1 คะแนน โดย GN⁺ 2024-02-07 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การโจมตีแบบ SIM swap คือการทำให้ผู้ให้บริการเครือข่ายย้ายหมายเลขโทรศัพท์มือถือไปยังอุปกรณ์ของผู้โจมตี แล้วดักรับ รหัส SMS สำหรับล็อกอินและรีเซ็ตรหัสผ่าน โดยประเด็นสำคัญคือการที่บริษัทเลือกใส่ช่องทางที่เปราะบางนี้เข้าไปในขั้นตอนการยืนยันตัวตน
  • SMS ถูกส่งในรูปแบบ ข้อความล้วน และไม่ได้ถูกออกแบบมาเป็นโปรโตคอลเพื่อความปลอดภัย ดังนั้นเมื่อใช้กับการรีเซ็ตรหัสผ่าน การกู้คืนบัญชี การเริ่มใช้งาน หรือการล็อกอิน ความปลอดภัยดิจิทัลของผู้ใช้ก็ถูกผูกติดไปกับการย้ายหมายเลขโทรศัพท์ด้วย
  • บริการจำนวนมาก เช่น Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab และ Bank of America ใช้หรือเคยใช้ SMS สำหรับการล็อกอิน การกู้คืนบัญชี หรือ 2FA ขณะที่ผู้ให้บริการคลาวด์อย่าง Azure, AWS, Twilio และ Google ก็มีบริการรหัสใช้ครั้งเดียวผ่าน SMS
  • ทางเลือกที่ดีกว่าคือ การรีเซ็ตผ่านอีเมล และแอปยืนยันตัวตนอย่าง Authy หรือ Google Authenticator ส่วน SMS 2FA แม้จะยังพอใช้ได้ในวงจำกัดเมื่อมีตัวเลือกที่แข็งแรงกว่าควบคู่กัน ก็ไม่ควรถูกใช้เป็น fallback สำหรับการกู้คืนบัญชี
  • หลังปี 2024 สถานการณ์ยิ่งน่ากังวลขึ้น เมื่อผู้ให้บริการรายใหญ๋ของสหรัฐอย่าง AT&T, T-Mobile และ Verizon ถูกเจาะเป็นเวลานานจากการโจมตีของ Salt Typhoon ทำให้สมมติฐานที่ว่า SMS มอบความปลอดภัยที่แท้จริงในขั้นตอนการล็อกอินยิ่งสั่นคลอน

โครงสร้างที่ทำให้การยืนยันตัวตนด้วย SMS ขยายปัญหา SIM swap

  • การโจมตีแบบ SIM swap เกิดจากผู้โจมตีติดต่อผู้ให้บริการเครือข่ายเพื่อขอพอร์ตหมายเลขโทรศัพท์ของเหยื่อไปยังโทรศัพท์ของตน
    • ในสหรัฐ ผู้ให้บริการต้องทำให้การย้ายหมายเลขทำได้ง่ายตามกฎเรื่องการพกพาหมายเลขเพื่อส่งเสริมการแข่งขัน
    • เมื่อหมายเลขถูกย้ายแล้ว ผู้โจมตีจะรับ ข้อมูลล็อกอินทาง SMS หรือรหัสรีเซ็ตรหัสผ่านที่บริษัทส่งมา และใช้เข้าถึงบัญชีได้
  • การวิจารณ์ว่าการปกป้องหมายเลขของผู้ให้บริการอ่อนแอนั้นเป็นเรื่องสมเหตุสมผล แต่หลายบริษัทเองก็สร้าง ขั้นตอนยืนยันตัวตนที่มีความสำคัญระดับภารกิจหลัก ไว้บนห่วงโซ่ที่เปราะบางนี้
  • ใจความสำคัญคือ “แค่มีคนโน้มน้าวให้ T-Mobile, AT&T หรือ Verizon ย้ายหมายเลขของฉัน ก็ไม่ควรหมายถึงว่าความปลอดภัยดิจิทัลของฉันถูกย้ายตามไปด้วย”

SMS ไม่ได้ถูกออกแบบมาให้เป็นวิธียืนยันตัวตน

  • SMS เป็น ข้อความล้วน ที่ไม่เข้ารหัส และสามารถถูกอ่านหรือดักกลางทางได้เหมือนโปสการ์ด
  • การใช้ SMS ซึ่งไม่ใช่โปรโตคอลความปลอดภัย กับการรีเซ็ตรหัสผ่าน การกู้คืนบัญชี การเริ่มใช้งาน และการล็อกอิน จึงไม่เหมาะสมในเชิงโครงสร้าง
  • SMS-based 2FA ถือเป็นเพียงกรณีที่ “แย่น้อยที่สุด” ในบรรดาทางเลือกความปลอดภัยที่อ่อนแอ เมื่อมันถูกเสนอควบคู่กับตัวเลือก 2FA ที่แข็งแรงกว่า
    • เป้าหมายหลักของคำวิจารณ์คือการรีเซ็ตรหัสผ่าน การเริ่มใช้งานผู้ใช้ และการกู้คืนบัญชีที่อิงกับ SMS
  • ทางเลือกที่ดีกว่าคือการรีเซ็ตรหัสผ่านผ่านอีเมล และ แอปยืนยันตัวตน อย่าง Authy หรือ Google Authenticator
  • หากยังปล่อยให้ SMS เป็น fallback สำหรับการกู้คืนบัญชี การทำ 2FA ที่แข็งแรงกว่าก็อาจถูกทำให้อ่อนแอลงได้

วิธีที่บริษัทต่าง ๆ ใส่ SMS เข้าไปในขั้นตอนยืนยันตัวตน

  • Apple เปิดตัวฟีเจอร์ กรอกรหัสผ่าน SMS อัตโนมัติ บน iPhone ในปี 2018 ซึ่งยิ่งเสริมให้ SMS ถูกใช้ในขั้นตอนรีเซ็ตรหัสผ่านและล็อกอินบัญชี
    • มีบางสถานการณ์ที่การรีเซ็ตบัญชี Apple ใช้ SMS
    • การยืนยันตัวตนสองขั้นตอนของบัญชีนักพัฒนา Apple ก็ใช้ SMS หรือการโทรได้
    • มีการประเมินว่าการทำ 2FA แบบเนทีฟของ Apple อ่อนลงเพราะมี SMS fallback
  • Google เปิดตัวฟีเจอร์ SMS autofill สำหรับ Android ในปี 2019 เพื่อกรอกรหัสใช้ครั้งเดียวอัตโนมัติ
  • ผู้ให้บริการคลาวด์ และธุรกิจโครงสร้างพื้นฐานด้านข้อความ มีส่วนสร้างอุตสาหกรรมรหัส SMS
    • Azure, AWS, Twilio และ Google มีบริการเกี่ยวกับรหัสใช้ครั้งเดียวผ่าน SMS
    • จึงถูกวิจารณ์ว่าเอาเทคโนโลยีที่พังตั้งแต่พื้นฐานมาขายเป็นโซลูชันด้านความปลอดภัย
  • ในบริการการเงินและการชำระเงิน ก็มีการใช้การรีเซ็ตผ่าน SMS การล็อกอินผ่าน SMS, SMS 2FA และการกู้คืนบัญชีผ่าน SMS อย่างแพร่หลาย
    • ตัวอย่างที่ถูกยกมามี Wells Fargo, Cash App, Robinhood, Schwab, PayPal และ Bank of America
    • แม้ตัวเลือก SMS เหล่านี้จะถูกนำเสนอเป็นวิธี “ยืนยันว่าเป็นคุณ” แต่โครงสร้างเดียวกันนี้ก็เอื้อให้ผู้โจมตีแบบ SIM swap เช่นกัน
  • บริการสั่งอาหาร โซเชียลเน็ตเวิร์ก และบริการจัดเก็บข้อมูลจำนวนมาก ก็ใช้ SMS เป็นวิธีหลักในการรีเซ็ตบัญชีเช่นกัน
    • แม้บางบริการอย่าง Dropbox จะมีวิธีปิดใช้งาน แต่ผู้ใช้ต้องไป opt-out เองในแต่ละบริการ
    • หลายบริการไม่มีตัวเลือก opt-out เลย

ความสะดวกไม่ควรมาก่อนความรับผิดชอบด้านการออกแบบความปลอดภัย

  • ผู้ใช้อาจไม่เข้าใจว่าการรีเซ็ตผ่าน SMS มีความเปราะบาง และการตัดสินเรื่องนี้ก็ไม่ควรเป็นภาระของผู้ใช้
  • SMS อาจสะดวกกว่าแอป 2FA อย่าง Authy หรือการรีเซ็ตผ่านอีเมล จึงเป็นสิ่งที่ผู้ใช้นิยมเลือก
  • ฟีเจอร์กรอกรหัส SMS อัตโนมัติของ iPhone แม้จะถูกชมว่าเป็นฟีเจอร์ที่ดีของ iOS แต่ ความสะดวก ไม่ได้แปลว่าปลอดภัย
  • ความรับผิดชอบในการตัดสินและออกแบบว่าระบบความปลอดภัยปลอดภัยพอหรือไม่ อยู่ที่ บริษัทเทคโนโลยี
  • หากบอกว่าให้ความสำคัญกับความปลอดภัยของลูกค้า แต่ยังคงใช้การยืนยันตัวตนผ่าน SMS ก็เท่ากับปล่อยให้ลูกค้าอยู่ในภาวะเสี่ยง

แค่ปรับปรุงโปรโตคอลและกฎกำกับดูแลยังไม่พอ

  • ความพยายามเสริมความแข็งแรงของโปรโตคอลโทรศัพท์อย่าง SHAKEN/STIR ยังไปไม่ถึงระดับการนำมาใช้ครบถ้วนและการบังคับใช้อย่างเข้มงวด จึงยากจะใช้เป็นเหตุผลในการส่งรหัสรีเซ็ตรหัสผ่านผ่าน SMS ต่อไป
  • ต่อให้มีการนำโปรโตคอลโทรศัพท์ที่แข็งแรงกว่ามาใช้ ก็ไม่ได้หยุด การโจมตีแบบ SIM swap เอง
  • โครงการ Sim Verify ของสหภาพยุโรป ถูกพูดถึงในฐานะวิธีให้บริษัทที่พึ่งพา SMS ตรวจสอบได้ว่า SIM เพิ่งถูกพอร์ตหรือไม่
  • แต่ก็ยังไม่แน่ชัดว่าสหรัฐจะมีการเปลี่ยนแปลงลักษณะนี้ในอนาคตอันใกล้หรือไม่ และประสบการณ์จากการผลักดัน SHAKEN/STIR ก็ชี้ว่าการเปลี่ยนแปลงอาจใช้เวลานาน
  • ยังมีคอมเมนต์ใน Hacker News ที่อ้างว่า NIST ได้ออกแนวทางที่เข้มงวดต่อการใช้ SMS หรือการโทรศัพท์เพื่อระบุตัวผู้ใช้ ณ เดือนตุลาคม 2023

ความเสี่ยงจากผู้ให้บริการเครือข่ายยิ่งแย่ลงหลังปี 2024

  • ในอัปเดตมีการสรุปว่า ผู้ให้บริการรายใหญ่ของสหรัฐอย่าง AT&T, T-Mobile และ Verizon ถูกเจาะจากการโจมตีของ Salt Typhoon เป็นเวลาหลายเดือน
  • ผู้ให้บริการเหล่านี้เป็นผู้ส่งต่อ SMS ที่ไม่เข้ารหัส ซึ่งถูกใช้ในขั้นตอนล็อกอินจำนวนมหาศาล การเปิดใช้งานบัญชีอีกครั้ง และการรีเซ็ตรหัสผ่าน
  • เมื่อนำการถูกเจาะของผู้ให้บริการในสหรัฐมาพิจารณาร่วมกับความต่อเนื่องของการโจมตีแบบ SIM swap ก็ยิ่งควรเลิกเชื่อว่า SMS มอบความปลอดภัยที่แท้จริงในส่วนใดก็ตามของขั้นตอนการล็อกอิน
  • Google ถูกยกเป็นตัวอย่างที่เริ่มยอมรับข้ออ่อนแอของ SMS ใน Gmail แบบจำกัด และเริ่มขยับออกจากมัน
  • ขณะที่ Chase, Block/Square และ Apple ยังเป็นตัวอย่างของบริการที่ยังคงพึ่งพา SMS ในบางส่วนของกระบวนการล็อกอิน

กรณีผลกระทบต่อผู้ใช้จากคอมเมนต์ใน Hacker News

  • หากเดินทางอยู่ในพื้นที่ที่รับ SMS ไม่ได้ ผู้ใช้อาจถูกล็อกออกจากบัญชี
  • มีการยกกรณีธนาคารอย่าง Bank of America ที่ต้องเปิดใช้ SMS 2FA ก่อน จึงจะเปิด 2FA แบบใด ๆ ได้ ว่าเป็นปัญหา
  • ยังมีกรณีที่เปลี่ยนหมายเลขแล้วถูกล็อกออกจาก Viber หรือ Citibank กำหนดให้ต้องยืนยันผ่าน SMS เมื่อต้องการเปลี่ยนหมายเลขโทรศัพท์ในบัญชี
  • หากผู้ให้บริการคิดค่าบริการโรมมิ่ง SMS ผู้ใช้ก็ต้องจ่ายเงินเพื่อใช้วิธีความปลอดภัยที่อ่อนแอ
  • หากไม่เติมเงินคงเหลือในระบบเติมเงินจน SIM ถูกระงับ ก็จะรับ SMS ไม่ได้ และกระทบต่อการเข้าถึงบริการที่บังคับใช้ SMS
  • ผู้แสดงความเห็นที่เคยทำงานในภาคธนาคารของสหภาพยุโรประบุว่า SMS แพงกว่าในสหรัฐ จึงไม่แพร่หลายเท่า และมองว่า SMS 2FA เปราะบางทั้งต่อการถูกเจาะและต่อการล็อกผู้ใช้ออก

ทำไมจึงต้องเลิกยืนยันตัวตนด้วยหมายเลขโทรศัพท์

  • ในยุคของ deepfake บริการ ยืนยันตัวตน ที่แข็งแรงมีความสำคัญยิ่งขึ้น
  • เมื่อบริการสร้างบัตรประจำตัวปลอมด้วย AI เริ่มแพร่หลาย และการระบุตัวด้วยลายนิ้วมือเสียงที่บริษัทการเงินหรือ ISP ใช้มานาน อาจใช้ไม่ได้ผลเมื่อเจอกับเสียง deepfake และผู้โจมตีที่มุ่งมั่น
  • จึงควรถอยออกจากวิธียืนยันตัวตนที่ไม่เข้ารหัสและเปราะบางต่อ SIM swap อย่าง SMS
  • แรนซัมแวร์ก็เป็นอีกปัญหาใหญ่ที่วงการไอทีต้องรับมือ และการโจมตีแบบ SIM swap ถูกพูดถึงว่าเป็นเวกเตอร์สำคัญในการเจาะเครือข่ายองค์กร
  • จึงมีการเชื่อมโยงว่าการลดการล็อกอินผ่าน SMS อาจช่วยบรรเทาปัญหาแรนซัมแวร์ได้บางส่วน

1 ความคิดเห็น

 
GN⁺ 2024-02-07
ความคิดเห็นจาก Hacker News
  • ก่อนที่ขยะ SMS จะถาโถมเข้ามา รหัส TOTP เคยถูก 1Password กรอกให้อัตโนมัติจากอุปกรณ์ใดก็ได้ ที่ไหนก็ได้
    ตอนนี้ต้องหยิบมือถือออกมาตลอด และแม้จะไม่ต้องการเบอร์นั้น ถ้าจะเดินทางก็ต้องจ่ายค่าโรมมิงระหว่างประเทศหรือตั้งค่าการส่งต่อ SMS ความปลอดภัยนี่ดีจริง ๆ
    ถ้าตรรกะคือหมายเลขโทรศัพท์สามารถกู้คืนกลับไปยังตัวตนจริงได้เสมอ ก็ไม่ควรบังคับให้ฉันโปรยเบอร์ไปให้บริษัททั่วโลก แต่ให้ เชื่อมแอปยืนยันตัวตนเข้ากับ SMS ก็พอ

    • ปัญหาคือแอปยืนยันตัวตนไม่สามารถให้ ตัวระบุข้ามไซต์/ข้ามแอป ที่ค่อนข้างเสถียร ซึ่งเอาไปขายแลกเศษเงินค่าโฆษณาได้
    • ถ้าใส่ถึง ตัวสร้างรหัส TOTP ไว้ในตัวจัดการรหัสผ่าน จำนวนปัจจัยยืนยันตัวตนก็กลับมาเหลือ 1 อย่างอีกไม่ใช่หรือ?
    • พอเปลี่ยนผู้ให้บริการมือถือก็เชื่อได้ยากว่าจะคงเบอร์เดิมไว้ได้ไหม การย้ายเบอร์ระหว่าง MVNO ก็เอาแน่เอานอนไม่ได้ และผมก็เดินทางต่างประเทศด้วย จึงใช้ เบอร์ Google Voice กับทุกที่
      แต่บริษัทโง่ ๆ กลับเรียกขอหมายเลขโทรศัพท์พร้อมกับบล็อกการใช้ Google Voice
    • อยากให้มี บริการยืนยันตัวตนและอัตลักษณ์ ที่เลือกความยากในการกู้คืนได้เอง
      เลือกได้ตามค่าใช้จ่าย ตั้งแต่แสดงบัตรประจำตัวที่รัฐออกให้ ตรวจลายนิ้วมือ ไปจนถึงการตรวจ DNA แบบรวดเร็วจริง ๆ และสามารถระบุผู้รับผลประโยชน์ของบัญชีเมื่อเสียชีวิตหรือไร้ความสามารถได้ด้วย
      วิธีปัจจุบันที่พึ่งพาอีเมล บัญชี Google และ SMS เพื่อยืนยันตัวตนขั้นสุดท้ายนั้นเหลวไหล ทั้งสามอย่างไม่ปลอดภัย หรือมีความเสี่ยงถูกบล็อกตามอำเภอใจ หรือกู้คืนยาก หรือไม่ยืนยันตัวตนจริงจึงเปราะบางต่อสแปม
    • ในอินเดีย ถ้าไม่เติมเงินทุกเดือน SIM card จะหยุดทำงาน หลังจาก 2 เดือนเบอร์จะถูกบล็อก และหลังจาก 90 วันเบอร์จะถูกยกเลิกและนำกลับมาใช้ใหม่
      ข้อโต้แย้งที่พบบ่อยคือ WhatsApp จะบล็อกการรีเซ็ตรหัสผ่าน ฯลฯ ถ้าเบอร์ไม่ได้ใช้งาน 90 วัน ดังนั้นก็ไม่เป็นไร
      จากนั้นก็มักต่อด้วยว่า ถ้าอย่างนั้นก็ยื่นคำขอเป็นลายลักษณ์อักษรกับธนาคารเพื่อเปลี่ยนหมายเลขมือถือได้ จึงไม่เป็นไร
  • การใช้ SMS กับการกระทำสำคัญของบัญชีเป็นเรื่องแย่มาก

    1. มือถืออาจหายหรือถูกขโมยได้
    2. ผู้คนอาจย้ายประเทศไปใช้ชีวิตได้
    3. มีการโจมตีผ่าน SMS
    4. หมายเลขโทรศัพท์ถูกนำกลับมาใช้ใหม่
    5. ผู้ใช้ต้องคงแพ็กเกจมือถือแบบเสียเงินไว้
      ได้โปรดอย่าผูกบัญชีกับหมายเลขโทรศัพท์
      แก้ไข: เปลี่ยนบรรทัดแรกเพื่อให้ชัดเจนว่าไม่ได้หมายถึงการแจ้งเตือนครั้งเดียวเป็นต้น
      1. ตามนิยามแล้ว ถ้าอุปกรณ์สำหรับยืนยันตัวตนสองปัจจัยถูกขโมย ยังไงก็จบ Authenticator ก็จบเหมือนกัน อย่างน้อย SMS ยังติดต่อผู้ให้บริการเพื่อเอาเบอร์เดิมกลับมาได้
      2. มีโรมมิง การรับข้อความในต่างประเทศมักฟรี
      3. ถูกต้อง
      4. ถูกต้อง แต่ถ้ารักษาไว้แม้แค่ดาต้า ก็ปล่อยให้ยังใช้งานอยู่ได้ง่าย
      5. ถูกต้อง แต่ถ้าตั้งค่าดี ๆ แทบไม่เสียเงิน ผมคง SIM card ยุโรปและไทยไว้ด้วยเงินต่ำกว่าปีละ 5 ดอลลาร์ และเบอร์ Google Voice ก็ใช้ฟรีมาตั้งแต่ปี 2009
        ผมเห็นด้วยว่าการใช้ Authenticator และ Passkeys ดีกว่า แต่อย่าปฏิเสธแม้แต่ ข้อดีของ SMS
    • ผมคิดว่าการที่มือถือกำลังกลายเป็น ตัวตนของบุคคล เป็นปัญหาใหญ่มาก
      ผมเห็นบ่อยว่าคู่รักใช้มือถือของกันและกันและรู้รหัสผ่านของกันและกัน แต่ไม่รู้ว่าจะเชื่อใจใครได้ถึงขนาดนั้นไหม แม้แต่แม่แท้ ๆ ผมก็คงไม่ให้รหัสผ่าน ทั้งที่แม่ก็ไม่เคยให้เหตุผลว่าควรไม่ไว้ใจ
      สิ่งที่แย่ที่สุดคือเรื่องนี้ไม่ใช่ทางเลือก บริการต่าง ๆ จู่ ๆ ก็เริ่มใช้ SMS เป็นการยืนยันตัวตนสองปัจจัย
      ถ้าเปลี่ยนเบอร์โทรแล้วควรทำอย่างไรผมก็ไม่รู้ ถ้าควบคุมเบอร์เดิมไม่ได้จนเข้าบัญชีไม่ได้ แล้วจะเปลี่ยนเป็นเบอร์ใหม่ได้อย่างไร? ถ้าวันหนึ่งบัญชีที่ไม่เคยคิดว่าต้องอัปเดต จู่ ๆ ก็เรียกให้ยืนยันตัวตนสองปัจจัยล่ะ? โดยรวมแล้วเป็นระบบที่แย่จริง ๆ
    • ผู้ให้บริการอินเทอร์เน็ตหรือบริษัทไฟฟ้าที่ให้เลือกรับข้อความแจ้งเตือนไฟดับและอัปเดตเป็นระยะ ๆ นั้นเป็นเรื่องดี ถ้าหยุดได้ด้วย STOP ก็โอเค
      ระหว่างไปแคมป์ 2 สัปดาห์ มีพายุรุนแรงพัดผ่านรัฐบ้านเกิด และไฟดับไป 5 วัน ถ้าไม่มี การแจ้งเตือน SMS ก็คงไม่รู้ และพอกลับถึงบ้านก็สามารถเคลียร์ตู้เย็นกับตู้แช่แข็งได้ทันที
    • ถ้าเก็บอีเมลไว้เสมอก็คิดว่าโอเค
      ต่อให้โทรศัพท์ถูกยึด อีเมลก็ยังอยู่
      ในมุมผู้ใช้ปลายทาง มันก็ใช้งานสะดวกจริง ๆ ต่อให้ปัญหาแบบนี้เกิดกับคน 1% ก็อาจไม่เป็นปัญหาสำหรับคนนับพันล้าน มันถูกและสะดวก มือถือรับข้อความแล้วกรอกให้อัตโนมัติ
      ไม่ต้องสลับแอปเพื่อเช็กอีเมล ตราบใดที่อีเมลไม่ถูกยึด บัญชีก็กู้คืนได้เสมอ ถ้าเสียอีเมลไปก็น่าเสียดาย แต่เรื่องแบบนั้นก็เกิดขึ้นอยู่ดี นั่นแหละจึงควรเปลี่ยนรหัสผ่านเป็นระยะและตั้งค่าการยืนยันตัวตนหลายปัจจัย
      ความปลอดภัยไม่มีวันเป็น 100% ได้ นั่นเป็นเรื่องเปล่าประโยชน์ ต้องสะดวกพอและปลอดภัยพอให้ใช้ได้กับผู้คนให้มากที่สุด
      แทบทุกคนนอก HN ไม่สนใจและไม่เข้าใจด้วย ไม่จำเป็นต้องเข้าใจ ใช้แอปทำสิ่งที่ต้องทำแล้วก็ไปต่อ
      ให้พวกเนิร์ดจัดการแบ็กเอนด์ไป
    • ผมรู้สึกหลอนมาตลอดที่ Revolut บังคับให้เชื่อมหมายเลขโทรศัพท์
  • ในอาร์เจนตินา ผู้ใช้ Movistar เจอปัญหาใหญ่เกี่ยวกับ Payoneer SMS เคยพยายามเอาไปลง HN แต่ถูกกลบไป
    คำแปลคร่าว ๆ ของทวีตภาษาสเปนที่มีข้อมูลเชิงลึก [1] มีดังนี้:
    “ปริศนา Payoneer คลี่คลายแล้ว
    #PayoneerHacked

    • ผู้โจมตีเจาะ SMS gateway ที่ใช้ส่งการยืนยันตัวตนแบบ 2 ขั้นตอนให้ลูกค้า Movistar ได้ แพลตฟอร์มต่าง ๆ ใช้สิ่งนี้เพื่อประหยัดต้นทุน
    • ผู้โจมตีเห็นข้อความยืนยันตัวตนแบบ 2 ขั้นตอนที่วิ่งจาก Payoneer ไปยังหมายเลข Movistar แต่หากจะเปลี่ยนรหัสผ่านและทำธุรกรรม พวกเขาต้องรู้อีเมลของผู้ใช้ Payoneer
    • ดังนั้นจึงสร้างเว็บฟิชชิงขึ้นมาเพื่อหาว่าอีเมลที่อยู่เบื้องหลังแต่ละหมายเลขโทรศัพท์คืออะไร และเอาไปเฉพาะอีเมลเท่านั้น ด้วยอีเมล + หมายเลขโทรศัพท์ + การเข้าถึงแบบเรียลไทม์ไปยังรหัสยืนยันตัวตนแบบ 2 ขั้นตอนจาก SMS gateway ที่ถูกเจาะ พวกเขาจึงเปลี่ยนรหัสผ่าน เข้าบัญชี และโอนเงินได้ เพราะยังคงอ่านข้อความยืนยันตัวตนแบบ 2 ขั้นตอนที่มาถึงมือถือ Movistar ได้อยู่
    • ดังนั้นเหยื่อจึงเห็น SMS ยืนยันตัวตนแบบ 2 ขั้นตอนจริง ๆ หลายครั้งในตอนกลางคืน และระหว่างนั้นบัญชีก็ถูกดูดจนหมด
    • ต่อให้ลูกค้า Payoneer ตกเป็นเหยื่อฟิชชิง ตามปกติแล้วสิ่งที่หลุดก็น่าจะมีแค่หนึ่งในปัจจัยยืนยันตัวตนแบบ 2 ขั้นตอน ไม่ใช่ทุกอย่างที่จำเป็นสำหรับล็อกอิน เพิ่มบัญชี และโอนเงิน เงื่อนไขที่จำเป็นข้อนี้ทำให้เห็นได้ว่ามีการเจาะ SMS gateway เกิดขึ้น
    • เหยื่อเสียเงินเพราะส่วนท้ายสุดของ security stack ถูกเจาะ
      ระวังไว้ Facebook, Twitter ฯลฯ ก็แชร์ gateway เดียวกันเพื่อประหยัดค่า SMS
      แนบสกรีนช็อต SMS ที่มาถึงเหยื่อตอนรุ่งสางไว้ เหยื่อไม่มีทางแชร์สิ่งนี้ผ่านฟิชชิงใด ๆ ได้ และ SMS เหล่านี้จำเป็นต่อการดูดเงินออกจากบัญชี
      ไม่ว่าคุณจะอ่านอะไรจากสื่อ… ผลไม้มีเยอะ สลัดก็เต็มไปหมด แต่ซอสมีน้อย ต้นฉบับอยู่ที่นี่
      ขอบคุณทุกคนที่ให้ความร่วมมือ”
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • ส่วนที่บ้ากว่านั้นคือ Payoneer อนุญาตให้ รีเซ็ตรหัสผ่านบัญชีได้ด้วยโค้ดรีเซ็ตที่ส่งทาง SMS เพียงอย่างเดียว โดยไม่ต้องพิสูจน์ว่าเป็นเจ้าของอีเมลแอดเดรส
  • มีคำกล่าวว่า “[ลูกค้า] รู้สึกว่า [การรีเซ็ตผ่าน SMS] สะดวกกว่าการรีเซ็ตผ่านอีเมล” แต่ส่วนตัวแล้วทุกครั้งที่ต้องล็อกอินบัญชี Google ด้วยการยืนยันผ่านโทรศัพท์ ผมหงุดหงิด
    ต้องลุกจากโต๊ะไปหาโทรศัพท์ และบางทีโทรศัพท์ก็อยู่คนละห้อง เพื่อจะได้รับสายหรือข้อความที่มีโค้ด
    เมื่อเทียบกันแล้ว TOTP สะดวกกว่ามาก เพราะผมเก็บโค้ดไว้ใน KeePassXC จึงไม่ต้องลุกจากโต๊ะ

    • ถ้ากดลิงก์ “ลองวิธีอื่น” จะใช้ โค้ด TOTP ได้
      Google เรียกตัวเลือกนี้ว่า “รับรหัสยืนยันจากแอป Google Authenticator” แม้คุณจะไม่เคยใช้ Authenticator ก็ตาม
    • ใน ecosystem ของ Apple นั้น SMS จะซิงก์ไปที่ Mac, Safari ตรวจจับโค้ดแล้วกรอกลงหน้าเว็บให้อัตโนมัติ และเมื่อเสร็จแล้วยังลบ SMS ให้อัตโนมัติด้วย ไม่มีอะไรลื่นไหลไปกว่านี้แล้ว
    • แค่สร้าง passkey ไว้ในแต่ละอุปกรณ์ก็พอ
      https://www.google.com/account/about/passkeys/
      https://blog.google/technology/safety-security/passkeys-defa...
      เว็บไซต์ที่รองรับ Passkeys: https://passkeys.directory/
  • ตอนที่ทำหมายเลขโทรศัพท์หายก็แย่มากจริง ๆ
    ผมล็อกอินเข้าบัญชี Google หลักไม่ได้มาหลายปีแล้ว มีชื่อผู้ใช้ รหัสผ่าน อีเมลกู้คืน และอีเมลทั้งหมดก็ถูกส่งต่อมาหาผม แต่เพราะไม่มีหมายเลขโทรศัพท์ที่ผูกกับบัญชีนั้นอีกแล้ว จึงถูกมองอย่างชัดเจนว่าเป็นผู้บุกรุก

    • Google แย่มากในเรื่องนี้ แม้แต่อีเมลกู้คืนก็ยังไม่เอามาใช้อย่างเหมาะสม
      ทางออกเดียวคือกลับไปยังช่วง IP ที่ดูเหมือนตำแหน่ง “บ้าน” เดิม แล้วภาวนาให้ใช้ได้ ผมมีหลายอย่างอยากพูดกับคนใน Google ที่คิดว่าการไม่อนุญาตให้เข้าถึงหรือกู้คืนบัญชีเป็นเรื่องดี
    • ตอนเดินทางก็เหมือนกัน เคยถูกล็อกเอาต์จากบัญชีตอนอยู่ต่างประเทศ และไม่มี การเข้าถึง SNS
    • หลายคนบอกว่าใช้หมายเลขโทรศัพท์ก็ไม่เป็นไร เพราะใช้วิธีอื่นเป็นตัวสำรองได้ แต่ผมอ่านเรื่องแบบนี้มาค่อนข้างเยอะ ที่ Google เรียกข้อมูลทั้งหมดที่มีอยู่
    • EU กำลังจะมี กระเป๋าเงินตัวตนดิจิทัล แบบรวมศูนย์อยู่แล้ว ตอนนี้ก็มีลายเซ็นอิเล็กทรอนิกส์ที่มีคุณสมบัติตามเกณฑ์อยู่แล้วด้วย
      บัตรประจำตัวในประเทศของผมมีชิปที่ใช้การเข้ารหัสแบบกุญแจสาธารณะ ถ้า Google อนุญาตให้ผูกบัญชี Google กับตัวตนของรัฐอย่างถาวร ปัญหานี้ก็น่าจะแก้ได้ อย่างน้อยก็สำหรับผู้พำนักใน EU
      แบบนั้นก็ใช้ YubiKey หนึ่งอันได้โดยไม่ต้องกังวลว่าจะทำหาย และต่อให้มีคนขโมยไปก็ยังเอาบัญชีกลับคืนมาได้
    • ผมมั่นใจว่านี่เป็นบั๊ก ถ้ามีอีเมลกู้คืน ก็ควรทำให้ไม่จำเป็นต้องใช้การยืนยันผ่าน SMS
      แต่ Google ไม่มีทั้ง helpdesk และไม่มีวิธีรายงานบั๊ก น่าอายจริง ๆ Google
  • สิ่งที่ผมเกลียดที่สุดคือเวลาบริษัทต่าง ๆ ยืนกรานว่า หมายเลข Google Voice ของผม “ใช้สำหรับยืนยันตัวตนไม่ได้” หรือพูดตรงกว่านั้นว่า “ไม่ใช่หมายเลขโทรศัพท์/มือถือที่ถูกต้อง”
    บางบริษัทในตอนแรกอนุญาตให้สมัครด้วยหมายเลขนี้ได้ แต่หลังจากสมัครไปแล้วก็เปลี่ยนนโยบายในบางช่วง ปกติจะรู้ตัวก็ตอนถูกล็อกออกจากบัญชีแล้ว
    โชคดีที่ส่วนใหญ่เป็นแอปร้านค้าหรือบริการชำระเงินที่ต่อไปก็แค่หลีกเลี่ยงได้ เพราะเห็นชัดว่าเขาไม่ได้เห็นคุณค่าการทำธุรกรรมของผม แต่ผมกังวลว่าสักวันธนาคารของผมจะทำแบบเดียวกันแล้วล็อกผมออกจากบัญชี

    • เหตุผลที่การดูดหมายเลขโทรศัพท์ของผู้ใช้ไปใช้หาประโยชน์แพร่หลายมากนั้นง่ายมาก
      ทุกคนมีมือถือ และคนส่วนใหญ่แทบไม่เปลี่ยนเบอร์ อีกทั้งหลายคนให้เบอร์โทรง่ายกว่าหมายเลขประกันสังคมเสียอีก
      พวกเขาไม่ได้สนใจความปลอดภัยของบัญชี หรือว่านั่นเป็นหมายเลขที่ถูกต้องซึ่งผู้ใช้ควบคุมอยู่หรือไม่ พวกเขาแค่ต้องการหมายเลขที่ใช้ระบุตัวผู้ใช้ได้แบบไม่ซ้ำ และเป็นหมายเลขที่อยู่แล้วในฐานข้อมูลของ บริษัทเทคโนโลยีโฆษณา ซึ่งเป็นกลุ่มที่ซื้อข้อมูลผู้ใช้แพงที่สุด
    • จากประสบการณ์กับ Google Voice ผมมองว่าการไม่อนุญาต Google Voice เป็นสัญญาณเชิงบวกที่อาจช่วยผู้คนได้
      ผมเขียนไว้เล็กน้อยในคอมเมนต์อื่นของบทความนี้ว่าทำไมไม่ควรใช้ Google Voice: https://news.ycombinator.com/item?id=39270503
      ประสบการณ์ของผมอาจไม่ใช่แบบเดียวกับทุกคน แต่ผมก็ยังมองว่าการพึ่งพา Google Voice ที่ “ฟรี” นั้นเสี่ยง
    • Viber ทำแบบนั้นกับผม บัญชี Viber ของผมมีมาตั้งแต่ปี 2012 แต่เพิ่งมารู้ตอนเปลี่ยนมือถือ
  • ถ้าจะโต้แย้งก็คือ การล็อกอินและกู้คืนบัญชีด้วย SMS ให้ประสบการณ์ผู้ใช้ที่ดี และผู้ให้บริการโทรคมนาคมโดยรวมควรยกระดับมาตรฐาน

    • ไม่ใช่เลย มันน่ารำคาญมากในการใช้งาน
      ผมใช้คอมพิวเตอร์เดสก์ท็อปอยู่ ไม่ควรถูกบังคับให้ส่งอะไรไปที่มือถือทุกครั้งที่ล็อกอิน เพียงเพราะไม่อยากรองรับ FIDO หรือการยืนยันตัวตนสองขั้นตอนของจริงแบบอื่น ๆ
      แล็ปท็อปผมมีเครื่องอ่านลายนิ้วมือ มือถือมี Face ID และใน USB ก็มี YubiKey ใช้สิ่งเหล่านั้นก็พอ
    • ผมเคยเขียนคอมเมนต์เกี่ยวกับ SMS ในฐานะปัจจัยยืนยันตัวตนขั้นที่สองไว้เมื่อ 11 วันก่อน ซึ่งใช้ได้กับกรณีทั่วไปด้วย: https://news.ycombinator.com/item?id=39130032
      อีเมลดีกว่าอย่างชัดเจน เหตุผลหลักคือผู้ให้บริการอีเมลมักเป็นที่ที่ผู้ใช้ควบคุมได้ หรือเป็นโดเมนแบบกำหนดเองของพวกเนิร์ดอย่างเรา หรือไม่ก็เป็นองค์กรขนาดใหญ่ไร้ตัวตนแบบ Google ไม่ใช่เป้าหมายที่ผู้โจมตีเปลี่ยนได้ง่ายเหมือนผู้ให้บริการหมายเลขโทรศัพท์
      ผมทำงานกับผู้ให้บริการตัวตน และมีคนจำนวนไม่น้อยที่ขอให้รองรับฟีเจอร์นี้ โดยเฉพาะจากมุมมองประสบการณ์ผู้ใช้
      อย่างที่พูดไปข้างต้น ผู้ให้บริการหมายเลขโทรศัพท์ก็ควรต้องรับผิดชอบด้วย หากแนวโน้มการผลักดันหมายเลขโทรศัพท์ให้เป็นตัวระบุตัวตนทั่วโลกทั้งออฟไลน์และออนไลน์ยังดำเนินต่อไป ผู้ให้บริการเครือข่ายควรตั้งเงื่อนไขให้เข้มงวดขึ้นสำหรับ การเปลี่ยนหมายเลขโทรศัพท์
    • อ้างจากบทความ:
      “เป็นเวลาหลายปีที่คนในอุตสาหกรรมมักพูดทำนองนี้เสมอว่า ‘การให้บริการยืนยันตัวตนผ่าน SMS โดยรวมแล้วดีกว่าสำหรับความปลอดภัยของลูกค้า แม้จะมีข้อเสีย แต่ก็สะดวกกว่าวิธีอื่น เช่น การยืนยันผ่านอีเมลที่ปลอดภัยกว่ามาก’ ต่อเรื่องนี้ผมขอพูดว่า ‘คุณเป็นใครถึงได้พรากความปลอดภัยไปจากลูกค้า?’”
      อีกตอนหนึ่ง:
      “เป็นเรื่องเข้าใจได้ที่ความโกรธจำนวนมากเกี่ยวกับการโจมตีแบบ SIM swap พุ่งไปที่ผู้ให้บริการเครือข่าย จริง ๆ แล้วผู้ให้บริการเหล่านี้รักษาความปลอดภัยหมายเลขโทรศัพท์ของลูกค้าได้แย่มาก และอาจต้องรับผิดชอบต่อข้อบกพร่องนั้น แต่ประเด็นสำคัญคือ ความปลอดภัยของผู้ให้บริการเครือข่ายนั้นแย่มาโดยตลอด และบางส่วนยังแย่ลงเพราะระบบกฎหมายด้วยซ้ำ แต่บริษัทอื่น ๆ ก็ยังเลือกสร้างระบบสำคัญต่อภารกิจไว้บนจุดอ่อนนั้นอยู่ดี”
      อีกตอนหนึ่ง:
      “SMS มีความปลอดภัยแย่ แต่ทำให้การสมัครลูกค้าใหม่ เช่น การ onboarding ของ Uber และการรีเซ็ตรหัสผ่าน ทำได้แทบไร้แรงเสียดทาน บริษัทต่าง ๆ รู้สึกว่าต้องตามคู่แข่งที่นำเทคนิคนี้มาใช้”
      ส่วนสุดท้ายนี้ถูกเขียนทับไปอย่างน่าเสียดายระหว่างอัปเดตบทความ WordPress และได้เพิ่มกลับเข้าไปแล้ว
    • การส่ง SMS ไปยังหมายเลขที่คุณไม่ได้เป็นเจ้าของอีกต่อไปนี่เป็นประสบการณ์ผู้ใช้ที่ยอดเยี่ยมจริง ๆ
    • ไม่ใช่ทุกคนที่จะมีหรืออยากมีโทรศัพท์มือถือ และไม่ใช่ทุกคนที่อยากยกการควบคุมชีวิตของตนให้กับ ผู้ให้บริการเครือข่ายมือถือ
  • เห็นด้วยว่า SMS เป็น ปัจจัยยืนยันตัวตนหลายปัจจัย ที่แย่มาก
    แต่การขอให้คนติดตั้งแอปเป็นภาระมหาศาล มันจึงแพร่หลาย อีกอย่าง คนก็ไม่เคยเก็บ recovery code ไว้เลย
    จะใช้ Authy แล้วสำรองโค้ดก็ได้ แต่นั่นแทบจะอยู่ในขอบเขต “สำหรับคนเทคนิค”
    สุดท้ายแล้ว ทางออกเดียวที่เป็นจริงได้สำหรับคนทั่วไปคือ SMS ต้องทำให้ผู้ให้บริการเครือข่ายมือถือทำให้ SIM swap ยากขึ้น

    • ธนาคารผู้ออกบัตรในยุโรปทำได้กันหมดแล้ว
      ที่นั่น SMS โชคดีที่มีต้นทุนสูงพอจนธนาคารมองว่าไม่คุ้มทางเศรษฐกิจที่จะใช้เป็นปัจจัยรหัสผ่านใช้ครั้งเดียว และสำหรับการยืนยันการชำระเงินก็ถูกมองว่าไม่ปลอดภัยพอหากใช้เดี่ยว ๆ จึงต้องมีปัจจัยที่สอง
      ผลคือธนาคารต่าง ๆ ต้องเสนอวิธีที่ปลอดภัยกว่าหรือใช้งานตามหลักสรีรศาสตร์ได้ดีกว่า เช่น แอปยืนยันตัวตนเฉพาะของธนาคาร ซึ่งมักทำงานได้แม้ไม่มีอินเทอร์เน็ตหรือสัญญาณมือถือ เช่น ระหว่างเดินทางต่างประเทศ, ตัวตรวจสอบฮาร์ดแวร์, WebAuthN เป็นต้น
      ไม่ใช่แค่ “ทำให้ SIM swap ยากขึ้น” แต่บริษัทการเงินควรยกระดับมาตรฐานและเสนอวิธีที่ไม่เปราะบางทั้งต่อการละเมิดความปลอดภัยและการล็อกผู้ใช้ออกจากระบบ
    • ธนาคารของผมให้ติดตั้ง Symantec VIP ซึ่งไม่ค่อยดีนัก
      การยื่นภาษีต้องใช้ MyGovID อันนี้ก็ไม่ค่อยดีเหมือนกัน
    • ตอนนี้ Google Authenticator ซิงก์กับบัญชี Google ได้แล้ว
    • ตัวจัดการรหัสผ่านในตัวของ iOS รองรับ การยืนยันตัวตนสองขั้นตอนแบบ TOTP ได้จากในระบบปฏิบัติการโดยตรง จึงไม่ต้องใช้แอปแยก
  • ลองเอาตรรกะเดียวกันไปใช้กับเรื่องอื่นดู
    บริษัทที่นำการล็อกอินด้วยรหัสผ่านมาใช้ต้องรับผิดชอบต่อการขโมยโพสต์อิท
    บริษัทที่นำการยืนยันตัวตนสองขั้นตอนทางอีเมลมาใช้ต้องรับผิดชอบต่อการขโมยบัญชีอีเมล
    ไม่แน่ใจว่าตรรกะนี้ใช้ได้จริงไหม เห็นเรื่องแบบนี้ซ้ำ ๆ มีฝ่ายที่ไม่ได้ละเมิดกฎหมาย และพร้อมให้ความร่วมมือกับการบังคับใช้กฎหมายอยู่ แต่ฝ่ายอาชญากรที่ไม่ทำตามกฎหมายกลับโจมตีลูกค้าของฝ่ายนั้น พอเราไม่สามารถดีดนิ้วให้รัฐบาลทำให้ความผิดฐานลักทรัพย์ผิดกฎหมายเป็นสองเท่า สามเท่าได้ ผู้คนก็มักไปจับฝ่ายที่โดยรวมแล้วบริสุทธิ์ แล้วพยายามทำให้ชีวิตของพวกเขายากขึ้น
    ควรหายใจลึก ๆ แล้วปล่อยวาง ไม่มีระดับไหนที่ไม่เป็นอันตรายสำหรับการลงโทษคนบริสุทธิ์แทนคนที่ทำผิด
    อาจฟังดูแปลกและบ้าบอ แต่คนที่เปลี่ยน SIM ควรเป็นผู้รับผิดชอบต่อการโจมตีแบบ SIM swap อะไรนะ? ให้โทษอาชญากรเหรอ? เป็นจุดยืนที่กล้า แต่ก็ถูกต้อง

    • ความแตกต่างระหว่างการยืนยันตัวตนสองขั้นตอนผ่าน SMS กับตัวอย่างเหล่านั้นคือ อย่างแรกนั้นใช้อย่างปลอดภัยไม่ได้จริง ๆ ตามตัวอักษร
      เท่าที่รู้ ไม่มีผู้ให้บริการมือถือสำหรับผู้บริโภคในสหรัฐฯ รายใดที่ใช้มาตรการป้องกันที่เหมาะสมเพื่อกันเรื่องอย่างการทำ SIM swap โดยไม่ได้รับอนุญาต
      บริษัทที่ทำระบบยืนยันตัวตนสองขั้นตอนผ่าน SMS ควรรู้ข้อเท็จจริงนี้ และถ้ารู้อยู่แล้วว่านี่เป็นระบบยืนยันตัวตนสองขั้นตอนที่มีข้อบกพร่องอย่างหนัก แต่ยังขายให้ผู้บริโภคว่า “ปลอดภัยกว่า” ก็ควรรับผิดชอบเมื่อมันล้มเหลว
      ยิ่งการยืนยันตัวตนสองขั้นตอนผ่าน SMS ตายเร็วเท่าไร เว็บไซต์เก่า ๆ ที่ทำไว้แค่การยืนยันตัวตนสองขั้นตอนผ่าน SMS ก็จะยิ่งถูกบังคับให้ทำวิธีที่ปลอดภัยจริง ๆ มากขึ้นเท่านั้น
    • ตอนดูกรณี 23andMe ก็คิดคล้ายกัน
      อาจเป็นไปได้ว่าพวกเขาควรทำได้ดีกว่านี้ แต่ความพยายามจะ “ลงโทษ” พวกเขารู้สึกเหมือนเป็นการออกกฎหมายย้อนหลัง ควรสร้างกฎระเบียบใหม่แล้วลงโทษเหตุการณ์ในอนาคต ไม่ใช่ลงโทษเหตุการณ์ครั้งนี้
    • ผู้ให้บริการโทรคมนาคมก็ควรต้องรับผิดชอบด้วย
    • นั่นเป็นการโต้แย้งแบบหุ่นฟาง การไม่เขียนไว้บนโพสต์อิทเป็นสิ่งที่ควบคุมได้
      การโจมตีแบบ SIM swap ควบคุมไม่ได้
  • ในมุมของผู้ให้บริการออนไลน์ การใช้ SMS นั้นสมเหตุสมผลอย่างยิ่ง
    เป้าหมายสองข้อต่อไปนี้คล้ายกันมากแต่เป็นคนละเรื่อง

    1. การพิสูจน์ความเป็นเจ้าของบัญชี: คนที่พยายามทำการกระทำนั้นเป็นเจ้าของบัญชีหรือไม่
    2. การจำกัดจำนวนบัญชีที่ผู้ใช้ไม่ชอบธรรมสร้างได้
      SMS มีประสิทธิภาพมากสำหรับข้อ 2 เพราะแทบไม่มีใครเข้าถึงหมายเลขโทรศัพท์ต่างกัน 100 หมายเลขได้
      การมีหมายเลขมือถือโดยปกติมีกระบวนการแบบระบุตัวบุคคลที่ต้องใช้สิ่งอย่างที่อยู่ หนังสือเดินทาง หมายเลขประกันสังคม มีขั้นตอนที่ต้องผ่าน
      เหตุผลที่บริษัทต่าง ๆ พึ่งพา SMS คือสามารถเอาต์ซอร์ส กระบวนการรู้จักลูกค้า ไปให้ผู้ให้บริการโทรคมนาคมได้ ไม่ใช่เพราะมันเป็นทางออกที่เหมาะที่สุดหรือปลอดภัยที่สุดสำหรับการพิสูจน์ความเป็นเจ้าของบัญชี
      คนที่เอาแต่บ่นย่อมไม่เคยต้องตัดสินใจเรื่องการยืนยันตัวตนแบบนี้ในบริษัทที่เกี่ยวข้องกับกฎระเบียบหรือบริการทางการเงินแน่นอน
    • ประเด็นนั้นเป็นคนละเรื่องกับ การยึดบัญชี โดยสิ้นเชิง
      สามารถกำหนดให้ใช้หมายเลขโทรศัพท์ตอนสร้างบัญชีได้ โดยไม่ต้องอนุญาตให้ยึดบัญชีได้เพียงด้วย SMS ที่ส่งไปยังหมายเลขนั้น
    • การเข้าใจอย่างถ่องแท้ว่าบริษัททำแบบนั้นไปทำไม ไม่ได้แปลว่าเราต้องดีใจไม่ใช่หรือ
      ถ้าใช้ตรรกะเดียวกัน บริษัทก็อาจอ้างความชอบธรรมในการติดตามผู้ใช้และขายข้อมูลส่วนบุคคลได้ เพราะมันทำเงิน และการทำเงินก็เป็นส่วนสำคัญของการดำเนินธุรกิจ
    • ตรงข้ามกับคำกล่าวที่ว่า “แทบไม่มีใครเข้าถึงหมายเลขโทรศัพท์ต่างกัน 100 หมายเลขได้” ผู้ให้บริการยืนยันตัวตนผ่าน SMS มีอยู่เกลื่อน
      แค่จ่ายเงินจำนวนน้อยมาก เช่น 50 เซนต์ต่อการยืนยันหนึ่งครั้ง ก็ใช้หมายเลขโทรศัพท์ได้เป็นสิบเป็นร้อยหมายเลขแล้ว ใครที่มีความตั้งใจแม้แต่นิดเดียวก็กันไม่ได้