อย่าพูดถึงข่าวที่ดนดัง เว็บใหญ่ โดนมือดีขโมย ยึด เปลี่ยนแปลงข้อมูล ใส่ XSS Code เพื่อ Redirect ผู้เข้าชมไปอีกเพจหนึ่ง  แถมหลอกให้ใส่ User , password เพื่อเอาไปใช้ในทางผิดๆเลย  พูดถึงเรื่องธรรมดาๆ ของคนธรรมดาที่มีชีวิตบนอินเทอร์เน็ตดีกว่า ผมเจอหลายคน ที่อยู่ดีๆก็ขอให้ช่วย เพราะเข้า Facebook ไม่ได้ , E-mail ถูก Hack ไป ,  แอดมินเพจใน Facebook บางคน ถูกขโมยเพจดื้อๆ ซะงั้น 

ชีวิตในโลกออนไลน์ ชักจะอยู่ยากขึ้นทุกวัน แต่ทุกคนก็ต้องรับความเสี่ยง ถ้าหากจะใช้บริการ

Two-Factor Authentication ไม่ใช่เรื่องใหม่  มีมานานแล้ว ยกตัวอย่าง เมื่อสมัยที่ผมไปขึ้นทะเบียนเพื่อรับใบ สด.8 นั้น  นอกจากต้องเอาบัตรประจำตัวประชาชน ที่มีรูปถ่ายตรงกับใบหน้าอันหล่อมากของผม ไปแสดงให้สัสดีเห็น สัสดียังให้เซ็นต์ซื่อ  หลังจากนั้นจะรับใบกลับ เขายังให้พิมพ์ลายนิ้วมือ ไว้ที่ต้นขั้วอีก  นี่คือ Multi-Factor Authentication แบบหนึ่ง  เพราะถ้าหากมีคดีความ เกิดขึ้น ทางการจะสามารถพิสูจน์ได้ว่า ไม่ผิดตัวแน่    เวลาไปทำธุรกรรมที่ธนาคารเหมือนกัน  นอกจาก บัตรประชาชนแล้วยังต้องมีลายเซ็นต์ด้วย 2 อย่างคู่กัน ถ้าไม่ตรงกัน ก็ทำธุรกรรมไม่ได้

แต่ชีวิตบนเน็ตไม่ง่ายขนาดนั้น  เพราะบนเน็ตเราไม่มีบัตรประชาชนอินเทอร์เน็ต แม้ว่าจะมีกฎหมายว่าด้วย "Personally identifiable information" (PII)  แต่ก็ยังไม่ได้มีผลใช้ในทุกประเทศ  โดยเฉพาะฝั่ง AEC ยังไม่มีใครบรรจุเป็นกฎหมาย  ดังนั้น ชีวิตบนเน็ต จึงเป็นชีวิตที่ค่อนข้างจะเถื่อนนิดหน่อย หมายถึง ทรัพย์สินไอที ที่เรามีนั้น มันก็ระบุไม่ได้ว่าชัดเจน ว่าของเรา ยกตัวอย่าง e-mail address , facebook page  จะระบุได้อย่างไรในทางกฎหมายว่าเป็นของเรา ?  แต่ในทางพฤตินัย มันคือทรัพย์สินไอทีของเรา เราจึงจำเป็นต้องปกป้องมัน เพราะถ้ามันเสียหายไป เราเดือดร้อน!

ทรัพย์สินไอที? ผมระบุคำนี้เอง  อย่าง Blog ที่ผมเขียนนี่ก็ของผม เป็นทรัพย์สินทางปัญญา , e-mail address ที่ผมใช้สื่อสาร ,  LINE ID  โอ้ย ของผมทั้งนั้นแหละครับ   การสูญเสียการควบคุมอีเมล์ ของผม จะเกิดผลอะไรตามมาบ้าง  ผมเอาอีเมล์ไปผูกไว้กับ E-Banking ,  Facebook, EBay , เว็บไซต์ช็อปปิ้งอื่นๆ   ลองวาดรูปแบบของความเกี่ยวข้องของอีเมล์ของคุณดูสิครับ มันเกี่ยวข้องกับเว็บไหนบ้าง? 

หลายคนไม่เคยถามตัวเอง ก็ลองถามนะครับ จะเกิดอะไรขึ้น ถ้าหาก E-Mail เราโดย Hack  ไม่เฉพาะบรรดาบริการออนไลน์ที่เราเอาอีเมล์ไปผูก  แม้กระทั่งเนื้อหาของอีเมล์ ที่อาจจะเป็นลับส่วนตัวของเรา ก็ตกอยู่ในอันตราย

ดังนั้น การมีเพียง  User name, E-mail address, password แล้วก็ Log-in เข้าใช้งาน นั้น ไม่ปลอดภัยเพียงพอ  และใครก็ตามที่ไม่เคยเปลี่ยน password  ในการเข้าใช้บริการในโลกออนไลน์  คุณกำลังอยู่ในความเสี่ยง

การพิสูจน์ตัวตน ว่าใครเป็นเจ้าของ Facebook ชื่อะไร หรือเจ้าของอีเมล์ชื่ออะไร คือ การใส่ User name, e-mail address  พร้อมด้วยรหัสผ่าน กด Log-in ก็เข้าไปใช้งานได้ เราเรียกว่า 1 factor authenticate คือ ใช้สิ่งที่เรามี (อีเมล์) และสิ่งที่เรารู้ คือ password คู่กัน แต่เมื่อมันไม่ปลอดภัยเพียงพอ เราจึงต้องการ Factor ที่ 2

Factor ที่ 2 คืออะไร คือ การตรวจสอบในขั้นที่ 2 ที่จะช่วยระบุว่าเราคือ เจ้าของทรัพย์สินไอทีนั้น จริงๆ ไม่ใช่ตัวปลอม  บางเว็บก็ใช้การส่ง One time password เข้ามือถือ เพื่อให้เรายืนยัน  วางเว็บก็จะส่ง  security code มาทางอีเมล์ เพื่อให้เราใส่ยืนยัน   นี่เรียกว่าเป็นการตรวจสอบตัวตน 2 ชั้น

ตอนนี้ Google,  Hotmail, Yahoo, Facebook,  twitter , Dropbox , Paypal มีฟังก์ชัน Two-Factor Authentication หมดแล้ว  โดยส่วนใหญ่ใช้วิธีการ Generate code แล้วส่งให้ทางหมายเลขโทรศัพท์ของเรา เพื่อให้เรายืนยัน

ส่งให้ทางหมายเลขโทรศัพท์ ปลอดภัยหรือ?  พวกโปรแกรมเมอร์ก็คิดตรรกะในการตรวจสอบ ทำอย่างไรจะรู้ว่า โทรศัพท์นั้นเป็นของ User จริง ก็จะต้องให้ user นั้นไปลงทะเบียนเบอร์โทรศัพท์ให้ผูกติดกับบัญชีไว้ก่อน แล้วต้องผ่านการ Verify ก่อน โดยการส่ง code มาให้เรายืนยันกลับ แค่นี้ก็ปลอดภัยในระดับหนึ่ง เพราะการขอ SIM หมายเลขเดิมแทน Sim ที่หายไปจาก Telephone Operator มีกระบวนการตรวจสอบตัวตนแล้วระดับหนึ่ง ไม่ใช่ใครจะโร่ไปขอก็ได้

กลวิธี ในการตรวจสอบ ยืนยันตัวตนเพิ่มเติม นอกจากมีแค่ user name ,password แล้ว  ผู้ให้บริการออนไลน์แต่ละแห่งก็คิดกลวิธีแตกต่างกันออกไป เช่น ให้ลงทะเบียนเบอร์มือถือ  ผู้ให้บริการเกี่ยวกับการเงิน อาจจะใช้หมายเลขบัตรเครดิตในการตรวจสอบยืนยันก็ได้ แต่ผู้ให้บริการอีเมล์คงไม่สามารถทำได้ เพราะกรอบของกฎหมายกำหนดไว้ระดับหนึ่ง

ยากมั้ย ถ้าหากจะใช้  Two-Factor Authentication  ไม่ยากครับ  โดยส่วนใหญ่ จะอยู่ใน Account Setting , Security Setting ประมาณนั้น

ยกตัวอย่างสัก 3 แห่ง

Google ให้ใช้โทรศัพท์มือถือ

Facebook ไม่เรียกว่า การตรวจสอบ 2 ขั้นตอน แต่เรียกว่า การอนุมัติเข้าสู่ระบบ เขาอธิบายไว้อย่างเข้าใจง่ายๆ

วิธีการ setup ของ Facebook ก็ไม่ยาก ทำตามภาพเลยครับ

Microsoft เพิ่งทำมาหลังเพื่อน ถ้าผมจำไม่ผิด เพราะเคยพยายามหาอยู่พักหนึ่ง ไม่เห็น วันนี้มีแล้ว แถมก้าวหน้ากว่ารายอื่น คือ ให้ใช้ทั้งโทรศัพท์ , Application และ การรับรหัสจากอีเมล์ที่ลงทะเบียนและตรวจสอบว่าถูกต้องแล้ว

แล้วใช้งานยุ่งยากมั้ย

                พวกฝ่ายรักษาความปลอดภัยของผู้ให้บริการออนไลน์   คิดและตระหนักอย่างดีกว่า ถ้ามันใช้งานยุ่งยาก เจ็บปวด ใครจะไปใช้  ดังนั้น แม้ว่าจะ เปิดระบบการตรวจสอบ 2 ขั้นตอนแล้ว ก็ยังมีข้อยกเว้นที่จะไม่ต้องใส่ code เช่น เอาคอมพิวเตอร์ส่วนตัวไปลงทะเบียนไว้ หรือเลือกลงทะเบียนบราวเซอร์ที่เราใช้ประจำ  ซึ่งจะลดความซับซ้อนได้

คุณล่ะ พร้อมจะปกป้องทรัพย์สินไอทีของคุณหรือยัง??