การรับรองความถูกต้องด้วยสองปัจจัยที่ใช้ SMS (2FA) เป็นวิธีที่ใช้กันอย่างแพร่หลายเพื่อเพิ่มความปลอดภัยในการตรวจสอบผู้ใช้ในระบบคอมพิวเตอร์ มันเกี่ยวข้องกับการใช้โทรศัพท์มือถือเพื่อรับรหัสผ่านแบบใช้ครั้งเดียว (OTP) ผ่านทาง SMS ซึ่งผู้ใช้จะป้อนเพื่อดำเนินการตรวจสอบสิทธิ์ให้เสร็จสิ้น แม้ว่า 2FA ที่ใช้ SMS จะมอบชั้นความปลอดภัยเพิ่มเติมเมื่อเทียบกับการตรวจสอบชื่อผู้ใช้และรหัสผ่านแบบเดิม แต่ก็ไม่ได้ไม่มีข้อจำกัด
หนึ่งในข้อจำกัดหลักของ 2FA ที่ใช้ SMS คือช่องโหว่ต่อการโจมตีแบบสลับซิม ในการโจมตีแบบสลับซิม ผู้โจมตีจะโน้มน้าวผู้ให้บริการเครือข่ายมือถือให้โอนหมายเลขโทรศัพท์ของเหยื่อไปยังซิมการ์ดภายใต้การควบคุมของผู้โจมตี เมื่อผู้โจมตีควบคุมหมายเลขโทรศัพท์ของเหยื่อได้แล้ว พวกเขาสามารถสกัดกั้น SMS ที่มีรหัส OTP และใช้เพื่อเลี่ยงผ่าน 2FA การโจมตีนี้สามารถอำนวยความสะดวกได้ด้วยเทคนิควิศวกรรมสังคมหรือโดยการใช้ประโยชน์จากช่องโหว่ในกระบวนการตรวจสอบของผู้ให้บริการเครือข่ายมือถือ
ข้อจำกัดอีกประการหนึ่งของ 2FA ที่ใช้ SMS คือศักยภาพในการสกัดกั้นข้อความ SMS แม้ว่าโดยทั่วไปแล้วเครือข่ายเซลลูลาร์จะมีการเข้ารหัสสำหรับการสื่อสารด้วยเสียงและข้อมูล แต่ข้อความ SMS มักจะถูกส่งในรูปแบบข้อความล้วน สิ่งนี้ทำให้พวกเขาเสี่ยงต่อการสกัดกั้นโดยผู้โจมตีที่สามารถดักฟังการสื่อสารระหว่างเครือข่ายมือถือและอุปกรณ์ของผู้รับ เมื่อดักฟังได้แล้ว ผู้โจมตีสามารถใช้รหัส OTP เพื่อเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต
นอกจากนี้ 2FA ที่ใช้ SMS อาศัยความปลอดภัยของอุปกรณ์มือถือของผู้ใช้ หากอุปกรณ์สูญหายหรือถูกขโมย ผู้โจมตีที่ครอบครองอุปกรณ์จะสามารถเข้าถึงข้อความ SMS ที่มีรหัส OTP ได้อย่างง่ายดาย นอกจากนี้ มัลแวร์หรือแอปพลิเคชันอันตรายที่ติดตั้งบนอุปกรณ์สามารถสกัดกั้นหรือจัดการข้อความ SMS ซึ่งส่งผลต่อความปลอดภัยของกระบวนการ 2FA
2FA ที่ใช้ SMS ยังแนะนำจุดที่อาจเกิดความล้มเหลวเพียงจุดเดียว หากเครือข่ายมือถือประสบปัญหาบริการขัดข้องหรือหากผู้ใช้อยู่ในพื้นที่ที่มีสัญญาณโทรศัพท์เคลื่อนที่ไม่ดี การส่ง OTP อาจล่าช้าหรือล้มเหลวโดยสิ้นเชิง ซึ่งอาจส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงบัญชีของตนได้ ซึ่งนำไปสู่ความยุ่งยากและอาจสูญเสียประสิทธิภาพการทำงาน
ยิ่งไปกว่านั้น 2FA ที่ใช้ SMS นั้นไวต่อการโจมตีแบบฟิชชิง ผู้โจมตีสามารถสร้างหน้าเข้าสู่ระบบปลอมหรือแอปบนอุปกรณ์เคลื่อนที่ที่หลอกให้ผู้ใช้ป้อนชื่อผู้ใช้ รหัสผ่าน และ OTP ที่ได้รับทาง SMS หากผู้ใช้ตกเป็นเหยื่อของความพยายามฟิชชิ่งเหล่านี้ ผู้โจมตีสามารถดักจับข้อมูลประจำตัวและ OTP ของผู้ใช้ได้ ซึ่งสามารถใช้ข้อมูลเหล่านี้เพื่อเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต
แม้ว่า 2FA ที่ใช้ SMS จะมอบชั้นความปลอดภัยเพิ่มเติมเมื่อเทียบกับการตรวจสอบชื่อผู้ใช้และรหัสผ่านแบบเดิม แต่ก็ไม่ได้ไม่มีข้อจำกัด ซึ่งรวมถึงความเปราะบางต่อการโจมตีด้วยการสลับซิม การสกัดกั้นข้อความ SMS การพึ่งพาความปลอดภัยของอุปกรณ์มือถือของผู้ใช้ ความล้มเหลวที่อาจเกิดขึ้นจากจุดเดียว และความไวต่อการโจมตีแบบฟิชชิง องค์กรและผู้ใช้ควรตระหนักถึงข้อจำกัดเหล่านี้และพิจารณาวิธีการรับรองความถูกต้องทางเลือก เช่น ตัวรับรองความถูกต้องตามแอปหรือโทเค็นฮาร์ดแวร์ เพื่อลดความเสี่ยงที่เกี่ยวข้องกับ 2FA ที่ใช้ SMS
คำถามและคำตอบล่าสุดอื่น ๆ เกี่ยวกับ การยืนยันตัวตน:
- อะไรคือความเสี่ยงที่อาจเกิดขึ้นจากอุปกรณ์ของผู้ใช้ที่ถูกบุกรุกในการพิสูจน์ตัวตนผู้ใช้?
- กลไก UTF ช่วยป้องกันการโจมตีจากคนกลางในการรับรองความถูกต้องของผู้ใช้ได้อย่างไร
- จุดประสงค์ของโปรโตคอลตอบรับความท้าทายในการพิสูจน์ตัวตนผู้ใช้คืออะไร?
- การเข้ารหัสคีย์สาธารณะปรับปรุงการรับรองความถูกต้องของผู้ใช้อย่างไร
- วิธีการรับรองความถูกต้องทางเลือกสำหรับรหัสผ่านมีอะไรบ้าง และจะเพิ่มความปลอดภัยได้อย่างไร
- รหัสผ่านจะถูกบุกรุกได้อย่างไร และมาตรการใดบ้างที่สามารถใช้เพื่อเสริมความแข็งแกร่งให้กับการรับรองความถูกต้องด้วยรหัสผ่าน
- อะไรคือการแลกเปลี่ยนระหว่างความปลอดภัยและความสะดวกสบายในการตรวจสอบผู้ใช้?
- ความท้าทายด้านเทคนิคที่เกี่ยวข้องกับการตรวจสอบสิทธิ์ผู้ใช้มีอะไรบ้าง
- โปรโตคอลการรับรองความถูกต้องโดยใช้ Yubikey และการเข้ารหัสคีย์สาธารณะตรวจสอบความถูกต้องของข้อความอย่างไร
- ข้อดีของการใช้อุปกรณ์ Universal 2nd Factor (U2F) ในการตรวจสอบผู้ใช้คืออะไร
ดูคำถามและคำตอบเพิ่มเติมในการรับรองความถูกต้อง