บริษัทที่นำการยืนยันตัวตนผ่าน SMS มาใช้ในการล็อกอิน กำลังถูกตั้งคำถามถึงความรับผิดชอบต่อการโจมตีแบบ SIM swap
(keydiscussions.com)- การโจมตีแบบ SIM swap คือการทำให้ผู้ให้บริการเครือข่ายย้ายหมายเลขโทรศัพท์มือถือไปยังอุปกรณ์ของผู้โจมตี แล้วดักรับ รหัส SMS สำหรับล็อกอินและรีเซ็ตรหัสผ่าน โดยประเด็นสำคัญคือการที่บริษัทเลือกใส่ช่องทางที่เปราะบางนี้เข้าไปในขั้นตอนการยืนยันตัวตน
- SMS ถูกส่งในรูปแบบ ข้อความล้วน และไม่ได้ถูกออกแบบมาเป็นโปรโตคอลเพื่อความปลอดภัย ดังนั้นเมื่อใช้กับการรีเซ็ตรหัสผ่าน การกู้คืนบัญชี การเริ่มใช้งาน หรือการล็อกอิน ความปลอดภัยดิจิทัลของผู้ใช้ก็ถูกผูกติดไปกับการย้ายหมายเลขโทรศัพท์ด้วย
- บริการจำนวนมาก เช่น Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab และ Bank of America ใช้หรือเคยใช้ SMS สำหรับการล็อกอิน การกู้คืนบัญชี หรือ 2FA ขณะที่ผู้ให้บริการคลาวด์อย่าง Azure, AWS, Twilio และ Google ก็มีบริการรหัสใช้ครั้งเดียวผ่าน SMS
- ทางเลือกที่ดีกว่าคือ การรีเซ็ตผ่านอีเมล และแอปยืนยันตัวตนอย่าง Authy หรือ Google Authenticator ส่วน SMS 2FA แม้จะยังพอใช้ได้ในวงจำกัดเมื่อมีตัวเลือกที่แข็งแรงกว่าควบคู่กัน ก็ไม่ควรถูกใช้เป็น fallback สำหรับการกู้คืนบัญชี
- หลังปี 2024 สถานการณ์ยิ่งน่ากังวลขึ้น เมื่อผู้ให้บริการรายใหญ๋ของสหรัฐอย่าง AT&T, T-Mobile และ Verizon ถูกเจาะเป็นเวลานานจากการโจมตีของ Salt Typhoon ทำให้สมมติฐานที่ว่า SMS มอบความปลอดภัยที่แท้จริงในขั้นตอนการล็อกอินยิ่งสั่นคลอน
โครงสร้างที่ทำให้การยืนยันตัวตนด้วย SMS ขยายปัญหา SIM swap
- การโจมตีแบบ SIM swap เกิดจากผู้โจมตีติดต่อผู้ให้บริการเครือข่ายเพื่อขอพอร์ตหมายเลขโทรศัพท์ของเหยื่อไปยังโทรศัพท์ของตน
- ในสหรัฐ ผู้ให้บริการต้องทำให้การย้ายหมายเลขทำได้ง่ายตามกฎเรื่องการพกพาหมายเลขเพื่อส่งเสริมการแข่งขัน
- เมื่อหมายเลขถูกย้ายแล้ว ผู้โจมตีจะรับ ข้อมูลล็อกอินทาง SMS หรือรหัสรีเซ็ตรหัสผ่านที่บริษัทส่งมา และใช้เข้าถึงบัญชีได้
- การวิจารณ์ว่าการปกป้องหมายเลขของผู้ให้บริการอ่อนแอนั้นเป็นเรื่องสมเหตุสมผล แต่หลายบริษัทเองก็สร้าง ขั้นตอนยืนยันตัวตนที่มีความสำคัญระดับภารกิจหลัก ไว้บนห่วงโซ่ที่เปราะบางนี้
- ใจความสำคัญคือ “แค่มีคนโน้มน้าวให้ T-Mobile, AT&T หรือ Verizon ย้ายหมายเลขของฉัน ก็ไม่ควรหมายถึงว่าความปลอดภัยดิจิทัลของฉันถูกย้ายตามไปด้วย”
SMS ไม่ได้ถูกออกแบบมาให้เป็นวิธียืนยันตัวตน
- SMS เป็น ข้อความล้วน ที่ไม่เข้ารหัส และสามารถถูกอ่านหรือดักกลางทางได้เหมือนโปสการ์ด
- การใช้ SMS ซึ่งไม่ใช่โปรโตคอลความปลอดภัย กับการรีเซ็ตรหัสผ่าน การกู้คืนบัญชี การเริ่มใช้งาน และการล็อกอิน จึงไม่เหมาะสมในเชิงโครงสร้าง
- SMS-based 2FA ถือเป็นเพียงกรณีที่ “แย่น้อยที่สุด” ในบรรดาทางเลือกความปลอดภัยที่อ่อนแอ เมื่อมันถูกเสนอควบคู่กับตัวเลือก 2FA ที่แข็งแรงกว่า
- เป้าหมายหลักของคำวิจารณ์คือการรีเซ็ตรหัสผ่าน การเริ่มใช้งานผู้ใช้ และการกู้คืนบัญชีที่อิงกับ SMS
- ทางเลือกที่ดีกว่าคือการรีเซ็ตรหัสผ่านผ่านอีเมล และ แอปยืนยันตัวตน อย่าง Authy หรือ Google Authenticator
- หากยังปล่อยให้ SMS เป็น fallback สำหรับการกู้คืนบัญชี การทำ 2FA ที่แข็งแรงกว่าก็อาจถูกทำให้อ่อนแอลงได้
วิธีที่บริษัทต่าง ๆ ใส่ SMS เข้าไปในขั้นตอนยืนยันตัวตน
- Apple เปิดตัวฟีเจอร์ กรอกรหัสผ่าน SMS อัตโนมัติ บน iPhone ในปี 2018 ซึ่งยิ่งเสริมให้ SMS ถูกใช้ในขั้นตอนรีเซ็ตรหัสผ่านและล็อกอินบัญชี
- มีบางสถานการณ์ที่การรีเซ็ตบัญชี Apple ใช้ SMS
- การยืนยันตัวตนสองขั้นตอนของบัญชีนักพัฒนา Apple ก็ใช้ SMS หรือการโทรได้
- มีการประเมินว่าการทำ 2FA แบบเนทีฟของ Apple อ่อนลงเพราะมี SMS fallback
- Google เปิดตัวฟีเจอร์ SMS autofill สำหรับ Android ในปี 2019 เพื่อกรอกรหัสใช้ครั้งเดียวอัตโนมัติ
- ผู้ให้บริการคลาวด์ และธุรกิจโครงสร้างพื้นฐานด้านข้อความ มีส่วนสร้างอุตสาหกรรมรหัส SMS
- ในบริการการเงินและการชำระเงิน ก็มีการใช้การรีเซ็ตผ่าน SMS การล็อกอินผ่าน SMS, SMS 2FA และการกู้คืนบัญชีผ่าน SMS อย่างแพร่หลาย
- ตัวอย่างที่ถูกยกมามี Wells Fargo, Cash App, Robinhood, Schwab, PayPal และ Bank of America
- แม้ตัวเลือก SMS เหล่านี้จะถูกนำเสนอเป็นวิธี “ยืนยันว่าเป็นคุณ” แต่โครงสร้างเดียวกันนี้ก็เอื้อให้ผู้โจมตีแบบ SIM swap เช่นกัน
- บริการสั่งอาหาร โซเชียลเน็ตเวิร์ก และบริการจัดเก็บข้อมูลจำนวนมาก ก็ใช้ SMS เป็นวิธีหลักในการรีเซ็ตบัญชีเช่นกัน
- แม้บางบริการอย่าง Dropbox จะมีวิธีปิดใช้งาน แต่ผู้ใช้ต้องไป opt-out เองในแต่ละบริการ
- หลายบริการไม่มีตัวเลือก opt-out เลย
ความสะดวกไม่ควรมาก่อนความรับผิดชอบด้านการออกแบบความปลอดภัย
- ผู้ใช้อาจไม่เข้าใจว่าการรีเซ็ตผ่าน SMS มีความเปราะบาง และการตัดสินเรื่องนี้ก็ไม่ควรเป็นภาระของผู้ใช้
- SMS อาจสะดวกกว่าแอป 2FA อย่าง Authy หรือการรีเซ็ตผ่านอีเมล จึงเป็นสิ่งที่ผู้ใช้นิยมเลือก
- ฟีเจอร์กรอกรหัส SMS อัตโนมัติของ iPhone แม้จะถูกชมว่าเป็นฟีเจอร์ที่ดีของ iOS แต่ ความสะดวก ไม่ได้แปลว่าปลอดภัย
- ความรับผิดชอบในการตัดสินและออกแบบว่าระบบความปลอดภัยปลอดภัยพอหรือไม่ อยู่ที่ บริษัทเทคโนโลยี
- หากบอกว่าให้ความสำคัญกับความปลอดภัยของลูกค้า แต่ยังคงใช้การยืนยันตัวตนผ่าน SMS ก็เท่ากับปล่อยให้ลูกค้าอยู่ในภาวะเสี่ยง
แค่ปรับปรุงโปรโตคอลและกฎกำกับดูแลยังไม่พอ
- ความพยายามเสริมความแข็งแรงของโปรโตคอลโทรศัพท์อย่าง SHAKEN/STIR ยังไปไม่ถึงระดับการนำมาใช้ครบถ้วนและการบังคับใช้อย่างเข้มงวด จึงยากจะใช้เป็นเหตุผลในการส่งรหัสรีเซ็ตรหัสผ่านผ่าน SMS ต่อไป
- ต่อให้มีการนำโปรโตคอลโทรศัพท์ที่แข็งแรงกว่ามาใช้ ก็ไม่ได้หยุด การโจมตีแบบ SIM swap เอง
- โครงการ Sim Verify ของสหภาพยุโรป ถูกพูดถึงในฐานะวิธีให้บริษัทที่พึ่งพา SMS ตรวจสอบได้ว่า SIM เพิ่งถูกพอร์ตหรือไม่
- แต่ก็ยังไม่แน่ชัดว่าสหรัฐจะมีการเปลี่ยนแปลงลักษณะนี้ในอนาคตอันใกล้หรือไม่ และประสบการณ์จากการผลักดัน SHAKEN/STIR ก็ชี้ว่าการเปลี่ยนแปลงอาจใช้เวลานาน
- ยังมีคอมเมนต์ใน Hacker News ที่อ้างว่า NIST ได้ออกแนวทางที่เข้มงวดต่อการใช้ SMS หรือการโทรศัพท์เพื่อระบุตัวผู้ใช้ ณ เดือนตุลาคม 2023
ความเสี่ยงจากผู้ให้บริการเครือข่ายยิ่งแย่ลงหลังปี 2024
- ในอัปเดตมีการสรุปว่า ผู้ให้บริการรายใหญ่ของสหรัฐอย่าง AT&T, T-Mobile และ Verizon ถูกเจาะจากการโจมตีของ Salt Typhoon เป็นเวลาหลายเดือน
- ผู้ให้บริการเหล่านี้เป็นผู้ส่งต่อ SMS ที่ไม่เข้ารหัส ซึ่งถูกใช้ในขั้นตอนล็อกอินจำนวนมหาศาล การเปิดใช้งานบัญชีอีกครั้ง และการรีเซ็ตรหัสผ่าน
- เมื่อนำการถูกเจาะของผู้ให้บริการในสหรัฐมาพิจารณาร่วมกับความต่อเนื่องของการโจมตีแบบ SIM swap ก็ยิ่งควรเลิกเชื่อว่า SMS มอบความปลอดภัยที่แท้จริงในส่วนใดก็ตามของขั้นตอนการล็อกอิน
- Google ถูกยกเป็นตัวอย่างที่เริ่มยอมรับข้ออ่อนแอของ SMS ใน Gmail แบบจำกัด และเริ่มขยับออกจากมัน
- ขณะที่ Chase, Block/Square และ Apple ยังเป็นตัวอย่างของบริการที่ยังคงพึ่งพา SMS ในบางส่วนของกระบวนการล็อกอิน
กรณีผลกระทบต่อผู้ใช้จากคอมเมนต์ใน Hacker News
- หากเดินทางอยู่ในพื้นที่ที่รับ SMS ไม่ได้ ผู้ใช้อาจถูกล็อกออกจากบัญชี
- มีการยกกรณีธนาคารอย่าง Bank of America ที่ต้องเปิดใช้ SMS 2FA ก่อน จึงจะเปิด 2FA แบบใด ๆ ได้ ว่าเป็นปัญหา
- ยังมีกรณีที่เปลี่ยนหมายเลขแล้วถูกล็อกออกจาก Viber หรือ Citibank กำหนดให้ต้องยืนยันผ่าน SMS เมื่อต้องการเปลี่ยนหมายเลขโทรศัพท์ในบัญชี
- หากผู้ให้บริการคิดค่าบริการโรมมิ่ง SMS ผู้ใช้ก็ต้องจ่ายเงินเพื่อใช้วิธีความปลอดภัยที่อ่อนแอ
- หากไม่เติมเงินคงเหลือในระบบเติมเงินจน SIM ถูกระงับ ก็จะรับ SMS ไม่ได้ และกระทบต่อการเข้าถึงบริการที่บังคับใช้ SMS
- ผู้แสดงความเห็นที่เคยทำงานในภาคธนาคารของสหภาพยุโรประบุว่า SMS แพงกว่าในสหรัฐ จึงไม่แพร่หลายเท่า และมองว่า SMS 2FA เปราะบางทั้งต่อการถูกเจาะและต่อการล็อกผู้ใช้ออก
ทำไมจึงต้องเลิกยืนยันตัวตนด้วยหมายเลขโทรศัพท์
- ในยุคของ deepfake บริการ ยืนยันตัวตน ที่แข็งแรงมีความสำคัญยิ่งขึ้น
- เมื่อบริการสร้างบัตรประจำตัวปลอมด้วย AI เริ่มแพร่หลาย และการระบุตัวด้วยลายนิ้วมือเสียงที่บริษัทการเงินหรือ ISP ใช้มานาน อาจใช้ไม่ได้ผลเมื่อเจอกับเสียง deepfake และผู้โจมตีที่มุ่งมั่น
- จึงควรถอยออกจากวิธียืนยันตัวตนที่ไม่เข้ารหัสและเปราะบางต่อ SIM swap อย่าง SMS
- แรนซัมแวร์ก็เป็นอีกปัญหาใหญ่ที่วงการไอทีต้องรับมือ และการโจมตีแบบ SIM swap ถูกพูดถึงว่าเป็นเวกเตอร์สำคัญในการเจาะเครือข่ายองค์กร
- จึงมีการเชื่อมโยงว่าการลดการล็อกอินผ่าน SMS อาจช่วยบรรเทาปัญหาแรนซัมแวร์ได้บางส่วน
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ก่อนที่ขยะ SMS จะถาโถมเข้ามา รหัส TOTP เคยถูก 1Password กรอกให้อัตโนมัติจากอุปกรณ์ใดก็ได้ ที่ไหนก็ได้
ตอนนี้ต้องหยิบมือถือออกมาตลอด และแม้จะไม่ต้องการเบอร์นั้น ถ้าจะเดินทางก็ต้องจ่ายค่าโรมมิงระหว่างประเทศหรือตั้งค่าการส่งต่อ SMS ความปลอดภัยนี่ดีจริง ๆ
ถ้าตรรกะคือหมายเลขโทรศัพท์สามารถกู้คืนกลับไปยังตัวตนจริงได้เสมอ ก็ไม่ควรบังคับให้ฉันโปรยเบอร์ไปให้บริษัททั่วโลก แต่ให้ เชื่อมแอปยืนยันตัวตนเข้ากับ SMS ก็พอ
แต่บริษัทโง่ ๆ กลับเรียกขอหมายเลขโทรศัพท์พร้อมกับบล็อกการใช้ Google Voice
เลือกได้ตามค่าใช้จ่าย ตั้งแต่แสดงบัตรประจำตัวที่รัฐออกให้ ตรวจลายนิ้วมือ ไปจนถึงการตรวจ DNA แบบรวดเร็วจริง ๆ และสามารถระบุผู้รับผลประโยชน์ของบัญชีเมื่อเสียชีวิตหรือไร้ความสามารถได้ด้วย
วิธีปัจจุบันที่พึ่งพาอีเมล บัญชี Google และ SMS เพื่อยืนยันตัวตนขั้นสุดท้ายนั้นเหลวไหล ทั้งสามอย่างไม่ปลอดภัย หรือมีความเสี่ยงถูกบล็อกตามอำเภอใจ หรือกู้คืนยาก หรือไม่ยืนยันตัวตนจริงจึงเปราะบางต่อสแปม
ข้อโต้แย้งที่พบบ่อยคือ WhatsApp จะบล็อกการรีเซ็ตรหัสผ่าน ฯลฯ ถ้าเบอร์ไม่ได้ใช้งาน 90 วัน ดังนั้นก็ไม่เป็นไร
จากนั้นก็มักต่อด้วยว่า ถ้าอย่างนั้นก็ยื่นคำขอเป็นลายลักษณ์อักษรกับธนาคารเพื่อเปลี่ยนหมายเลขมือถือได้ จึงไม่เป็นไร
การใช้ SMS กับการกระทำสำคัญของบัญชีเป็นเรื่องแย่มาก
ได้โปรดอย่าผูกบัญชีกับหมายเลขโทรศัพท์
แก้ไข: เปลี่ยนบรรทัดแรกเพื่อให้ชัดเจนว่าไม่ได้หมายถึงการแจ้งเตือนครั้งเดียวเป็นต้น
ผมเห็นด้วยว่าการใช้ Authenticator และ Passkeys ดีกว่า แต่อย่าปฏิเสธแม้แต่ ข้อดีของ SMS
ผมเห็นบ่อยว่าคู่รักใช้มือถือของกันและกันและรู้รหัสผ่านของกันและกัน แต่ไม่รู้ว่าจะเชื่อใจใครได้ถึงขนาดนั้นไหม แม้แต่แม่แท้ ๆ ผมก็คงไม่ให้รหัสผ่าน ทั้งที่แม่ก็ไม่เคยให้เหตุผลว่าควรไม่ไว้ใจ
สิ่งที่แย่ที่สุดคือเรื่องนี้ไม่ใช่ทางเลือก บริการต่าง ๆ จู่ ๆ ก็เริ่มใช้ SMS เป็นการยืนยันตัวตนสองปัจจัย
ถ้าเปลี่ยนเบอร์โทรแล้วควรทำอย่างไรผมก็ไม่รู้ ถ้าควบคุมเบอร์เดิมไม่ได้จนเข้าบัญชีไม่ได้ แล้วจะเปลี่ยนเป็นเบอร์ใหม่ได้อย่างไร? ถ้าวันหนึ่งบัญชีที่ไม่เคยคิดว่าต้องอัปเดต จู่ ๆ ก็เรียกให้ยืนยันตัวตนสองปัจจัยล่ะ? โดยรวมแล้วเป็นระบบที่แย่จริง ๆ
STOPก็โอเคระหว่างไปแคมป์ 2 สัปดาห์ มีพายุรุนแรงพัดผ่านรัฐบ้านเกิด และไฟดับไป 5 วัน ถ้าไม่มี การแจ้งเตือน SMS ก็คงไม่รู้ และพอกลับถึงบ้านก็สามารถเคลียร์ตู้เย็นกับตู้แช่แข็งได้ทันที
ต่อให้โทรศัพท์ถูกยึด อีเมลก็ยังอยู่
ในมุมผู้ใช้ปลายทาง มันก็ใช้งานสะดวกจริง ๆ ต่อให้ปัญหาแบบนี้เกิดกับคน 1% ก็อาจไม่เป็นปัญหาสำหรับคนนับพันล้าน มันถูกและสะดวก มือถือรับข้อความแล้วกรอกให้อัตโนมัติ
ไม่ต้องสลับแอปเพื่อเช็กอีเมล ตราบใดที่อีเมลไม่ถูกยึด บัญชีก็กู้คืนได้เสมอ ถ้าเสียอีเมลไปก็น่าเสียดาย แต่เรื่องแบบนั้นก็เกิดขึ้นอยู่ดี นั่นแหละจึงควรเปลี่ยนรหัสผ่านเป็นระยะและตั้งค่าการยืนยันตัวตนหลายปัจจัย
ความปลอดภัยไม่มีวันเป็น 100% ได้ นั่นเป็นเรื่องเปล่าประโยชน์ ต้องสะดวกพอและปลอดภัยพอให้ใช้ได้กับผู้คนให้มากที่สุด
แทบทุกคนนอก HN ไม่สนใจและไม่เข้าใจด้วย ไม่จำเป็นต้องเข้าใจ ใช้แอปทำสิ่งที่ต้องทำแล้วก็ไปต่อ
ให้พวกเนิร์ดจัดการแบ็กเอนด์ไป
ในอาร์เจนตินา ผู้ใช้ Movistar เจอปัญหาใหญ่เกี่ยวกับ Payoneer SMS เคยพยายามเอาไปลง HN แต่ถูกกลบไป
คำแปลคร่าว ๆ ของทวีตภาษาสเปนที่มีข้อมูลเชิงลึก [1] มีดังนี้:
“ปริศนา Payoneer คลี่คลายแล้ว
#PayoneerHacked
ระวังไว้ Facebook, Twitter ฯลฯ ก็แชร์ gateway เดียวกันเพื่อประหยัดค่า SMS
แนบสกรีนช็อต SMS ที่มาถึงเหยื่อตอนรุ่งสางไว้ เหยื่อไม่มีทางแชร์สิ่งนี้ผ่านฟิชชิงใด ๆ ได้ และ SMS เหล่านี้จำเป็นต่อการดูดเงินออกจากบัญชี
ไม่ว่าคุณจะอ่านอะไรจากสื่อ… ผลไม้มีเยอะ สลัดก็เต็มไปหมด แต่ซอสมีน้อย ต้นฉบับอยู่ที่นี่
ขอบคุณทุกคนที่ให้ความร่วมมือ”
[1] https://twitter.com/julitolopez/status/1748440685743587811
มีคำกล่าวว่า “[ลูกค้า] รู้สึกว่า [การรีเซ็ตผ่าน SMS] สะดวกกว่าการรีเซ็ตผ่านอีเมล” แต่ส่วนตัวแล้วทุกครั้งที่ต้องล็อกอินบัญชี Google ด้วยการยืนยันผ่านโทรศัพท์ ผมหงุดหงิด
ต้องลุกจากโต๊ะไปหาโทรศัพท์ และบางทีโทรศัพท์ก็อยู่คนละห้อง เพื่อจะได้รับสายหรือข้อความที่มีโค้ด
เมื่อเทียบกันแล้ว TOTP สะดวกกว่ามาก เพราะผมเก็บโค้ดไว้ใน KeePassXC จึงไม่ต้องลุกจากโต๊ะ
Google เรียกตัวเลือกนี้ว่า “รับรหัสยืนยันจากแอป Google Authenticator” แม้คุณจะไม่เคยใช้ Authenticator ก็ตาม
https://www.google.com/account/about/passkeys/
https://blog.google/technology/safety-security/passkeys-defa...
เว็บไซต์ที่รองรับ Passkeys: https://passkeys.directory/
ตอนที่ทำหมายเลขโทรศัพท์หายก็แย่มากจริง ๆ
ผมล็อกอินเข้าบัญชี Google หลักไม่ได้มาหลายปีแล้ว มีชื่อผู้ใช้ รหัสผ่าน อีเมลกู้คืน และอีเมลทั้งหมดก็ถูกส่งต่อมาหาผม แต่เพราะไม่มีหมายเลขโทรศัพท์ที่ผูกกับบัญชีนั้นอีกแล้ว จึงถูกมองอย่างชัดเจนว่าเป็นผู้บุกรุก
ทางออกเดียวคือกลับไปยังช่วง IP ที่ดูเหมือนตำแหน่ง “บ้าน” เดิม แล้วภาวนาให้ใช้ได้ ผมมีหลายอย่างอยากพูดกับคนใน Google ที่คิดว่าการไม่อนุญาตให้เข้าถึงหรือกู้คืนบัญชีเป็นเรื่องดี
บัตรประจำตัวในประเทศของผมมีชิปที่ใช้การเข้ารหัสแบบกุญแจสาธารณะ ถ้า Google อนุญาตให้ผูกบัญชี Google กับตัวตนของรัฐอย่างถาวร ปัญหานี้ก็น่าจะแก้ได้ อย่างน้อยก็สำหรับผู้พำนักใน EU
แบบนั้นก็ใช้ YubiKey หนึ่งอันได้โดยไม่ต้องกังวลว่าจะทำหาย และต่อให้มีคนขโมยไปก็ยังเอาบัญชีกลับคืนมาได้
แต่ Google ไม่มีทั้ง helpdesk และไม่มีวิธีรายงานบั๊ก น่าอายจริง ๆ Google
สิ่งที่ผมเกลียดที่สุดคือเวลาบริษัทต่าง ๆ ยืนกรานว่า หมายเลข Google Voice ของผม “ใช้สำหรับยืนยันตัวตนไม่ได้” หรือพูดตรงกว่านั้นว่า “ไม่ใช่หมายเลขโทรศัพท์/มือถือที่ถูกต้อง”
บางบริษัทในตอนแรกอนุญาตให้สมัครด้วยหมายเลขนี้ได้ แต่หลังจากสมัครไปแล้วก็เปลี่ยนนโยบายในบางช่วง ปกติจะรู้ตัวก็ตอนถูกล็อกออกจากบัญชีแล้ว
โชคดีที่ส่วนใหญ่เป็นแอปร้านค้าหรือบริการชำระเงินที่ต่อไปก็แค่หลีกเลี่ยงได้ เพราะเห็นชัดว่าเขาไม่ได้เห็นคุณค่าการทำธุรกรรมของผม แต่ผมกังวลว่าสักวันธนาคารของผมจะทำแบบเดียวกันแล้วล็อกผมออกจากบัญชี
ทุกคนมีมือถือ และคนส่วนใหญ่แทบไม่เปลี่ยนเบอร์ อีกทั้งหลายคนให้เบอร์โทรง่ายกว่าหมายเลขประกันสังคมเสียอีก
พวกเขาไม่ได้สนใจความปลอดภัยของบัญชี หรือว่านั่นเป็นหมายเลขที่ถูกต้องซึ่งผู้ใช้ควบคุมอยู่หรือไม่ พวกเขาแค่ต้องการหมายเลขที่ใช้ระบุตัวผู้ใช้ได้แบบไม่ซ้ำ และเป็นหมายเลขที่อยู่แล้วในฐานข้อมูลของ บริษัทเทคโนโลยีโฆษณา ซึ่งเป็นกลุ่มที่ซื้อข้อมูลผู้ใช้แพงที่สุด
ผมเขียนไว้เล็กน้อยในคอมเมนต์อื่นของบทความนี้ว่าทำไมไม่ควรใช้ Google Voice: https://news.ycombinator.com/item?id=39270503
ประสบการณ์ของผมอาจไม่ใช่แบบเดียวกับทุกคน แต่ผมก็ยังมองว่าการพึ่งพา Google Voice ที่ “ฟรี” นั้นเสี่ยง
ถ้าจะโต้แย้งก็คือ การล็อกอินและกู้คืนบัญชีด้วย SMS ให้ประสบการณ์ผู้ใช้ที่ดี และผู้ให้บริการโทรคมนาคมโดยรวมควรยกระดับมาตรฐาน
ผมใช้คอมพิวเตอร์เดสก์ท็อปอยู่ ไม่ควรถูกบังคับให้ส่งอะไรไปที่มือถือทุกครั้งที่ล็อกอิน เพียงเพราะไม่อยากรองรับ FIDO หรือการยืนยันตัวตนสองขั้นตอนของจริงแบบอื่น ๆ
แล็ปท็อปผมมีเครื่องอ่านลายนิ้วมือ มือถือมี Face ID และใน USB ก็มี YubiKey ใช้สิ่งเหล่านั้นก็พอ
อีเมลดีกว่าอย่างชัดเจน เหตุผลหลักคือผู้ให้บริการอีเมลมักเป็นที่ที่ผู้ใช้ควบคุมได้ หรือเป็นโดเมนแบบกำหนดเองของพวกเนิร์ดอย่างเรา หรือไม่ก็เป็นองค์กรขนาดใหญ่ไร้ตัวตนแบบ Google ไม่ใช่เป้าหมายที่ผู้โจมตีเปลี่ยนได้ง่ายเหมือนผู้ให้บริการหมายเลขโทรศัพท์
ผมทำงานกับผู้ให้บริการตัวตน และมีคนจำนวนไม่น้อยที่ขอให้รองรับฟีเจอร์นี้ โดยเฉพาะจากมุมมองประสบการณ์ผู้ใช้
อย่างที่พูดไปข้างต้น ผู้ให้บริการหมายเลขโทรศัพท์ก็ควรต้องรับผิดชอบด้วย หากแนวโน้มการผลักดันหมายเลขโทรศัพท์ให้เป็นตัวระบุตัวตนทั่วโลกทั้งออฟไลน์และออนไลน์ยังดำเนินต่อไป ผู้ให้บริการเครือข่ายควรตั้งเงื่อนไขให้เข้มงวดขึ้นสำหรับ การเปลี่ยนหมายเลขโทรศัพท์
“เป็นเวลาหลายปีที่คนในอุตสาหกรรมมักพูดทำนองนี้เสมอว่า ‘การให้บริการยืนยันตัวตนผ่าน SMS โดยรวมแล้วดีกว่าสำหรับความปลอดภัยของลูกค้า แม้จะมีข้อเสีย แต่ก็สะดวกกว่าวิธีอื่น เช่น การยืนยันผ่านอีเมลที่ปลอดภัยกว่ามาก’ ต่อเรื่องนี้ผมขอพูดว่า ‘คุณเป็นใครถึงได้พรากความปลอดภัยไปจากลูกค้า?’”
อีกตอนหนึ่ง:
“เป็นเรื่องเข้าใจได้ที่ความโกรธจำนวนมากเกี่ยวกับการโจมตีแบบ SIM swap พุ่งไปที่ผู้ให้บริการเครือข่าย จริง ๆ แล้วผู้ให้บริการเหล่านี้รักษาความปลอดภัยหมายเลขโทรศัพท์ของลูกค้าได้แย่มาก และอาจต้องรับผิดชอบต่อข้อบกพร่องนั้น แต่ประเด็นสำคัญคือ ความปลอดภัยของผู้ให้บริการเครือข่ายนั้นแย่มาโดยตลอด และบางส่วนยังแย่ลงเพราะระบบกฎหมายด้วยซ้ำ แต่บริษัทอื่น ๆ ก็ยังเลือกสร้างระบบสำคัญต่อภารกิจไว้บนจุดอ่อนนั้นอยู่ดี”
อีกตอนหนึ่ง:
“SMS มีความปลอดภัยแย่ แต่ทำให้การสมัครลูกค้าใหม่ เช่น การ onboarding ของ Uber และการรีเซ็ตรหัสผ่าน ทำได้แทบไร้แรงเสียดทาน บริษัทต่าง ๆ รู้สึกว่าต้องตามคู่แข่งที่นำเทคนิคนี้มาใช้”
ส่วนสุดท้ายนี้ถูกเขียนทับไปอย่างน่าเสียดายระหว่างอัปเดตบทความ WordPress และได้เพิ่มกลับเข้าไปแล้ว
เห็นด้วยว่า SMS เป็น ปัจจัยยืนยันตัวตนหลายปัจจัย ที่แย่มาก
แต่การขอให้คนติดตั้งแอปเป็นภาระมหาศาล มันจึงแพร่หลาย อีกอย่าง คนก็ไม่เคยเก็บ recovery code ไว้เลย
จะใช้ Authy แล้วสำรองโค้ดก็ได้ แต่นั่นแทบจะอยู่ในขอบเขต “สำหรับคนเทคนิค”
สุดท้ายแล้ว ทางออกเดียวที่เป็นจริงได้สำหรับคนทั่วไปคือ SMS ต้องทำให้ผู้ให้บริการเครือข่ายมือถือทำให้ SIM swap ยากขึ้น
ที่นั่น SMS โชคดีที่มีต้นทุนสูงพอจนธนาคารมองว่าไม่คุ้มทางเศรษฐกิจที่จะใช้เป็นปัจจัยรหัสผ่านใช้ครั้งเดียว และสำหรับการยืนยันการชำระเงินก็ถูกมองว่าไม่ปลอดภัยพอหากใช้เดี่ยว ๆ จึงต้องมีปัจจัยที่สอง
ผลคือธนาคารต่าง ๆ ต้องเสนอวิธีที่ปลอดภัยกว่าหรือใช้งานตามหลักสรีรศาสตร์ได้ดีกว่า เช่น แอปยืนยันตัวตนเฉพาะของธนาคาร ซึ่งมักทำงานได้แม้ไม่มีอินเทอร์เน็ตหรือสัญญาณมือถือ เช่น ระหว่างเดินทางต่างประเทศ, ตัวตรวจสอบฮาร์ดแวร์, WebAuthN เป็นต้น
ไม่ใช่แค่ “ทำให้ SIM swap ยากขึ้น” แต่บริษัทการเงินควรยกระดับมาตรฐานและเสนอวิธีที่ไม่เปราะบางทั้งต่อการละเมิดความปลอดภัยและการล็อกผู้ใช้ออกจากระบบ
การยื่นภาษีต้องใช้ MyGovID อันนี้ก็ไม่ค่อยดีเหมือนกัน
ลองเอาตรรกะเดียวกันไปใช้กับเรื่องอื่นดู
บริษัทที่นำการล็อกอินด้วยรหัสผ่านมาใช้ต้องรับผิดชอบต่อการขโมยโพสต์อิท
บริษัทที่นำการยืนยันตัวตนสองขั้นตอนทางอีเมลมาใช้ต้องรับผิดชอบต่อการขโมยบัญชีอีเมล
ไม่แน่ใจว่าตรรกะนี้ใช้ได้จริงไหม เห็นเรื่องแบบนี้ซ้ำ ๆ มีฝ่ายที่ไม่ได้ละเมิดกฎหมาย และพร้อมให้ความร่วมมือกับการบังคับใช้กฎหมายอยู่ แต่ฝ่ายอาชญากรที่ไม่ทำตามกฎหมายกลับโจมตีลูกค้าของฝ่ายนั้น พอเราไม่สามารถดีดนิ้วให้รัฐบาลทำให้ความผิดฐานลักทรัพย์ผิดกฎหมายเป็นสองเท่า สามเท่าได้ ผู้คนก็มักไปจับฝ่ายที่โดยรวมแล้วบริสุทธิ์ แล้วพยายามทำให้ชีวิตของพวกเขายากขึ้น
ควรหายใจลึก ๆ แล้วปล่อยวาง ไม่มีระดับไหนที่ไม่เป็นอันตรายสำหรับการลงโทษคนบริสุทธิ์แทนคนที่ทำผิด
อาจฟังดูแปลกและบ้าบอ แต่คนที่เปลี่ยน SIM ควรเป็นผู้รับผิดชอบต่อการโจมตีแบบ SIM swap อะไรนะ? ให้โทษอาชญากรเหรอ? เป็นจุดยืนที่กล้า แต่ก็ถูกต้อง
เท่าที่รู้ ไม่มีผู้ให้บริการมือถือสำหรับผู้บริโภคในสหรัฐฯ รายใดที่ใช้มาตรการป้องกันที่เหมาะสมเพื่อกันเรื่องอย่างการทำ SIM swap โดยไม่ได้รับอนุญาต
บริษัทที่ทำระบบยืนยันตัวตนสองขั้นตอนผ่าน SMS ควรรู้ข้อเท็จจริงนี้ และถ้ารู้อยู่แล้วว่านี่เป็นระบบยืนยันตัวตนสองขั้นตอนที่มีข้อบกพร่องอย่างหนัก แต่ยังขายให้ผู้บริโภคว่า “ปลอดภัยกว่า” ก็ควรรับผิดชอบเมื่อมันล้มเหลว
ยิ่งการยืนยันตัวตนสองขั้นตอนผ่าน SMS ตายเร็วเท่าไร เว็บไซต์เก่า ๆ ที่ทำไว้แค่การยืนยันตัวตนสองขั้นตอนผ่าน SMS ก็จะยิ่งถูกบังคับให้ทำวิธีที่ปลอดภัยจริง ๆ มากขึ้นเท่านั้น
อาจเป็นไปได้ว่าพวกเขาควรทำได้ดีกว่านี้ แต่ความพยายามจะ “ลงโทษ” พวกเขารู้สึกเหมือนเป็นการออกกฎหมายย้อนหลัง ควรสร้างกฎระเบียบใหม่แล้วลงโทษเหตุการณ์ในอนาคต ไม่ใช่ลงโทษเหตุการณ์ครั้งนี้
การโจมตีแบบ SIM swap ควบคุมไม่ได้
ในมุมของผู้ให้บริการออนไลน์ การใช้ SMS นั้นสมเหตุสมผลอย่างยิ่ง
เป้าหมายสองข้อต่อไปนี้คล้ายกันมากแต่เป็นคนละเรื่อง
SMS มีประสิทธิภาพมากสำหรับข้อ 2 เพราะแทบไม่มีใครเข้าถึงหมายเลขโทรศัพท์ต่างกัน 100 หมายเลขได้
การมีหมายเลขมือถือโดยปกติมีกระบวนการแบบระบุตัวบุคคลที่ต้องใช้สิ่งอย่างที่อยู่ หนังสือเดินทาง หมายเลขประกันสังคม มีขั้นตอนที่ต้องผ่าน
เหตุผลที่บริษัทต่าง ๆ พึ่งพา SMS คือสามารถเอาต์ซอร์ส กระบวนการรู้จักลูกค้า ไปให้ผู้ให้บริการโทรคมนาคมได้ ไม่ใช่เพราะมันเป็นทางออกที่เหมาะที่สุดหรือปลอดภัยที่สุดสำหรับการพิสูจน์ความเป็นเจ้าของบัญชี
คนที่เอาแต่บ่นย่อมไม่เคยต้องตัดสินใจเรื่องการยืนยันตัวตนแบบนี้ในบริษัทที่เกี่ยวข้องกับกฎระเบียบหรือบริการทางการเงินแน่นอน
สามารถกำหนดให้ใช้หมายเลขโทรศัพท์ตอนสร้างบัญชีได้ โดยไม่ต้องอนุญาตให้ยึดบัญชีได้เพียงด้วย SMS ที่ส่งไปยังหมายเลขนั้น
ถ้าใช้ตรรกะเดียวกัน บริษัทก็อาจอ้างความชอบธรรมในการติดตามผู้ใช้และขายข้อมูลส่วนบุคคลได้ เพราะมันทำเงิน และการทำเงินก็เป็นส่วนสำคัญของการดำเนินธุรกิจ
แค่จ่ายเงินจำนวนน้อยมาก เช่น 50 เซนต์ต่อการยืนยันหนึ่งครั้ง ก็ใช้หมายเลขโทรศัพท์ได้เป็นสิบเป็นร้อยหมายเลขแล้ว ใครที่มีความตั้งใจแม้แต่นิดเดียวก็กันไม่ได้