multi-factor authentication ด้วย OTP ก็ไม่ได้ปลอดภัย 100% หากโดน intercept หมายเลขโทรศัพท์มือถือ

บริการต่างๆ ที่ให้เปิด multi-factor authentication มีจุดที่สำคัญที่มักจะให้เราจดจำ และตั้งค่าเพิ่มเติม นั้นคือ backup code และหมายเลขโทรศัพท์มือถือสำหรับรับ reset password หากตัว authenticator ใช้งานไม่ได้

แน่นอน backup code ซ่อนและเก็บได้ ตรงนี้น่าจะพออุ่นใจบ้างหากเก็บไว้ในที่ที่ลับมากๆ ส่วนหมายเลขโทรศัพท์มือถือนั้นแตกต่าง เพราะอาจโดน intercept ตัวเบอร์โทรศัพท์นั้นๆ แล้วนำ code ที่ได้จาก OTP ไปใช้งาน

ซึ่งเมื่อเร็วๆ นี้นักเคลื่อนไหวทางการเมืองถูก hack บัญชี Telegram โดยเกิดจากถูก intercept หมายเลขโทรศัพท์ เพื่อรับรหัส OTP สำหรับเข้าใช้งาน account แอพ Telegram ของเค้า ซึ่งเป็นสิ่งที่เกิดขึ้นได้จริงแล้ว

เพราะโดยปรกติ Telegram ไม่มีการให้ตั้งรหัสผ่านในครั้งแรก แต่ใช้การส่งรหัส OTP เพื่อยืนยันการใช้งานผ่านหมายเลขโทรศัพท์มือถือที่ลงทะเบียนไว้ อ้างอิง Is Telegram Really Safe for Activists Under Threat? These Two Russians Aren’t So Sure.

ทางแก้ที่ Telegram แนะนำ ณ ตอนนี้คือตั้งรหัสผ่านเพิ่มเข้ามาช่วยในการยืนยันตัวตน (ในเมนูของ Telegram มีให้ตั้ง) ทางแก้ไขนี้รวมไปถึง คำแนะนำที่ว่า ควรสื่อสารด้วย secret chat (end-to-end encryption) และตรวจสอบ fingerprints (encryption key) ของคนที่กำลังคุยด้วยเสมอ

จากเหตุการณ์ของ Telegram นี้ ก็กลับมาดูที่ประเทศไทยของเรา การออกซิมการ์ดใหม่ผ่านช่องทางที่มีการตรวจสอบไม่รัดกุม อาจจะเป็นช่องทางที่การใช้งาน multi-factor authentication ด้วย OTP นั้นมีจุดโหว่ และสร้างความไม่มั่นใจต่อหมายเลขโทรศัพท์ที่จะใช้งานควบคู่กับ multi-factor authentication ว่าจะอยู่รอดปลอดภัยได้มากแค่ไหน ตรงนี้เป็นสิ่งที่ผู้ให้บริการต้องตระหนักและช่วยเหลือผู้ใช้งานให้ได้รับความปลอดภัยสูงสุด

Leave a Reply