Saturday, 23 November 2024

ไขปริศนาคาใจทำไม!? การยืนยันตัวตนด้วย “เบอร์โทรศัพท์” ถึงเป็นสิ่งที่ “อันตราย”

ไขปริศนาคาใจ ทำไม!? ยืนยันตัวตนด้วยเบอร์ “โทรศัพท์” ถึงเริ่มเป็นสิ่งที่ “อันตราย” Lifestyle และไม่ปลอดภัยเป็นอย่างมากในยุคสมัยนี้ เหตุผลที่แท้จริงมันคืออะไรกันแน่ ทั้งๆที่ความเป็นจริงนั้นมันน่าจะเป็นเรื่องที่ปลอดภัยมากที่สุดในการยืนยันตัวตนในการเข้าใช้งานแอปพลิเคชั่นต่างๆ ข่าวเด่นออนไลน์

สล็อต xo Slotxo

ยืนยันตัวตนด้วยเบอร์ “มือถือ” ทำไมถึงเป็นสิ่งที่เริ่มไม่ปลอดภัยในยุคสมัยนี้

ยืนยันตัวตนด้วยเบอร์ มือถือ

ทุกวันนี้การเข้าใช้งาน Application มากมายบนเครื่องโทรศัพท์ของเรานั้นมีกลไกลการป้องกันที่หนาแน่นหลายชั้นกว่าเดิม เพื่อพยายาม Upgrade มาตรฐานความปลอดภัยเพื่อให้มีการ ยืนยันตัวตนสองชั้น ที่สมัยนั้นเรียกกันว่ามันคือความปลอดภัยมากที่สุดในการลงชื่อเข้าใช้งาน มากกว่าจะเข้าใช้งานด้วย ‘ชื่อผู้ใช้‘ และ ‘รหัสผ่าน‘ เท่านั้น

แต่ถ้าว่าในตอนนี้เหล่าบรรดาผู้สร้างความปลอดภัยด้าน Cyber ก็เริ่มเป็นห่วงกับการเข้าใช้งาน Application มากมายทีต้องกรอกหมายเลขโทรศัพท์ตลอดเวลาเพื่อยืนยันตัวตนเข้าใช้งานที่มากกวาเดิม กับการที่ร้องขอให้กรอกเบอร์มือถืออยู่ตลอดเวลาที่เกินความจำเป็นนี้

ทำไมล่ะ มันไม่ปลอดภัยเหรอ? มันมีปัญหาอะไร?

ทำไมล่ะ มันไม่ปลอดภัยเหรอ? มันมีปัญหาอะไร?

Technique การลวง การปล้นข้อมูลได้อย่างมากมาย หรือมันมีช่องโหว่ระบบที่จะทำให้ Hacker สามารถปลอมเป็นเราและรับ OTP ได้เรื่อยๆTechnique การลวงการปล้นข้อมูลได้อย่างมากมาย หรือมันมีจุดบกพร่องระบบที่จะทำให้ Hacker สามารถปลอมเป็นเราและรับ OTP ได้เรื่อยๆ

ซึ่งข้อผิดพลาดดังกล่าวนั้นมันมาเกิดที่ระบบ SIM Card เอง และมันทำให้พวก Platform มากมายไม่สามารถแก้ไข้ได้ และที่สำคัญคือ พวกเขาไม่จำเป็นจะต้องรับผิดชอบเรื่องร้ายๆที่เกิดขึ้นด้วย คือสามารถพูดสรุปได้ว่าการยืนยันตัวตนด้วยหมายเลขโทรศัพท์สามารถถูกแฮกได้อย่างง่ายแม้ว่ามันจะทำได้ง่ายก็ตาม

เรื่องนี้มันทำให้ผู้เชี่ยวชาญด้านความปลอดภัย Cyber นั้นค่อยข้างจะเริ่มซีเรีนจมากขึ้นเรื่อยๆ และพวกเขานั้นก็กำลังพยายามทำให้การใช้หมายเลขโทรศัพท์นั้นเป็นเครื่องมือลงชื่อเข้าใช้งาน เหมือนกับว่ามันไม่มีปัญหาเรื่องใดเลย แน่นอนว่าเรื่องนี้ต้องมีคนเถียงคอเป็นเอ็นอย่างแน่นอนว่ามันทำไม่ได้มันแฮกไม่ได้ แต่จะบอกว่ามันสามารถทำได้ และจะเกิดหายนะด้วยในอนาคต

ไขปริศนาคาใจทำไม!? การยืนยันตัวตนด้วย “เบอร์โทรศัพท์” ถึงเป็นสิ่งที่ “อันตราย”

เนื่องจากว่าหมายเลขโทรศัพท์นั้นไม่ได้ถูกสร้างขึ้นมาเอาไว้ใช้ลงชื่อเข้าใช้งานแอปมากมาย และมันคือสิทธิ์ขั้นพื้นฐานที่ผู้ใช้งานนั้นสามารถเปลี่ยนหมายเลขโทรศัพท์ได้ตามอำเภอใจ และระบบทุกวันนี้ที่พยายามจะเชื่อมต่อเชื่อติดชีวิตจองมนุษย์เข้ากับโซเชียลมีเดีย และหมายเลขโทรศัพท์มันก็คือ “หายนะ”

แน่นอนว่าไม่มีใครที่จะบ้าจี้เปลี่ยนหมายเลขโทรศัพท์ทุกวี่ทุกวัน นอกจากสายมูเตลูที่มีความเชื่อเรื่องตัวเลขมงคลที่เปลี่ยนชีวิต แต่ถ้าอยู่ดีๆ มันมีเรื่องจำเป็นที่ทำให้เราต้องเปลี่ยนหมายเลขโทรศัพท์ มันจะเป็นแบบไหน อย่างเช่น ต้องเปลี่ยนนเพราะหมายเลขโทรศัพท์ของเรานั้นถูกเผยแพร่และถูกก่อกวน หรือการย้ายประเทศ แล้วต้องเปลี่ยนหมายเลขโทรศัพท์ถาวร

ซึ่งสิ่งที่กล่าวมานั้นยังไม่สร้างหายนะครั้งยิ่งใหญ่ให้เท่ากับการที่หมายเลขโทรศัพท์ของเรานั้นถูกนำกลับมาใช้งานใหม่อีกครั้ง และถ้าเกิดคนที่ได้หมายเลขโทรศัพท์เก่าของเรามาใช้บังเกิดความคิดอันเลวร้าย แอบล่วงข้อมูลส่วนตัวของเราได้ และมันก็จะกลายไปเป็นหายนะครั้งยิ่งใหญ่ที่สุดในชีวิต

เพราะถ้าข้อมูลส่วนตัวที่เราไม่อยากให้ใครเห็นนั้นถูกเผยแพร่ออกมา เราคงไม่มีทางชื่นชอบหรือพอใจอย่างแน่นอน หรือบางคนที่ชอบเก็บรหัสผ่านเอาไว้ในบัญชีนี่ ก็จะเกิดความพังพินาศไปอีกขั้นเลย หรือถ้าเก็บพวก ‘พาสเฟส‘ (passphrase) 12 คำของ crypto เอาไว้ เงินก็อาจหายได้เหมือนกัน

แน่นอนว่าการนำหมายเลขโทรศัพท์เก่ากลับมาใช้งานใหม่อีกครั้งนั้นมันคือเรื่องปกติ ที่ทำกันมานานหลายต่อหลายปีหลายต่อหลายประเทศแล้ว อย่างเช่น อเมริกาเองก็เป็นในปีหนึ่งมีหมายเลขโทรศัพท์ถูกนำกลับมาใช้งานหลักสิบล้านเบอร์ ดังนั้นนี่ไม่ใช่ปัญหาของคนหลักร้อยหรือกระทั่งหลักพัน เพราะมันคือปัญหาของคนหลักสิบล้านคน นี่คือตัวอย่างเบสิกง่ายๆที่เป็นจุดเริ่มต้นของปัญหาที่จะพยายามจะทำราวเหมือนกับว่า มนุษย์ทุกคนจะมีหมายเลขโทรศัพท์อันเดียวตลอดชีวิต ไม่มีการเปลี่ยนได้เหมือนกับ “ลายนิ้วมือ”

แล้วทีนี้ ถ้าไม่ยืนยันตัวตนด้วยมือถือ จะใช้อะไรยืนยัน?

แล้วทีนี้ ถ้าไม่ยืนยันตัวตนด้วยมือถือ จะใช้อะไรยืนยัน?

อันนี้ต้องบอกก่อนว่าประเด็นดังกล่าวนั้นทำให้ผู้คนจำนวนไม่น้อยเลยที่ไม่พึ่งพอใจกับการยืนยันตัวตนสองชั้นแบบใช้หมายเลขโทรศัพท์ แต่ก็ยังไม่มีใครเลยสักคนที่กล้าออกมาเรียกร้องให้กลับไปใช้แบบชั้นเดียวเหมือนในอดีต ที่ใช้แค่ชื่อบัญชีกับรหัสผ่านที่เราเป็นคนตั้งเอาไว้ เพราะการยืนยันตัวตนแบบสองชั้นนั้นยังคงสำคัญ เพียงแต่มันไม่ควรจะเป็นการยืนยันตัวตนผ่านหมายเลขโทรศัพท์ แต่ควรเป็นอย่างอื่นแทน

เอาจริงๆ แล้วก่อนหน้านี้เคยมีคนเสนออให้ใช้วิธีแบบชีววิทยา ที่ไม่มีใครสามารถแอบอ้างเป็นเราได้เพื่อเข้าใช้งานแอปต่างๆ ข้อมูลพวกนี้มันเรียกในทาง techniques that biometric data (Biometric Data) เช่น ลายนิ้วมือ และสแกนม่านตา ข้อมูลพวกนี้เป็นข้อมูลของจริงที่สามารถเข้าใช้งานทุกอย่างได้แบบไม่ผผิดคนอย่างแน่นอน

ยืนยันตัวตนด้วยเบอร์-โทรศัพท์อัตรายมาก

แต่ก็ถูกห้ามเอาไว้เพราะวิธีดังกล่าวนั้นมันมีกฎกติกาที่มีพื้นฐานในการสร้างฐานข้อมูลชีวมาตรขนาดใหญ่ ซึ่งถ้าข้อมูลที่สำคัญบางอย่างหลุดออกไปมันก็จะทำให้เกิดความชิปหายมากมาย เพราะเราไม่สามารถเปลี่ยนแปลงข้อมูลพวกนี้ไปได้จนกว่าจะตาย ซึ่งแนวโน้มที่ผ่านมา ไม่ว่า Platform ที่ใหญ่แค่ไหนก็ทำข้อมูลหลุดมาได้ตลอดเวลา

ดังนั้นถ้ามีการยืนยันตัวตนอย่างที่กล่าวมาเมื่อสักครู่ ที่มีปลายทางคือฐานข้อมูล ลายนิ้วมือ ลายม่านตา ของชาวโลกได้หลุดออกมามันจึงไม่เกิดเรื่องที่ดีสักเท่าไหร่ ดังนั้นจึงต้องมีการห้ามการสร้างระบบนี้เอาไว้ก่อน เพื่อความปลอดภัยกับทุกๆคนบนโลกใบนี้ นี่ก็เลยทำให้ทางออกที่เขาเสนอกันมันเหลือ 2 ทาง คือ

  • ใช้แอปพลิเคชันยืนยันตัวตน
  • ใช้ฮาร์ดแวร์ยืนยันตัวตน

ข้อที่ 1 ถ้าใครเคยใช้ Google Authenticator ก็น่าจะมองเห็นภาพ Application ที่ติดอยู่กับโทรศัพท์กับหมายเลข ที่ Password จะเปลี่ยนไปตลอดเวลาในเวลาไม่กี่วินาที และคนที่จะทราบ Password ก็คือคนที่ครอบครองเบอร์นั้นอยู่เพียงคนเดียวเท่านั้น ซึ่งมีความปลอดภัยกว่าระบบส่ง SMS ที่แฮกผ่าน sim ได้แบบที่ว่าข้างต้น

ส่วนข้อที่ 2 ให้ทุกคนนั้นจินตนาการว่า hardware มันจะทำหน้าที่เป็นเหมือนกุญแจเอาไว้เปิดเข้าไปในพื้นที่ online ได้ซึ่งอะไรพวกนี้มันเป็นไปได้ภายใต้ sophisticated encryption technology กล่าวคือ มันจะเหมือนกับว่าข้อมูลทั้งหมดจะถูกเข้ารหัสไว้ เจ้าของแพลตฟอร์มก็ถอดรหัสไม่ได้ และมีแต่คนที่มีฮาร์ดแวร์ในมือเท่านั้นที่จะถอดรหัสได้

แอปพลิเคชันยืนยันตัวตนไม่ได้ปลอดภัยเสมอ

นี่เป็นสิ่งที่คนในแวดวงความปลอดภัยไซเบอร์พูดคุยกันมานานว่าเป็น ‘แนวทางปฏิบัติที่ดีที่สุด‘ ด้านความปลอดภัย ซึ่งพวก Platform ส่วนใหญ่ก็ไม่ได้ให้ความร่วมมือสักเท่าไหร่ เพราะในทางปฏิบัติถึงมันจะปลอดภัยกว่า แต่มันก็ใช้ได้ไม่ง่ายเลย และถ้าทำให้ผู้ใช้งานนั้นใช้ยากคนก็จะไม่ใช้เงินก็จะหมดจะหายไป

เหล่า Platform ต่างๆจึงเลือกแนวทางที่ไม่ทำร้ายไม่ทำอัตรายกับผู้ใช้งาน แม้ว่าในเชิง cyber security มันจะอันตรายมากกว่า และเราก็เลยมาอยู่ในจุดที่เราจำเป็นต้องอยู่ในสมัยนี้ ว่าแต่ทุกคนนั้นคิดเห็นอย่างไรเกี่ยวกับเรื่องนี้ คิดว่าการยืนยันตัวตนด้วยมชหมายเลขโทรศัพท์อันตรายหรือเปล่า

ติดตามข่าวยืนยันตัวตนด้วยเบอร์ได้ที่นี่

สามารถอ่านติดตามข่าวสารเพิ่มเติมได้ที่นี่