การยืนยันตัวตนสองชั้น เข้าใจง่าย ๆ

การยืนยันตัวตนสองชั้นคือการตั้งค่าด้านความปลอดภัยที่ให้ผลลัพธ์มากที่สุดเพียงรายการเดียว แต่คนส่วนใหญ่ยังไม่ใช้ ตัวเลขที่ Microsoft เผยแพร่ระบุว่ามันช่วยบล็อกการยึดบัญชีอัตโนมัติได้กว่า 99% แต่มันกลับถูกมองว่ายุ่งยาก — ส่วนหนึ่งเป็นเพราะสามรูปแบบที่พบบ่อย ("รหัส SMS", "แอปยืนยันตัวตน", "คีย์ความปลอดภัย") มักถูกพูดเหมือนว่าใช้แทนกันได้ แต่จริง ๆ ไม่ใช่ ต่อไปนี้คือเวอร์ชันใช้งานจริง

จริง ๆ แล้ว 2FA ทำอะไร

รหัสผ่านรั่วไหลตลอดเวลา ทั้งฐานข้อมูลถูกเจาะ หน้าฟิชชิ่ง มัลแวร์เบราว์เซอร์ การใช้รหัสซ้ำ — มีหลายทางมากที่รหัสของคุณจะไปลงเอยในสเปรดชีตของใครบางคน 2FA เพิ่มชั้นตรวจสอบที่สองซึ่งผูกกับสิ่งที่คุณมี ไม่ใช่แค่สิ่งที่คุณรู้ ผู้โจมตีที่ขโมยรหัสผ่านของคุณยังต้องขโมยปัจจัยที่สองนั้นแบบเรียลไทม์บนอุปกรณ์เดียวกัน — ยากกว่ามาก

SMS 2FA

รหัสหกหลักมาทางข้อความ คุณพิมพ์มันลงไป ใช้ง่ายที่สุดเพราะโทรศัพท์ทุกเครื่องมีอยู่แล้ว และด้วยเหตุผลเดียวกันมันจึงเป็นพื้นความปลอดภัยขั้นต่ำที่ยอมรับได้: เพียงพอที่จะหยุดบอท credential-stuffing แต่เปราะบางต่อการโจมตี SIM-swap (ผู้โจมตีโน้มน้าวผู้ให้บริการให้ย้ายเบอร์ของคุณ) และการดักฟัง SMS เงียบ ๆ บนเครือข่ายที่อ่อนแอ

เหมาะกับ: บัญชีคุณค่าต่ำที่คุณไม่อยากติดตั้งแอปเพิ่ม ฟอรัม เว็บไซต์ช้อปปิ้ง รายชื่อเมล

ไม่เหมาะกับ: อีเมล ธนาคาร พอร์ทัลของรัฐ และอะไรก็ตามที่ควบคุมบัญชีอื่น ๆ

แอปยืนยันตัวตน (TOTP)

แอปอย่าง Google Authenticator, 1Password, Bitwarden และ Authy สร้างรหัสหกหลักใหม่ทุก 30 วินาที จากค่าลับที่เก็บไว้บนอุปกรณ์ของคุณเท่านั้น ไม่มี SMS ไม่มีผู้ให้บริการมือถือเกี่ยวข้อง — รหัสทำงานออฟไลน์ การโจมตีฟิชชิ่งที่ดักรหัสผ่านพร้อมรหัสหนึ่งครั้งยังใช้ได้อยู่ แต่ SIM-swap หมดความเกี่ยวข้องแล้ว

เคล็ดลับติดตั้ง: เมื่อเว็บแสดงคิวอาร์โค้ดให้ เก็บค่า seed ตัวอักษรไว้คู่กันด้วย (แอปยืนยันตัวตนส่วนใหญ่ส่งออกได้) ถ้าคุณทำโทรศัพท์หายโดยไม่มี seed และไม่มีรหัสกู้คืน คุณจะต้องรีเซ็ตทุกบัญชีตั้งแต่ต้น

เหมาะกับ: เกือบทุกอย่าง ผู้ให้บริการอีเมลส่วนใหญ่ แพลตฟอร์มโซเชียล ศูนย์แลกเปลี่ยนคริปโต และเครื่องมือนักพัฒนาต่างรองรับ TOTP และฟรี

คีย์ความปลอดภัย (FIDO2 / WebAuthn / passkey)

คีย์ USB หรือ NFC (YubiKey, Titan และเมื่อเร็ว ๆ นี้ยังมี "passkey" ใน keychain ของ iOS และ Android) ที่ลงนาม login challenge ด้วยวิทยาการเข้ารหัส ที่สำคัญคือมันผูกกับโดเมนของเว็บ — หน้าฟิชชิ่งที่หน้าตาเหมือนของจริงทุกประการจะไม่มีทางได้ลายเซ็น นี่เป็นวิธี 2FA ที่ใช้ทั่วไปวิธีเดียวที่เอาชนะฟิชชิ่งที่ทำมาดีได้

เหมาะกับ: อีเมลหลัก ตัวจัดการรหัสผ่าน อะไรก็ตามที่คุณเสียไปไม่ได้ ซื้อสองตัว ลงทะเบียนทั้งคู่ และเก็บตัวหนึ่งในลิ้นชัก

เบอร์ชั่วคราวเข้ามาตรงไหน

เบอร์ SMS ชั่วคราวยอดเยี่ยมสำหรับขั้น สมัครครั้งแรกแต่ไม่เหมาะสำหรับ SMS 2FA ต่อเนื่อง — เพราะเมื่อถึงเวลาคุณต้องรับรหัสอีกครั้ง เบอร์นั้นถูกส่งกลับเข้าพูลไปแล้ว แนวปฏิบัติที่ดี: สมัครด้วยเบอร์ชั่วคราว แล้วตั้ง TOTP ในการตั้งค่าความปลอดภัยของบัญชีทันที และเก็บรหัสกู้คืนไว้ที่ปลอดภัย จากนั้นเบอร์ชั่วคราวจะหายไปก็ได้

รหัสกู้คืนสมควรถูกพูดถึง

หน้าจอตั้งค่า 2FA แทบทุกแห่งจะให้รายการรหัสกู้คืนแบบใช้ครั้งเดียว พิมพ์เก็บไว้หรือบันทึกในตัวจัดการรหัสผ่าน เพราะนั่นคือวิธีที่คุณจะกลับเข้าได้ถ้าเสียอุปกรณ์ทุกชิ้น อย่าข้ามขั้นนี้ — การกู้บัญชีโดยไม่มีรหัสมักต้องใช้เอกสารแสดงตนซึ่งกินเวลาเป็นสัปดาห์

คำแนะนำสั้น ๆ

• อีเมลและตัวจัดการรหัสผ่าน: คีย์ความปลอดภัยก่อน TOTP เป็นสำรอง
• ธนาคาร โบรกเกอร์ ศูนย์แลกเปลี่ยน: ใช้ระดับสูงสุดที่เขาเสนอ
• โซเชียล เครื่องมือนักพัฒนา SaaS งาน: TOTP
• ฟอรัมสุ่มที่ขอเบอร์โทร: SMS ชั่วคราว แล้วต่อด้วย TOTP หลังสมัคร