรณ์ที่รู้ใจเราเก่งขึ้นนั่นเอง

สรุป

แม้ในวันนี้อินเตอร์เน็ตเป็นเสมือนอาหารที่ต้องได้รับมาในทุกวัน ซึ่งต่อไปอินเตอร์เน็ตและปัญญาประดิษฐ์อาจจะเปรียบเสมือนอากาศที่เราต้องหายใจเข้าออก ซึ่งอากาศนั้นมีทั้งอากาศดี และอากาศผสมมลพิษมากมาย เมื่อวันที่ Metaverse ค่อยๆคลานเข้ามาหาเรานั้น ก็เสมือนแฮกเกอร์ก็เริ่มขยับเข้าใกล้เรามากขึ้นเช่นเดียวกัน จึงเป็นโจทย์ท้าทายทั้งวิศวกรรมด้านระบบ และด้านความปลอดภัยที่ต้องพัฒนาต่อๆไปไม่มีสิ้นสุด

ซึ่งถ้าหากว่าผู้อ่านต้องการจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับโลก Metaverse และการพัฒนาด้านระบบ IoT กับทาง Prospace ก็สามารถแลกเปลี่ยน และฝากคำถามทางไอทีไว้กับเราได้ที่นี่ โดยที่ทางทีมงานและอาสาสมัครจะช่วยเข้ามาแลกเปลี่ยนตอบคำถามให้กับทุกท่านเลย

References :
Source1
Source2