รูปแบบที่แตกต่างกันของ SMS การตรวจสอบสิทธิ์แบบสองปัจจัย, แอป Autheticator และอื่น ๆ

บริการออนไลน์จำนวนมากให้การรับรองความถูกต้องด้วยสองปัจจัยซึ่งช่วยเพิ่มความปลอดภัยโดยการใช้มากกว่ารหัสผ่านของคุณในการลงชื่อเข้าใช้มีวิธีการรับรองความถูกต้องเพิ่มเติมหลายประเภทที่คุณสามารถใช้ได้.

บริการที่แตกต่างกันเสนอวิธีการรับรองความถูกต้องด้วยสองปัจจัยที่แตกต่างกันและในบางกรณีคุณสามารถเลือกได้จากตัวเลือกที่ต่างกัน นี่คือวิธีการทำงานและความแตกต่าง.

การยืนยันทาง SMS

บริการจำนวนมากอนุญาตให้คุณลงทะเบียนเพื่อรับข้อความ SMS ทุกครั้งที่คุณลงชื่อเข้าใช้บัญชีของคุณ ข้อความ SMS นั้นจะมีรหัสแบบใช้ครั้งเดียวสั้น ๆ ที่คุณจะต้องป้อน ด้วยระบบนี้โทรศัพท์มือถือของคุณจะถูกใช้เป็นวิธีการรับรองความถูกต้องที่สอง บางคนไม่สามารถเข้าสู่บัญชีของคุณหากพวกเขามีรหัสผ่านของคุณ - พวกเขาต้องการรหัสผ่านของคุณและเข้าถึงโทรศัพท์หรือข้อความ SMS.

สะดวกมากเพราะคุณไม่จำเป็นต้องทำอะไรเป็นพิเศษและคนส่วนใหญ่มีโทรศัพท์มือถือ บริการบางอย่างแม้จะกดหมายเลขโทรศัพท์และมีระบบอัตโนมัติพูดรหัสช่วยให้คุณสามารถใช้กับหมายเลขโทรศัพท์พื้นฐานที่ไม่สามารถรับข้อความ.

อย่างไรก็ตามมีปัญหาใหญ่ในการยืนยันทาง SMS ผู้โจมตีสามารถใช้การโจมตีของ swap swap ในการเข้าถึงรหัสที่ปลอดภัยของคุณหรือขัดขวางพวกเขาด้วยข้อบกพร่องในเครือข่ายโทรศัพท์เคลื่อนที่ เราไม่แนะนำให้ใช้ข้อความ SMS หากเป็นไปได้ อย่างไรก็ตามข้อความ SMS ยังคงมีความปลอดภัยมากกว่าการไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยใด ๆ เลย!

รหัสที่สร้างโดยแอป (เช่น Google Authenticator และ Authy)

คุณยังสามารถสร้างรหัสของคุณโดยแอปในโทรศัพท์ของคุณ แอพที่เป็นที่รู้จักมากที่สุดที่ทำเช่นนี้คือ Google Authenticator ซึ่ง Google นำเสนอสำหรับ Android และ iPhone อย่างไรก็ตามเราชอบ Authy ซึ่งทำทุกอย่างที่ Google Authenticator ทำและอื่น ๆ อีกมากมาย แม้จะมีชื่อแอปเหล่านี้ใช้มาตรฐานแบบเปิด ตัวอย่างเช่นเป็นไปได้ที่จะเพิ่มบัญชี Microsoft และบัญชีประเภทอื่น ๆ ลงในแอป Google Authenticator.

ติดตั้งแอพสแกนรหัสเมื่อตั้งค่าบัญชีใหม่และแอพนั้นจะสร้างรหัสใหม่ทุก ๆ 30 วินาที คุณจะต้องป้อนรหัสปัจจุบันที่แสดงในแอพในโทรศัพท์ของคุณเช่นเดียวกับรหัสผ่านเมื่อลงชื่อเข้าใช้บัญชี.

สิ่งนี้ไม่ต้องการสัญญาณโทรศัพท์มือถือเลยและ "เมล็ดพันธุ์" ที่อนุญาตให้แอปสร้างรหัสที่ จำกัด เวลาเหล่านั้นจะถูกเก็บไว้ในอุปกรณ์ของคุณเท่านั้น ซึ่งหมายความว่ามีความปลอดภัยมากขึ้นแม้กระทั่งคนที่เข้าถึงหมายเลขโทรศัพท์ของคุณหรือดักข้อความของคุณจะไม่ทราบรหัสของคุณ.

ตัวอย่างบริการบางอย่าง Battle.net Authenticator ของ Blizzard มีแอพสร้างรหัสเฉพาะของตนเอง.

คีย์การรับรองความถูกต้องทางกายภาพ

คีย์การรับรองความถูกต้องทางกายภาพเป็นอีกตัวเลือกหนึ่งที่เริ่มเป็นที่นิยมมากขึ้น บริษัท ขนาดใหญ่จากภาคเทคโนโลยีและการเงินกำลังสร้างมาตรฐานที่รู้จักกันในชื่อ U2F และเป็นไปได้ที่จะใช้โทเค็น U2F จริงเพื่อรักษาความปลอดภัยบัญชี Google, Dropbox และ GitHub ของคุณ นี่เป็นเพียงคีย์ USB ขนาดเล็กที่คุณใส่ไว้กับพวงกุญแจของคุณ เมื่อใดก็ตามที่คุณต้องการลงชื่อเข้าใช้บัญชีของคุณจากคอมพิวเตอร์เครื่องใหม่คุณจะต้องใส่คีย์ USB และกดปุ่มบน แค่นั้นแหละไม่มีรหัสการพิมพ์ ในอนาคตอุปกรณ์เหล่านี้ควรทำงานร่วมกับ NFC และบลูทู ธ สำหรับการสื่อสารกับอุปกรณ์พกพาที่ไม่มีพอร์ต USB.

โซลูชันนี้ทำงานได้ดีกว่าการตรวจสอบ SMS และรหัสใช้ครั้งเดียวเพราะไม่สามารถดักจับและใช้งานได้ นอกจากนี้ยังง่ายกว่าและสะดวกกว่าในการใช้ ตัวอย่างเช่นไซต์ฟิชชิงสามารถแสดงหน้าเข้าสู่ระบบ Google ปลอมและจับรหัสใช้ครั้งเดียวของคุณเมื่อคุณพยายามเข้าสู่ระบบจากนั้นพวกเขาสามารถใช้รหัสนั้นเพื่อเข้าสู่ระบบ Google แต่ด้วยคีย์การรับรองความถูกต้องทางกายภาพที่ทำงานร่วมกับเบราว์เซอร์ของคุณเบราว์เซอร์สามารถมั่นใจได้ว่ามันกำลังสื่อสารกับเว็บไซต์จริงและไม่สามารถจับรหัสได้โดยผู้โจมตี.

คาดว่าจะเห็นสิ่งเหล่านี้มากขึ้นในอนาคต.

การรับรองความถูกต้องของแอป

แอพมือถือบางตัวอาจให้การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้แอพนั้นเอง ตัวอย่างเช่นขณะนี้ Google มีการรับรองความถูกต้องแบบสองปัจจัยโดยไม่ใช้โค้ดตราบใดที่คุณมีแอป Google ติดตั้งในโทรศัพท์ของคุณ เมื่อใดก็ตามที่คุณพยายามลงชื่อเข้าใช้ Google จากคอมพิวเตอร์หรืออุปกรณ์อื่นคุณเพียงแค่ต้องแตะปุ่มบนโทรศัพท์ของคุณโดยไม่ต้องใช้รหัส Google กำลังตรวจสอบเพื่อให้แน่ใจว่าคุณสามารถเข้าถึงโทรศัพท์ของคุณก่อนที่คุณจะพยายามเข้าสู่ระบบ.

การตรวจสอบสองขั้นตอนของ Apple ทำงานในลักษณะเดียวกันแม้ว่าจะไม่ได้ใช้แอพ แต่ก็ใช้ระบบปฏิบัติการ iOS ของตัวเอง เมื่อใดก็ตามที่คุณพยายามเข้าสู่ระบบจากอุปกรณ์ใหม่คุณสามารถรับรหัสแบบใช้ครั้งเดียวที่ส่งไปยังอุปกรณ์ที่ลงทะเบียนเช่น iPhone หรือ iPad ของคุณ แอพมือถือของ Twitter มีคุณสมบัติคล้ายกันที่เรียกว่าการยืนยันการเข้าสู่ระบบเช่นกัน และ Google และ Microsoft ได้เพิ่มคุณสมบัตินี้ในแอพสมาร์ทโฟน Google และ Microsoft Authenticator.

ระบบอีเมล์

บริการอื่น ๆ พึ่งพาบัญชีอีเมลของคุณเพื่อตรวจสอบสิทธิ์คุณ ตัวอย่างเช่นหากคุณเปิดใช้งาน Steam Guard Steam จะแจ้งให้คุณป้อนรหัสแบบใช้ครั้งเดียวที่ส่งถึงอีเมลของคุณทุกครั้งที่คุณลงชื่อเข้าใช้จากคอมพิวเตอร์เครื่องใหม่ อย่างน้อยนี่ทำให้มั่นใจได้ว่าผู้โจมตีจะต้องใช้รหัสผ่านบัญชี Steam ของคุณและเข้าถึงบัญชีอีเมลของคุณเพื่อเข้าถึงบัญชีนั้น.

วิธีนี้ไม่ปลอดภัยเท่ากับวิธีการยืนยันสองขั้นตอนอื่น ๆ เนื่องจากอาจเป็นเรื่องง่ายสำหรับคนที่จะเข้าถึงบัญชีอีเมลของคุณโดยเฉพาะถ้าคุณไม่ได้ใช้การยืนยันแบบสองขั้นตอน! หลีกเลี่ยงการยืนยันทางอีเมลหากคุณสามารถใช้สิ่งที่แข็งแกร่งกว่า (โชคดีที่ Steam ให้การรับรองความถูกต้องตามแอปในแอปมือถือ)

ทางเลือกสุดท้าย: รหัสกู้คืน

รหัสการกู้คืนจะให้ความปลอดภัยในกรณีที่คุณสูญเสียวิธีการตรวจสอบสิทธิ์แบบสองปัจจัย เมื่อคุณตั้งค่าการตรวจสอบความถูกต้องด้วยสองปัจจัยคุณจะได้รับรหัสกู้คืนที่คุณควรจดบันทึกและเก็บไว้ในที่ปลอดภัย คุณจะต้องใช้พวกเขาหากคุณสูญเสียวิธีการยืนยันสองขั้นตอน.

ตรวจสอบให้แน่ใจว่าคุณมีสำเนารหัสกู้คืนที่ใดที่หนึ่งถ้าคุณใช้การรับรองความถูกต้องสองขั้นตอน.

คุณจะไม่พบตัวเลือกมากมายนี้สำหรับแต่ละบัญชีของคุณ อย่างไรก็ตามบริการจำนวนมากเสนอวิธีการตรวจสอบสองขั้นตอนหลายวิธีที่คุณสามารถเลือกได้.

นอกจากนี้ยังมีตัวเลือกในการใช้วิธีการรับรองความถูกต้องด้วยสองปัจจัยหลายวิธี ตัวอย่างเช่นหากคุณตั้งค่าทั้งแอปที่สร้างรหัสและคีย์ความปลอดภัยทางกายภาพคุณสามารถเข้าถึงบัญชีของคุณผ่านแอพได้หากคุณทำฟิสิคัลคีย์สูญหาย.