วันศุกร์ที่ 11 สิงหาคม พ.ศ. 2566

เพิ่มความปลอดภัยด้วยการใช้งาน Passwordless และ Multi-Factor Authentication (MFA)

การพิสูจน์และยืนยันตัวตน (Authentication) เพื่อเข้าใช้งานระบบต่างๆ ในรูปแบบรหัสผ่าน (password) กันมานานมาก ในปัจจุบันนี้เรามักจะประสบปัญหาหลายๆเรื่องเกี่ยวกับ password ไม่ว่าจะเป็น

  • การใช้ password ที่ต้องมีความปลอดภัยสูง มีตัวเล็ก ตัวใหญ่ อักขระ ตัวเลข ยากต่อการจำ
  • การเปลี่ยน password ทุกๆ 90 วันตามนโยบายบริษัท หรือ ระบบที่ใช้งาน ก็ต้องคิดว่าจะใช้ password อะไรดี สุดท้ายจำไม่ได้ ก็วนซ้ำใช้ password เดิมๆไป
  • การที่ต้องมาจำหลายๆ password เวลาเราใช้งานหลายระบบ หลายแอฟพลิเคชั่น สุดท้ายก็ใช้ password เดียวทุกระบบ ถ้ามีใครทราบ password เรา ก็สามารถเข้าได้ทุกระบบ ทุกแอฟพลิเคชั่นที่เราใช้งานเลย


ในช่วงปี 2021-2022 เป็นต้นมา บริษัทอย่าง Microsoft บริษัทซอฟต์แวร์ที่ใหญ่ที่สุดในโลกได้ระบุว่าpassword นั้นคือสิ่งที่ สิ้นเปลือง” “ไม่ปลอดภัย” และ ไม่สะดวกสบายอย่างยิ่ง และยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วย


Passwordless คืออะไร ?

Passwordless หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง

Multi-Factor Authentication หมายถึงการยืนยันตัวตนโดยใช้หลายปัจจัยในการตรวจสอบนอกจาก Password เพียงอย่างเดียว เช่น One-Time Password (OTP) จาก SMS เป็นต้น


ตัวอย่างการใช้งาน Passwordless หรือ Multi-Factor Authentication

  • การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง
  • การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone
  • การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone
  • การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป



ซึ่งด้วยวิธีการใช้งานในแต่ละแบบก็มีระดับความปลอดภัยแตกต่างกันไป


 


ลองดูตัวอย่างการใช้งาน Passwordless หรือ Multi-Factor Authentication กันครับ


Facebook (Two-Factor Authentication)


ตัวอย่างนี้เราจะใช้ Authenticator Apps ของ Microsoft ซึ่งเราสามารถดาวน์โหลดได้บนมือถือ ทั้ง iOS และ Android

 



1.      ไปที่หน้า Setting
https://www.facebook.com/settings/


2.      เลือก Password and Security



3.      เลือก Password and Security > Two-Factor authentication




4.      เลือก Account และกดเครื่องหมาย “>”



5.      สามารถเลือกใช้ได้ แบบ

a.      Authentication app (Recommended)

b.     Text message (SMS)

c.      Security Keys

ในตัวอย่างนี้เราเลือกใช้แบบ Authentication app แล้วกด Next จะได้ Instruction มา โดยให้เราเปิด Microsoft Authenticator app แล้ว scan QR Code




6.      เปิด Microsoft Authenticator app บนมือถือ กด “+” แล้วเลือก “Other (Google, Facebook, etc.)” 



7.      Scan QR Code จากนั้น Facebook จะแสดงขึ้นมาบน App และมี Code ซึ่งจะ Random ไปทุกๆ 30 วินาที



8.      กลับมาที่หน้าจอ Facebook หลังจาก Scan QR Code เสร็๗ให้กด “Next” จากนั้นเราใส่ Code ที่ดูได้จาก Microsoft Authenticator app บนมือถือ เมื่อซักครู่ตาม Step 7 แล้วกด “Next”



9.      ใส่ Password ที่ใช้ Login Facebook อีกครั้ง กด “Submit” แล้วกด “Done” ก็เสร็จเรียบร้อย




ต่อจากนี้ไปเมื่อเราจะ Login เข้า Facebook หลังจากใส่รหัสผ่านแล้ว จะต้องใส่ Code ที่เปิดจาก Microsoft Authenticator app บนมือถือของเราอีกครั้ง เพื่อยืนยันว่าเป็นตัวเราแน่นอน ต่อให้มีคนรู้ Password เรา แต่เค้าก็ต้องใส่ Code ด้วย ที่มีอยู่ใน App บนมือถือเรา ดังนั้นตราบใดที่มือถืออยู่กับเรา ก็จะไม่มีใครรู้ Code และเข้างาน Facebook เราได้นั่นเอง


Google (2-Step Verification via SMS)


ตัวอย่างนี้เราจะใช้ Multi-Factor Authentication (MFA) แบบ SMS 

1.      ไปที่ My Account บน Gmail
https://myaccount.google.com/


2.      เลือก Security > 2-Step Verification



3.      เลือก “Get started” และในตัวอย่างนี้เลือกเป็น “Text message or voice call” แล้วกด “CONTINUE”



4.      ใส่เบอร์โทรศัพท์ เลือก “text message” แล้วกด “SEND” จากนั้นกรอกรหัสทีได้มาจาก SMS บนมือถือ แล้วกด “NEXT”   

  


5.      กด “TURN ON”



6.      สังเกตว่า Gmail จะมีการเปิด 2-Step Verification ด้วย Google prompt และ 2-Step Verification phones (เรายังสามารถใช้แบบอื่นๆได้ตามที่มีให้เลือกด้านล่างเพิ่มเติม



7.      ลองทดสอบ Sign-in เข้า Gmail หลังจากใส่ Password ก็จะมีให้เลือก 2-Step Verification


8.      เลือก Option ที่ต้องการ Verification



a.   ถ้าเลือก “Tap Yes on your phone or tablet” สามารถกด “Yes, it’s me” ได้เลย 



b.   ถ้าเลือก “Get a verification code at *** *** ***” สามารถนำ Code จาก SMS ได้ที่รับบนมือถือมาใส่ได้เลย




หรือถ้าเป็นบัญชีของ Microsoft เอง เราสามารถทำเป็น Passwordless ได้เลย โดยเข้าไปที่ Microsoft Account หน้า Security
https://account.live.com/proofs/manage/additional?mkt=en-US&refd=account.microsoft.com&refp=security



สามารลองดูวิธีการเปิดใช้งาน passwordless บน microsoft account ได้ที่นี่เลยครับ


ก็หวังว่าบทความนี้จะเป็นประโยชน์กับทุกท่านนะครับ ขอบคุณครับ


Reference :

เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)