ในยุคแรกๆ ของการใช้คอมพิวเตอร์ การรับรองความถูกต้องนั้นเรียบง่าย แต่วิธีการก็ซับซ้อนขึ้นเรื่อยๆ เมื่อเวลาผ่านไป ตัวอย่างเช่น ระบบการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านสมัยใหม่อย่าง Kerberos จะไม่ส่งรหัสผ่านอีกต่อไป พวกเขาสร้างโทเค็นการรับรองความถูกต้องที่ส่งมาแทน
แต่ถึงแม้จะมีการปรับปรุงเหล่านี้ วิธีการตรวจสอบสิทธิ์โดยใช้ชื่อผู้ใช้และรหัสผ่านยังคงมีจุดอ่อนที่สำคัญ: หากมีคนเรียนรู้รหัสผ่านของผู้ใช้รายอื่น พวกเขาจะไม่สามารถแยกแยะได้จาก ผู้ใช้ที่แท้จริง และแม้ว่า Bill Gates จะคาดการณ์ว่ารหัสผ่านจะไม่สามารถใช้งานได้เมื่อเกือบ 20 ปีที่แล้ว แต่รหัสผ่านเหล่านี้ยังคงเป็นวิธีการตรวจสอบสิทธิ์เริ่มต้นสำหรับบริการต่างๆ ที่ทำงานและที่บ้าน
ย้อนกลับไปในเดือนธันวาคม 2022 PayPal ได้เตือนลูกค้าเกี่ยวกับ การเข้าถึงหลายบัญชีของบุคคลที่สามโดยไม่ได้รับอนุญาต ซึ่งอาจทำให้ข้อมูลส่วนบุคคลรั่วไหลได้ เหตุการณ์ดังกล่าวทำให้เกิดคำถามในทันทีเกี่ยวกับข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานของ PayPal และคำถาม เช่น เหตุใดจึงไม่บังคับใช้การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) โดยค่าเริ่มต้นสำหรับบริการที่ละเอียดอ่อนเช่น PayPal
ในเหตุการณ์ดังกล่าว สาเหตุหลักคือปัญหาทั่วไปที่เจ้าของบัญชีใช้เหมือนกัน ID/รหัสผ่านสำหรับหลาย ๆ ไซต์และแอปพลิเคชัน ตาม One Identity ล่าสุด แบบสำรวจ 84 เปอร์เซ็นต์ของผู้ตอบแบบสอบถามกล่าวว่าตนมีรหัสผ่านที่ชื่นชอบ การพ่นรหัสผ่านดังกล่าวทำให้ผู้คุกคามเข้าถึงข้อมูลที่ละเอียดอ่อนได้ง่ายขึ้น โดยเฉพาะอย่างยิ่งหากไม่ได้รับการป้องกันด้วยการรับรองความถูกต้องอีกชั้นหนึ่ง Alex Weinert รองประธานฝ่ายความปลอดภัยของข้อมูลประจำตัวของ Microsoft ในคำปราศรัยของเขาที่ การประชุมผู้เชี่ยวชาญ ( TEC) ปี 2022 เน้นย้ำว่าการโจมตีด้วยการพ่นรหัสผ่านเพิ่มขึ้นจาก 350,000 ในปี 2018 เป็นมากกว่า 5 ล้านครั้งในปี 2022 นอกจากนี้ เขายังตั้งข้อสังเกตด้วยว่าความน่าจะเป็นของการประนีประนอมเพิ่มขึ้นมากกว่า 20 เท่าหากไม่ได้เปิดใช้ MFA
ดังนั้น MFA จึงกลายเป็นองค์ประกอบสำคัญของกลยุทธ์การรักษาความปลอดภัยในโลกไซเบอร์ ซึ่งเป็นประโยชน์ต่อทั้งองค์กรและผู้ใช้โดยแก้ไขจุดอ่อนที่สำคัญของการตรวจสอบสิทธิ์ชื่อผู้ใช้และรหัสผ่าน
บริษัทต่างๆ เช่น Microsoft ได้ปรับแต่งคำแนะนำของตนเองสำหรับการระบุ MFA และในเร็วๆ นี้ การเปิดใช้งานวิธีการรับรองความถูกต้องแบบใหม่ที่เรียกว่าการจับคู่หมายเลข การนำ MFA ไปใช้สำหรับผู้ใช้ที่มีความเสี่ยงกำลังกลายเป็นสิ่งสำคัญและได้รับคำแนะนำอย่างมากจากผู้นำในอุตสาหกรรม
การใช้การจับคู่หมายเลข
อ้างอิงจาก Cybersecurity and Infrastructure Securi ของสหรัฐอเมริกา ty Agency (CISA) การจับคู่หมายเลขเป็นการบรรเทาชั่วคราวที่ดีที่สุดสำหรับองค์กรที่อาจไม่สามารถใช้ MFA ที่ป้องกันฟิชชิ่งได้ทันที การจับคู่หมายเลขกำหนดให้ผู้ใช้จับคู่หมายเลขที่สร้างขึ้นอัตโนมัติในหน้าจอลงชื่อเข้าใช้กับหมายเลขในแอป Authenticator ในคำแนะนำ, CISA แนะนำให้ใช้การพิสูจน์ตัวตนแบบหลายปัจจัยโดยใช้การจับคู่ตัวเลขเป็นการป้องกันเพิ่มเติมสำหรับแอปพลิเคชันคลาวด์ ผู้ค้าหลายรายได้รวมการจับคู่หมายเลขไว้ในการใช้งาน MFA ของตนแล้ว และในขณะที่ Microsoft ไม่ได้บังคับให้ใช้ปัจจัยหลายปัจจัยที่อิงตามตัวเลขในขณะนี้ พวกเขาจะเริ่มเผยแพร่ข้อบังคับในวันที่ 27 กุมภาพันธ์ 2023
ใน นอกจากหมายเลขที่ตรงกันของ MFA แล้ว ผู้ดูแลระบบควรตรวจสอบบันทึกการตรวจสอบและการยืนยันตัวตนแบบหลายปัจจัยที่ล้มเหลวเป็นระยะ ตลอดจนสนับสนุนให้พนักงานรายงานสิ่งผิดปกติใดๆ โดยเจาะจงในช่วงเวลาที่เหตุการณ์เกิดขึ้น MFA จะแจ้งให้เจ้าหน้าที่นิติวิทยาศาสตร์ตรวจสอบ
อย่างไรก็ตาม สิ่งสำคัญเสมอคือต้องคำนึงถึงความเหนื่อยล้าของ MFA รวมถึงเวกเตอร์การโจมตีอื่นๆ เช่น ฟิชชิง และปฏิบัติตามคำแนะนำของ CISA เกี่ยวกับการใช้ MFA ที่ป้องกันฟิชชิ่งเพื่อการรักษาความปลอดภัยที่ดีขึ้น
การใช้งาน MFA ที่ป้องกันฟิชชิ่ง
การตรวจสอบสิทธิ์แบบหลายปัจจัยมีหลายรูปแบบ แต่เกือบทั้งหมดมีจุดอ่อนร่วมกัน นั่นคือจำเป็นต้องมีการโต้ตอบจากมนุษย์ และในที่ที่จำเป็นต้องมีการโต้ตอบกับมนุษย์ ฟิชชิงอาจเกิดขึ้นได้
คำตอบทั่วไปและคำตอบสำหรับรูปแบบที่เป็นปัญหามากที่สุดของ MFA คือ MFA ที่ป้องกันฟิชชิ่ง ซึ่งเป็นมาตรฐานความปลอดภัยทางไซเบอร์ระดับทองของ CISA ที่นำปัจจัยจากมนุษย์ออกจากสมการ
การตรวจสอบสิทธิ์ที่ป้องกันฟิชชิงที่มีอยู่อย่างแพร่หลายที่สุดคือการตรวจสอบสิทธิ์ FIDO/WebAuthn ซึ่งรองรับโดยเบราว์เซอร์หลัก ระบบปฏิบัติการ และสมาร์ทโฟน ด้วยการตรวจสอบสิทธิ์ที่ป้องกันฟิชชิง รหัสผ่านจะถูกแทนที่ด้วยการเข้ารหัสที่รัดกุมซึ่งเชื่อมโยงกับตัวตรวจสอบความถูกต้องภายนอก เช่น คีย์ความปลอดภัย USB อุปกรณ์ที่อยู่ในความครอบครองของผู้ใช้ หรือ API การจัดการข้อมูลประจำตัว ตามการเข้ารหัสคีย์สาธารณะ MFA ที่ป้องกันฟิชชิ่งจะกำจัดการใช้รหัสที่ใช้ร่วมกัน ลดความสามารถของผู้โจมตีในการสกัดกั้นรหัสการเข้าถึงและเล่นซ้ำรหัสเหล่านั้น
แน่นอนว่ามีค่าใช้จ่ายและงบประมาณที่ต้องพิจารณาเมื่อเลือกสิ่งนี้ วิธีการ เนื่องจากการใช้โทเค็นต้องใช้เวลา และขอแนะนำให้มีโทเค็นสำรองมากกว่าหนึ่งโทเค็น นอกจากนี้ โทเค็นที่จับต้องได้ยังต้องการให้ผู้ใช้จำได้ว่าต้องถือมันไว้ ในขณะที่สำหรับพวกเราหลายคน โทรศัพท์เป็นของธรรมดาที่ต้องเก็บไว้ บริษัทต่างๆ ควรคำนึงถึงอุปกรณ์ที่ช่วยให้ผู้ใช้เก็บโทเค็นไว้ใกล้มือ และทำให้ง่ายต่อการพกพาเมื่อจำเป็น
Spoof Proof
แต่ในด้านบวก การใช้ MFA ที่ป้องกันฟิชชิ่งทำให้มั่นใจได้ว่าจะไม่มีการปลอมแปลงหลายปัจจัย เมื่อใช้ MFA ที่ป้องกันฟิชชิ่ง บริษัทต่างๆ จำเป็นต้องตรวจสอบว่าแอปพลิเคชันที่ต้องการปกป้องจะรองรับการใช้งานหลายปัจจัยที่ปรับปรุงแล้วเหล่านี้หรือไม่ บางตัวจะไม่รองรับโทเค็นเพิ่มเติมเหล่านี้และจะใช้โทเค็นแอปพลิเคชันแทนเท่านั้น
นอกจากนี้ยังอาจมีเส้นโค้งการเรียนรู้และเวลาในการนำไปใช้ ซึ่งอาจนำไปสู่การใช้มัลติแฟกเตอร์ตามแอปพลิเคชันเป็นการชั่วคราว มาตรการเพื่อให้มั่นใจว่ามีการป้องกัน จากนั้นค่อยปรับใช้วิธีการที่ใช้โทเค็นสำหรับการป้องกันเพิ่มเติมในภายหลัง
ไม่ต้องสงสัยเลยว่าการตรวจสอบสิทธิ์แบบหลายปัจจัยจะเป็นประโยชน์ต่อองค์กรและผู้ใช้โดยการเสริมความปลอดภัยอย่างมาก แต่การกำหนดให้ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับทุกคนตลอดเวลานั้นรับประกันได้ว่าจะทำให้ผู้ใช้ผิดหวังและกระทบต่อประสิทธิภาพการทำงาน สิ่งสำคัญคือต้องใช้แนวทางที่สมดุล
MFA เป็นที่เข้าใจกันดีที่สุดว่าเป็นส่วนหนึ่งของกลยุทธ์การรักษาความปลอดภัยที่กว้างขึ้นขององค์กรของคุณ ขณะนี้ผู้เชี่ยวชาญหลายคนแนะนำให้พัฒนากลยุทธ์การรักษาความปลอดภัยตามหลักการ Zero Trust และใช้เครื่องมืออย่าง Azure AD Conditional Access ซึ่งให้ความยืดหยุ่นอย่างมากในการใช้ MFA อย่างรอบคอบ
ด้วย จำนวนการโจมตีทางไซเบอร์เพิ่มสูงขึ้นอย่างต่อเนื่อง และ รายงาน โดยพบว่า 20 เปอร์เซ็นต์ของบริษัทกล่าวว่าการโจมตีทางไซเบอร์คุกคามความสามารถในการละลาย การดำเนินการ ของ MFA เป็นขั้นตอนสำคัญในการปกป้องธุรกิจและชื่อเสียงของบริษัทจากภัยคุกคามทางไซเบอร์ แม้จะไม่ใช่ยาครอบจักรวาลสำหรับช่องโหว่ทางไซเบอร์ทั้งหมด แต่ก็เป็นสิ่งที่จำเป็นในการบรรเทาภัยคุกคาม
เครดิตรูปภาพ: จีรศักดิ์/depositphotos
Alistair Holmes เป็น Principal Solutions Architect, Quest Software