ที่ซึ่งการรับรองความถูกต้องด้วยสองปัจจัยสั้นลง
เผยแพร่แล้ว: 2021-01-26นักออกแบบเว็บไซต์มักถูกโจมตีด้วยคำแนะนำด้านความปลอดภัย เราได้รับแจ้งเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด ช่องโหว่ด้านความปลอดภัย และแพตช์ที่จำเป็น ก็เพียงพอที่จะทำให้หัวของคุณหมุน
แน่นอนว่าทั้งหมดนี้มีความสำคัญและมีความหมายดี การรักษาความปลอดภัยออนไลน์เป็นเป้าหมายที่เคลื่อนไหวอยู่ตลอดเวลา ซึ่งแม้แต่ผู้เล่นรายใหญ่ที่สุดก็ยังอ่อนไหว ดังนั้นจึงขึ้นอยู่กับเราที่จะติดตามการพัฒนาล่าสุด
การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นหนึ่งในเทคโนโลยีที่ได้รับการขนานนามมากที่สุดในการรักษาบัญชีออนไลน์ให้ปลอดภัย คุณเห็นว่ามันถูกนำไปใช้ทุกที่ตั้งแต่การธนาคารไปจนถึงโซเชียลมีเดีย และสามารถติดตั้งบนเว็บไซต์ของคุณเองได้อย่างง่ายดายเช่นกัน
แม้ว่า 2FA จะมีประสิทธิภาพในการขัดขวางการเข้าถึงบัญชีของเราโดยไม่ได้รับอนุญาต แต่ก็มีข้อเสียที่สำคัญบางประการเช่นกัน เมื่อเร็ว ๆ นี้ฉันมีประสบการณ์นี้โดยตรง ต่อไปนี้คือการดูว่าเกิดอะไรขึ้นและความยุ่งเหยิงที่มันช่วยสร้าง
การใช้งานที่แตกต่างกันระหว่างผู้ให้บริการ – ด้วยเธรดเดียว
เช่นเดียวกับเทคโนโลยีอื่น ๆ การรับรองความถูกต้องด้วยสองปัจจัยสามารถทำได้หลายวิธี ผู้ใช้อาจตรวจสอบสิทธิ์ผ่านข้อความ SMS อีเมล หรือรหัสยืนยันจากแอป เช่น Google Authenticator พวกเขายังอาจเลือกรูปภาพที่เชื่อถือได้ซึ่งแสดงเมื่อมีการเข้าสู่ระบบแต่ละครั้ง เพื่อให้แน่ใจว่าไม่ได้อยู่บนไซต์ฟิชชิ่ง
บางครั้งผู้ให้บริการจะให้ทางเลือกแก่คุณ แต่บ่อยครั้งที่คุณติดอยู่กับวิธีการที่พวกเขาเสนอ ยิ่งคุณปกป้องบัญชีผ่าน 2FA มากเท่าไหร่ ทั้งหมดนี้ก็ยิ่งซับซ้อนมากขึ้นเท่านั้น
ตัวอย่างเช่น สถานที่มากมายใช้ข้อความ SMS สำหรับโทรศัพท์ของคุณ แต่แล้วอีกครั้งบางคนก็ต้องการแอปตรวจสอบสิทธิ์นั้นด้วย ส่วนคนอื่นๆ ก็จะมีความเห็นที่แตกต่างออกไป ความท้าทายคือการพยายามติดตามว่าใครใช้เทคโนโลยีใด และทำให้แน่ใจว่าคุณมีเครื่องมือที่เหมาะสมในมือ
แต่ดูเหมือนว่าวิธีการส่วนใหญ่จะมีความคล้ายคลึงกันเพียงประการเดียว: พวกเขาพึ่งพาอุปกรณ์มือถือของคุณในการทำงาน ที่แน่ใจว่าสะดวก ถ้าเกิดอะไรขึ้นกับอุปกรณ์นั้นล่ะ?
โทรศัพท์ที่ล้มเหลวนำไปสู่ความโกลาหล
นี่คือสถานการณ์ที่ฉันเผชิญ เนื่องจากการเชื่อมต่อข้อมูลมือถือบนโทรศัพท์ Android ของฉันยุ่งเหยิง ข้อความล่าช้าเป็นชั่วโมงหรือไม่มีการส่งเลย สมาชิกในครอบครัวที่อาศัยอยู่ในบ้านหลังเดียวกันและในเครือข่ายเดียวกันได้รับข้อความของพวกเขาเป็นอย่างดี นั่นทำให้ฉันเชื่อว่านี่เป็นความล้มเหลวของฮาร์ดแวร์
เช่นเดียวกับที่ประสบในสถานการณ์นี้ ฉันได้ลองวิธีแก้ไขหลายอย่าง ซึ่งรวมถึง "ตัวเลือกนิวเคลียร์" ที่น่ากลัวของการรีเซ็ตโทรศัพท์เป็นค่าเริ่มต้นจากโรงงาน มันคุ้มค่าที่จะลองใช่ไหม
ปัญหาที่นี่เป็นสองเท่า ประการแรก ปัญหาการส่งข้อความไม่ได้รับการแก้ไข ที่แย่กว่านั้นคือมันนำฉันออกจากบัญชีต่างๆ ทั้งหมดของฉัน Google, Facebook, Twitter และอื่น ๆ ล้วนแล้วแต่ถูกโจมตี อาจจะดีกว่าสำหรับสุขภาพจิตของฉัน แต่อาจไม่ดีสำหรับการทำงาน/การเล่น
การพยายามกลับเข้าสู่ระบบแต่ละบัญชีเหล่านี้ไม่ใช่เรื่องง่าย ทำไม? เพราะ 2FA แน่นอน
Google นั้นแข็งแกร่งเป็นพิเศษ เนื่องจากมีเพียงสองตัวเลือกที่มอบให้ฉันเท่านั้นที่ผูกติดอยู่กับโทรศัพท์ของฉัน มันต้องการส่งข้อความถึงฉัน แต่นั่นไม่ได้ผล และพวกเขายังอนุญาตให้ใช้รหัส Google Authenticator นี่คงจะดีมาก แต่ฉันต้องลงชื่อเข้าใช้บัญชี Google ของฉันเพื่อที่คุณจะได้เข้าถึงรหัส
วิธีแก้ปัญหาคือให้บูทคอมพิวเตอร์เดสก์ท็อปของฉันในที่สุดและปิด 2FA สำหรับ Google ชั่วคราว (พวกเขาไม่ชอบสิ่งนี้ จริงๆ ) โล่งใจ ฉันได้ Gmail กลับมาแล้ว
เพื่อความสนุกยิ่งขึ้นไปอีก ฉันต้องทำซ้ำขั้นตอนเดียวกันกับบัญชีอื่นๆ น่าแปลกที่ฉันไม่สามารถเข้าถึงบริการธนาคารออนไลน์ผ่านเดสก์ท็อปได้ เนื่องจากต้องอาศัยการยืนยันทาง SMS อย่างไรก็ตาม ฉันสามารถใช้โทรศัพท์ได้เพราะไม่มีข้อกำหนดดังกล่าว แค่คิดเกี่ยวกับเรื่องนี้ก็ทำให้เหงื่อออกอย่างเย็นชา
แน่นอน สถานการณ์ของฉันไม่เหมือนใคร ใครก็ตามที่ไม่มีการเข้าถึงอุปกรณ์มือถือสามารถอยู่ในเรือลำเดียวกันได้อย่างง่ายดาย
บทเรียนที่ได้รับ
ความผิดหวังที่เกี่ยวข้องกับ 2FA สามารถเป็นประโยชน์ในขณะที่สอนได้ พวกเราที่สร้างเว็บไซต์เพื่อการดำรงชีวิตมักจะตบหลังตัวเองเพื่อเพิ่มความปลอดภัย – และถูกต้อง แต่การนำเทคโนโลยีนี้มาใช้ในตัวของมันเองไม่ใช่จุดสิ้นสุดของภารกิจของเรา
แต่ต้องใช้ความคิดที่จริงจัง ต่อไปนี้คือสิ่งที่ควรคำนึงถึงก่อนเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยในเว็บไซต์ของคุณ:
2FA ไม่จำเป็นต้องเป็นข้อกำหนดโดยไม่จำเป็น
เป็นการดึงดูดที่จะบังคับให้ผู้ใช้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย และในสถานการณ์ที่มีความเสี่ยงสูงบางอย่างก็สมเหตุสมผล
แต่สำหรับไซต์ส่วนใหญ่ คุณอาจพิจารณาใช้ข้อกำหนดรหัสผ่านที่เข้มงวดแทน ตัวอย่างเช่น หากคุณใช้งานเว็บไซต์สมาชิกที่ไม่มีความลับใดๆ 2FA อาจเป็นทางเลือก แต่บางทีคุณอาจขอให้ผู้ใช้เปลี่ยนรหัสผ่านทุกๆ หกเดือน
ผู้ใช้มีความยุ่งยากน้อยลงเล็กน้อยและหวังว่าจะมีการสนับสนุนน้อยลงสำหรับคุณ และอย่าลืมเกี่ยวกับการเข้าถึง แม้จะมีการสันนิษฐาน แต่ไม่ใช่ทุกคนที่จะเข้าถึงอุปกรณ์ได้หลายเครื่อง
ให้ทางเลือก
แม้ว่าในแง่ของการบำรุงรักษาอาจเป็นเรื่องยาก แต่การนำเสนอ 2FA มากกว่าหนึ่งวิธีอาจเป็นประโยชน์ ผู้ใช้สามารถเลือกรสชาติที่เหมาะกับตนเองได้มากที่สุด หรือแม้เพียงนิดเดียว พวกเขาสามารถเปลี่ยนแปลงสิ่งที่พวกเขาใช้อยู่ได้หากอุปกรณ์มือถือของพวกเขาไม่สามารถใช้งานได้
อย่างน้อยที่สุด อย่างน้อยก็เสนอวิธีง่ายๆ ให้ผู้คนติดต่อคุณหากพวกเขาประสบปัญหา เป็นเรื่องที่น่าผิดหวังอย่างยิ่งเมื่อคุณไม่สามารถเข้าถึงบัญชีของคุณและไม่มีใครช่วยเหลือได้
คาดหวังความท้าทายบางอย่าง
เป็นไปได้ที่จะทำทุกอย่างให้ถูกต้องและยังคงพบผู้ใช้ที่มีปัญหาในการเข้าสู่ระบบ ตัวอย่างเช่น การใช้งาน 2FA บางอย่างเสนอรหัสสำรองแบบใช้ครั้งเดียว เหมาะสำหรับเวลาที่วิธีการรับรองความถูกต้องที่คุณเลือกใช้ไม่ได้ผล
อย่างไรก็ตาม ไม่ใช่ทุกคนที่จะใช้เวลาในการบันทึกหรือพิมพ์รหัสเหล่านี้ (ฉันแน่ใจว่าไม่ได้ทำ) ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเตรียมรับมือกับปัญหาที่จะเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้
การตรวจสอบสิทธิ์แบบสองปัจจัยมีประโยชน์ แต่ยังห่างไกลจากความสมบูรณ์แบบ
ทั้งหมดบอกว่ามีเหตุผลมากมายที่จะชอบ 2FA สามารถใช้งานได้ค่อนข้างง่าย และช่วยป้องกันการเข้าถึงข้อมูลผู้ใช้โดยไม่ได้รับอนุญาต และมีหลายวิธีให้เลือกใช้
มันไม่ได้ไม่มีข้อบกพร่องแม้ว่า อย่างที่ฉันรู้ โทรศัพท์ที่ว่องไวอาจทำให้เกิดปัญหาได้มากมาย การไม่สามารถลงชื่อเข้าใช้บัญชีที่สำคัญที่สุดของคุณทำให้ชีวิตของคุณหยุดชะงัก ลองนึกภาพไม่สามารถเข้าถึงบัญชีธนาคารของคุณหรือแม้แต่ผู้ให้บริการโทรศัพท์มือถือของคุณ
ดังนั้น ให้เพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยไปยังเว็บไซต์และแอปของคุณ แต่วางแผนล่วงหน้าและพยายามทำให้กระบวนการนี้ไม่เจ็บปวดสำหรับผู้ใช้ คุณสามารถคาดหวังสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้น – อย่าคาดหวังปาฏิหาริย์