เมื่อการรับรหัสยืนยัน OTP ผ่านทาง SMS นั้นไม่ปลอดภัยอีกต่อไป?

1

ปัจจุบันเรามักจะได้ใช้การยืนยันตนสองขั้นตอนกันมากขึ้น  อย่างเช่นเวลาเราล็อกอินเข้า Gmail แล้วต้องไปเอารหัสจากบนมือถือมาใส่  หรืออย่างการทำธุรกรรมต่างๆ ผ่าน Internet Banking ที่ต้องใช้รหัสที่ส่งมายังโทรศัพท์มากรอกเพื่อยืนยันตนอีกขั้นเสมอๆ

วิธีการรับรหัสยืนยัน (หรือที่เรียกว่า One Time Password – OTP) นั้นสามารถทำได้หลายทาง  ตั้งแต่การใช้อุปกรณ์สร้างรหัสเฉพาะ, สร้างรหัสผ่านแอพ, การโทรเข้ามาบอกรหัส, หรือที่นิยมที่สุดอย่างหนึ่งนั่นคือการรับรหัสด้วย SMS ซึ่งจะช่วยเพิ่มความปลอดภัยเข้าไปได้อีกชั้นหนึ่ง  เพราะเป็นการยืนยันว่าเรา (ที่สามารถไปเปิดดูรหัสยืนยันได้) นั้นเป็นคนที่กำลังล็อกอินอยู่จริงๆ

อย่างไรก็ดี  ล่าสุดทาง สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standards and Technology – NIST) ได้ออกแบบร่างว่าด้วยเรื่องของแนวทางการทำระบบยืนยันตนแบบดิจิตอล  ซึ่งตอนหนึ่งในแบบร่างนี้ได้กล่าวไว้การยืนยันตนสองขั้นตอนด้วย SMS นั้นไม่ปลอดภัย  และสมควรถูกห้ามใช้ในอนาคต

ปัญหาความปลอดภัยของ SMS

ทาง NIST ได้ให้เหตุผลไว้ว่าแม้ว่าจะส่ง SMS ไปยังเบอร์ผู้ใช้แล้ว  แต่ทางเว็บก็ไม่มีทางรู้ได้เลยว่า SMS นั้นไปถึงผู้ใช้ที่เป็นเจ้าของบัญชีจริงหรือไม่  โดยเฉพาะกับระบบโทรศัพท์แบบ VoIP ที่มีผู้ให้บริการจำนวนหนึ่งที่เปิดช่องให้สามารถดักข้อความ SMS ที่ส่งมายังเบอร์โทรแบบ VoIP ได้

อีกทั้งช่องโหว่ในการออกแบบโปรโตคอล SS7 (Signalling System Number 7) ที่ใช้ในการโอนคู่สายในระบบเครื่องข่ายโทรศัพท์  ยังเปิดช่องให้แฮ็กเกอร์สามารถเปลี่ยนปลายทางของ SMS ที่ควรไปส่งไปยังเบอร์ของผู้ใช้  เป็นเบอร์ใดก็ตามที่ต้องการได้อีกด้วย

แนวทางการแก้ปัญหา

เนื่องจาก SMS นั้นเสี่ยงต่อความปลอดภัย  ทาง NIST จึงแนะนำให้ใช้แอพในการสร้างโค๊ดล็อกอิน  หรือใช้การยืนยันตนเชิงชีวภาพ (เช่นการสแกนม่านตา หรือลายนิ้วมือ) ในการยืนยันตนแทนการใช้ SMS ซึ่งปัจจุบันผู้ให้บริการต่างๆ ล้วนมีแอพในลักษณะนี้กันแล้ว (เช่น Google Authenticator หรือ Microsoft Account) รวมทั้งตัวระบบปฏิบัติการก็รองรับการยืนยันตัวตนด้วยข้อมูลเชิงชีวภาพด้วยเช่นกัน  อย่างเช่น Touch ID บน iPhone หรือระบบ Windows Hello บน Windows 10

ความเห็นของเรา

ทุกวันนี้ข้อมูลทุกอย่างของเรานั้นล้วนมีค่าทั้งสิ้นครับ  เพราะมันสามารถนำมาใช้ในการสืบไปหาข้อมูลอื่นๆ ได้เกือบทุกอย่าง  ซึ่งข้อมูลเหล่านี้สามารถเอาไปสร้างความเสียหายได้เยอะมาก  ตั้งแต่การสวมรอยใช้สิทธิ์ต่างๆ  ไปจนถึงการเข้าถึงธุรกรรมต่างๆ ของเรา  ดังนั้นแล้วการเปิดใช้งานระบบยืนยันสองขั้นตอนจึงเป็นเรื่องที่ทุกคนสมควรทำเป็นอย่างยิ่งครับ

และเมื่อพูดถึงแอพในการสร้างรหัส  ตอนนี้ผู้ให้บริการต่างๆ ล้วนมีแอพสำหรับสร้างรหัสของตัวเอง  เช่น Google Authenticator หรือตัว Code Generator ในแอพ Facebook ซึ่งช่วยอำนวยความสะดวกและปลอดภัยกว่าการใช้ SMS ในระดับหนึ่ง

หากแต่ผู้ใช้บางส่วนยังคนรู้สึกว่าการเปิดแอพ  ดูรหัสยืนยัน  แล้วนำมากรอกอีกรอบ  นั้นดูค่อนข้างจะยุ่งยาก  ทางผู้ให้บริการเองก็ทราบเรื่องนี้เช่นกัน  ในปัจจุบันจึงมีแอพยืนยันในลักษณะที่เป็นการเด้งหน้าต่างให้กดยืนยันในทีเดียว (เช่นแอพ Microsoft Account หรือ Battle.net รวมทั้งกูเกิลเองก็กำลังทำแอพในลักษณะเดียวกันนี้อยู่เช่นกัน) ซึ่งช่วยลดขั้นตอนและความยุ่งยากลงได้ระดับหนึ่งเลยทีเดียว

ที่มา – The Hacker News

About Author

บล็อกเกอร์ไอที คนทำเว็บ ทาสแมว ถ่ายรูปได้ เสพติดหนังและซีรี่ส์เป็นชีวิตจิตใจ