จากข่าว ที่โค้ชออกกำลังกายท่านหนึ่ง ถูกแฮก ระบบต่างๆของตัวเองไปจนหมด ไม่ว่าจะเป็น Facebook YouTube และช่องทางอื่นๆ ที่มีผู้ติดตามเป็นจำนวนมาก หลังจากถูกแฮกก็มีการนำเรื่องเสียๆหายๆออกมาโพสต์อีกด้วย
นอกจากความเสื่อมเสียที่เกิดขึ้นแล้ว เรียกได้ว่าธุรกิจแทบจะ ล้มทั้งยืน ต้องย้อนกลับไปสู่จุดเริ่มต้น ในการเปิดเพจและเริ่มทำใหม่อีกครั้งเลยทีเดียว
ถ้าเราไม่อยากถูก hack แบบนี้ และลงเอยโดยการทำลายธุรกิจที่เราสร้างมากับมือ ต้องอ่านครับ
หลายคนไม่เคยรู้ว่า ระบบต่างๆที่เราใช้งานในปัจจุบัน หลายระบบ สามารถใช้อุปกรณ์พิเศษ เป็นตัวช่วยในการยืนยันตัวตน ในกระบวนการใช้งานระบบ (login) ได้
ถ้าเอาแบบอย่างง่ายเลยเราน่าจะเคยได้ยินสิ่งที่เรียกว่า 2FA ซึ่งย่อมาจาก 2 Factor Authentication หรือว่าบางระบบก็พัฒนาให้เจ๋งกว่านั้นโดยใช้ชื่อว่า MFA หรือ Multi Factor authentication ซึ่งล้วนแล้วแต่มีหน้าที่อย่างเดียวกันก็คือ ช่วยในการยืนยันการเข้าใช้งานครั้งนั้นว่า เป็นเจ้าของตัวจริง จึงเป็นสิ่งที่ป้องกันการโดนสวมบัญชีหรือ คนอื่นมาสวมสิทธิ์ปลอมตัวเป็นเราได้
ถ้าเราเคยทำธุรกรรมบางระบบ เช่นโอนเงิน หรือ สมัครสมาชิกใหม่ ในระบบต่างๆแล้วต้องกรอกตัวเลข 6 หลัก ที่มาจาก SMS หรือว่า ช่องทางต่างๆ นั่นก็อยู่บนหลักการเดียวกันนี้นั่นเอง
โดยทั่วไปการทำ 2FA จะมีหลายแนวทาง ไม่ว่าจะเป็น SMS OTP ที่เราต้องรับ SMS เป็นตัวเลขแล้วเอาตัวเลขจาก SMS มากรอก(ระบบจะสุ่มสร้าง ให้คนนั้น ในช่วงเวลานั้นๆเท่านั้น) หรือว่าอีกแบบนึงก็คือใช้โปรแกรม Google authenticator (หรืออื่นๆที่ทำหน้าที่เดียวกัน) โดยโปรแกรมจะสร้างตัวเลข 6 หลักและเปลี่ยนไปเรื่อยๆ ไม่เพียงแค่เท่านี้ยังมีวิธีอื่นๆอีกหลายวิธี และหนึ่งในนั้นก็คือการใช้อุปกรณ์เป็นการเฉพาะ ซึ่งถ้าว่ากันด้วยแนวทางความปลอดภัย การใช้อุปกรณ์เฉพาะเหล่านี้ จะมีความปลอดภัยที่สูงกว่าใช้ SMS OTP หรือ Google authenticator โดยอธิบายได้ดังนี้
มาตรฐานความปลอดภัย ข้อมูลที่ใช้ในการยืนยันตัวบุคคล
จะมีอยู่ 3 สิ่งนั่นก็คือ
Something you know ก็เช่น username, email, วันเดือนปีเกิด และรหัสผ่าน อันนี้คือสิ่งที่เรารู้อยู่แล้ว และเราก็ใช้อยู่เป็นประจำในการเข้าระบบ ซึ่งโดยทั่วไปจะใช้ข้อมูล นี้เพียงอย่างเดียว จึงเรียกว่า Single Factor authentication และถ้าเราสังเกต บางคน มักจะเอาข้อมูลใกล้ตัว มาเป็นข้อมูลที่ใช้ในส่วนนี้ ซึ่งมันไม่ปลอดภัย เนื่องจาก ข้อมูลเหล่านี้ไม่ใช่ความลับนั่นเอง คุณรู้ คนอื่นรู้ ก็แปลว่า มีโอกาสโดยสวมตัวตนได้แล้วนั่นเอง
Something you have จึงเป็นอีกหนึ่ง Factor ที่ใช้เพิ่ม ความปลอดภัย นั่นก็คือ สิ่งที่คุณมี อย่างถ้าเราใช้ SMS otp ก็คือเราต้องมี ซิมเบอร์ที่เราลงทะเบียนไว้กับระบบในการรับใช้ข้อความ(รหัส) เพื่อเอาข้อความ(รหัส)นั้นมากรอกยืนยันเข้าไป หรือว่าถ้าเรามี Google authenticator ก็เอารหัสที่ถูกสร้างออกมาจากอุปกรณ์ที่เราเป็นคนผูกเอาไว้ในตอนแรก และรวมไปถึงการใช้งาน Hardware key (ที่คนส่วนใหญ่ยังไม่รู้จัก) อยู่ในหมวดนี้ด้วยเช่นกัน เราจึงจะเห็นได้ว่าบางระบบที่ให้ความสำคัญกับเรื่องความปลอดภัยก็จะมี การเข้าใช้ด้วย Something you know ผสมกับ Something you have ถึงเรียกว่า 2 Factors นั่นเอง
Something you are อันนี้ถือเป็นระดับข้อมูลที่ลึกสุดแล้ว ก็คือการยืนยันความเป็นตัวตนของเราจริงๆ โดยใช้อัตลักษณ์ต่างๆ ของตัวเรา เช่น ม่านตา, ลายนิ้วมือ เป็นต้น ซึ่งมันจะเป็นสิ่งที่ไม่สามารถปลอมแปลงได้ง่าย และมีความเป็นจำเพาะของแต่ละคนสูงมากๆ หลายคนไม่ได้ให้ความสำคัญกับข้อมูลตรงนี้ ซึ่งก็เป็นเรื่องที่อันตรายอีกเช่นกัน เพราะถ้าถูกปลอมได้แล้ว เราในฐานะต้นฉบับ แก้ไขไม่ได้ หรือ ได้ยากมากๆนั่นเอง จึงถือว่าเป็นข้อมูลที่ควรมีความลับสูงสุด
โดยระบบที่มีการรักษาความปลอดภัยที่แข็งแรง(แบบมากๆ)ก็มักจะใช้ทั้ง 3 Factors นี้ร่วมกันในคราวเดียว เช่น ตู้เซฟธนาคาร หรือระบบความมั่นคงสูงๆ แต่โดยทั่วไป ระบบที่ใช้งานผ่านทางออนไลน์เรามักจะไม่ค่อยเจอ เนื่องจากมันจะยุ่งยากจนเกินไป ลองจินตนาการจะเปิดอีเมลสักครั้งหนึ่ง ต้องออก username รหัสผ่านและรับ SMS otp บวกด้วย สแกนลายนิ้วมืออีก 1 ที นั่นน่าจะรำคาญไม่น้อยเลยทีเดียว หรือเอาอย่างประเทศ Estonia ที่ผมยกให้เค้าเป็นผู้นำด้าน E Citizen คือ ผู้คนทำธุรกรรมต่างๆผ่านทางหน้าจอได้ไม่ว่าจะเป็นของรัฐ หรือ เอกชน ก็ยังใช้เป็น 2 Factors คือ Something you know + Something you have เท่านั้น
แต่เรื่องหนึ่งที่เราจะต้องรู้กันก็คือ ความปลอดภัยอยู่ฝั่งตรงกันข้ามกับความสะดวกสบายเสมอ เราจึงต้องหาความเหมาะสมตรงกลางให้เจอ คือสะดวกสบายในระดับหนึ่ง โดยที่ยังมีความปลอดภัยสูงที่สุดเท่าที่เป็นไปได้อยู่
ทำความรู้จัก hardware key กัน
“Hardware key” หรือที่เรียกว่า “Hardware security module (HSM)” อุปกรณ์นี้จะเก็บข้อมูลการรับรองความถูกต้องหรือข้อมูลรหัสลับที่สำคัญ และให้การเข้าถึงเฉพาะเมื่อได้รับการยืนยันจากผู้ใช้ จะว่าไป การทำงานเหมือน hardware wallet ที่เราคุ้นเคยกันนั่นล่ะครับ ก็คือ อุปกรณ์นี้ จะทำหน้าที่หลักในการเก็บคีย์ที่สำคัญ และทำหน้าที่ยืนยันธุรกรรมต่างๆ (sign transaction) ที่มีการร้องขอ เข้ามา โดยจะไม่ทำงานเองโดยพละการ เจ้าของ ต้องทำอะไรบางอย่างร่วมด้วย เช่น กด, กรอกรหัส ถ้าใครที่เคยใช้งาน hardware wallet มาจะพอเข้าใจ concept ที่เหมือนๆกัน แต่หน้าตาต่างกันเท่านั้นเอง สำหรับยี่ห้อชั้นนำ ก็ Yubi Key, Duo ที่เป็นเจ้าตลาดอยู่ในปัจจุบัน โดยราคาค่าตัวก็ ประมาณ เกือบพัน จนถึงสองสามพันบาท ต่อชิ้นครับ แล้วแต่ port เชื่อมต่อที่รองรับ และ technology ถ้าคิดว่าแพง แต่ขอให้เลื่อนไปอ่านกรณีตัวอย่างข้างต้นอีกครั้งหนึ่งครับ แพงกว่าราคาอุปกรณ์พวกนี้เยอะ เอาแค่ค่าเสียเวลา และ ความรู้สึก ก็ประเมินไม่ได้แล้ว
เมื่อเราเข้าใจหลักการโดยพื้นฐานของเรื่องความปลอดภัยแล้ว เลยจะมาเล่าต่อ หลายคนไม่รู้ว่า Hardware wallet ที่เรามีอยู่ในมือเราชาว Crypto นั้น สามารถนำมาเพิ่มความปลอดภัยในการใช้ระบบออนไลน์ต่างๆได้ด้วย ซึ่งมันจัดอยู่ในหมวด Something you have นั่นเอง เท่าที่ผมสำรวจเร็วๆ ทั้ง Ledger และ Trezor ต่างมีความสามารถทำเป็น security Key ได้ด้วยกันทั้งคู่ โดยการติดตั้ง app เพิ่มลงไป (เหมือนติดตั้ง app bitcoin, ethereum ตามปกตินี่แหล่ะ) ซึ่งจะทำให้ ledger หรือ trezor สามารถทำงานเป็นเหมือน hardware key ได้ตามมาตรฐาน FIDO / U2F ได้ในทันที ไม่ต้องซื้อ hardware key เพิ่ม เพราะโดยทั่วไปจะต้องซื้อ hardware Key มาใช้แยกต่างหาก เราก็เอาของที่มีในมือ มาใช้ให้เกิดประโยชน์เพิ่ม เพราะในช่วงนี้ตลาดเหงาๆ Hardware wallet ก็เหงาๆ ก็เอามาใช้งานให้คุ้มค่าเงินสักหน่อย
แต่ถ้าให้แนะนำแบบที่เหมาะสม สำหรับคนที่มี hardware wallet ในมือแล้ว ควรจะมี hardware key อีกสัก 1 อันครับ แต่สำหรับคนที่ยังไม่มีอะไรเลย แนะนำให้มี hardware key 2 อันครับ
การเพิ่มทั้ง 2 อันเข้าไปในระบบจะทำให้มั่นใจว่าหากมีอันใดอันหนึ่งสูญหายหรือเสียไป เราจะยังมีอีก 1 อันที่ใช้เป็นสำรองในการเข้าระบบนั้นๆได้อยู่ โดยแยกเก็บตัวสำรองเอาไว้ที่บ้าน หรือ ตู้ safe ก็ว่ากันไป
เพราะบางระบบหากเราสูญเสีย hardware key ไป อาจจะทำให้เรา ไม่สามารถเข้าระบบนั้นได้อีกเลย เนื่องจาก hardware key นั้น ไม่สามารถสร้างขึ้นใหม่ทดแทนกันได้ ซึ่งแตกต่างจาก hardware wallet ที่เรายังมี seed phrase ในการเอาไป recover ใหม่ได้ แต่ว่า hardware key นั้น ปลอดภัยกว่า คือไม่มีทาง recover ได้เลย หายแล้วหายเลย เราทำได้เพียง ลบอุปกรณ์ที่หายไป ออกจากระบบที่ผูกกันไว้ ได้แค่นั้นเลยครับ
โดยการเพิ่มทั้ง 2 อุปกรณ์(หรือมากกว่านั้น)เข้าไป ใช้ในการยืนยันตัวบุคคลในระบบใดๆนั้นไม่ได้เป็นการลดความปลอดภัยแต่อย่างใด เพราะในทุกครั้งที่มีการใช้อุปกรณ์ใดๆจากรายการที่ผูกกันไว้ เราจำเป็นต้องมีปฏิสัมพันธ์กับอุปกรณ์เหล่านั้นเสมออยู่แล้ว คือต้องกด หรือต้องป้อนรหัสผ่านเหมือนการ confirm transaction ปกติ ซึ่งมักจะเป็นกระบวนการที่ต้องผ่านการ login มาก่อนแล้ว (something you know) ดังนั้นหากเราทำอุปกรณ์เหล่านี้หายไป คนที่เก็บได้ถ้าไม่รู้ว่าผูกกับที่ไหนบ้าง ก็ใช้ไม่ได้ และ hardware key บางตัวยังสามารถตั้งรหัสการใช้ไว้ได้อีก ก็ปลอดภัยขึ้นไปอีก ดังนั้น จะเห็นได้ว่า ต้องใช้ข้อมูลที่แตกต่างกันหลายชั้นมาก เพื่อให้เกิดความปลอดภัยมากขึ้น การโดยสวมรอยจึงจะยากมากขึ้นตามไปด้วย
ชีวิตลำบากมากขึ้นมั้ยหลังจากที่ต้องใช้ hardware key
ไม่เลยครับ เพราะระบบทั่วไป เค้าจะมีการจดจำอุปกรณ์เหล่านี้ได้อยู่แล้ว จะมีเพียงการ login ครั้งแรก ในอุปกรณ์ใหม่ๆ ที่ระบบจะถามหา key แต่ถ้าการใช้งานปกติ ไม่ได้มีอะไรจุกจิกกวนใจครับ และมันก็อันเล็ก พกพาไปกับพวงกุญแจได้อย่างสะดวก อีกทั้งบางรุ่นรองรับหลาย mode ทั้งแบบเสียบ port USBA USBC และไร้สายคือ NFC อีกด้วย แค่เอามาแตะๆ ก็ผ่านแล้ว สบายๆ แต่ความปลอดภัยเพิ่มขึ้นอีกเยอะมาก
การเพิ่ม hardware key (หรือ hardware key ที่เอา hardware wallet มาใช้)
ทำได้ตามคู่มือของแต่ละ platform เลยครับ
Google account : https://support.google.com/accounts/answer/13548313?hl=en
Hotmail account : https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
Facebook : https://www.facebook.com/help/1167409720358611
สำหรับระบบอื่นๆ ก็ค้น google ได้เลย โดยค้น ชื่อระบบ add hardware key ก็จะเจอวิธีการแนะนำเอาไว้ แรกๆอาจจะงงๆหน่อย สักพัก จะลื่นๆเลย
สำหรับใครที่มีของในมือแล้วอยากลองของ ไปลองได้ที่นี่เลยครับ เพื่อความเข้าใจ https://demo.yubico.com/playground สมัครด้วยข้อมูลมั่วๆได้เลย เค้าจะลบออกอยู่แล้ว โดยผมลองแล้ว ทั้ง Yubikey , Ledger ก็เอาเข้าไปทดสอบ ได้ครับ เพราะอยู่บนมาตรฐาน FIDO/U2F เหมือนกัน แต่ทั้งนี้ browser ที่ใช้งาน ต้องรองรับด้วยนะครับไม่งั้นจะเชื่อมต่อกับอุปกรณ์ไม่ได้ ผมทดสอบด้วย browser chrome , firefox ทั้ง desktop , มือถือ ก็ใช้งานได้ครับ