SMS 2FA ไม่เพียงแค่ไม่ปลอดภัย แต่ยังไม่เป็นมิตรต่อผู้คนในพื้นที่ภูเขา
(blog.stillgreenmoss.net)- การยืนยันตัวตนสองขั้นตอน (2FA) ผ่าน SMS ไม่เพียงแค่ไม่ปลอดภัย แต่ยังก่อให้เกิด ความไม่สะดวกอย่างมากต่อผู้ที่อาศัยอยู่ในพื้นที่ภูเขา
- ใน พื้นที่ภูเขาที่สัญญาณมือถืออ่อน การรับรหัสยืนยันที่ส่งมาทาง SMS ทำได้ยาก
- เพียงแค่ การโทรผ่าน Wi‑Fi หรือการใช้สมาร์ทโฟน ก็ไม่สามารถแก้ปัญหา 2FA ได้
- วิธี TOTP (รหัสผ่านใช้ครั้งเดียวตามเวลา) อาจเป็นทางเลือกได้ แต่การเข้าถึงเพื่อการตั้งค่าเริ่มต้นไม่ใช่เรื่องง่าย
- อธิบายถึงสถานการณ์ที่ ผู้คนหลายล้านคนที่อาศัยอยู่ในพื้นที่ภูเขา ต้องเผชิญอย่างไม่สมเหตุสมผลระหว่างขั้นตอนล็อกอินเว็บไซต์
ภาพรวมของปัญหา
- เพื่อนของผู้เขียนเป็น ผู้หญิงวัย 70 กว่าที่อาศัยอยู่ในพื้นที่ภูเขาของรัฐนอร์ทแคโรไลนา
- แม้จะไม่ชอบคอมพิวเตอร์ แต่ก็ใช้สมาร์ทโฟนและเข้าร่วมแชตกลุ่มใน Signal เพื่อสื่อสารกับชุมชน
- ใช้ โทรศัพท์บ้านแบบมีสาย มานาน และเข้ากันได้ดีกับเครื่องช่วยฟัง
- Spectrum เป็นผู้ผูกขาดด้านการสื่อสารในพื้นที่ และเธอใช้ทั้งโทรศัพท์บ้านและอินเทอร์เน็ตเคเบิลผ่าน Spectrum
ปัญหาจากบริการมือถือและ SMS 2FA
- เมื่อไม่กี่ปีก่อน เธอสมัครใช้ บริการมือถือ กับ Spectrum Mobile ซึ่งใช้เครือข่ายของ Verizon
- ที่บ้านแทบไม่มีสัญญาณมือถือเลย ทั้งที่อยู่ห่างจากตัวเมืองเพียงขับรถ 20 นาทีและมีเพื่อนบ้านจำนวนมาก
- ทุกบัญชีสำคัญ (อีเมล ธนาคาร ประกันสุขภาพ ฯลฯ) พยายาม ส่งรหัส 2FA ทาง SMS
- รหัส SMS ไม่มาถึง เพราะที่บ้านสัญญาณมือถือไม่เพียงพอ และแม้จะเปิดใช้ Wi‑Fi Calling แล้ว SMS ด้านความปลอดภัยที่ส่งมาจากหมายเลขสั้น (5 หลัก) ก็ยังมาไม่ถึง
- ใช้ iPhone รุ่นใหม่ล่าสุดและอุปกรณ์ที่ผู้ให้บริการจัดให้อย่างเป็นทางการ และคุ้นเคยกับการใช้งานดี
การมองหาทางเลือกและข้อจำกัด
- โทรศัพท์บ้านที่ ISP บางรายให้บริการมี ฟังก์ชันอ่านข้อความ SMS ออกเสียงด้วยคอมพิวเตอร์ แต่ Spectrum ไม่มี
- บางเว็บไซต์สามารถเปลี่ยนไปใช้ TOTP 2FA ได้ แต่ต้องเข้าถึงบัญชีได้ตั้งแต่ตอนล็อกอินครั้งแรก
- ขั้นตอนที่ยุ่งยากเพื่อแก้ปัญหา:
- ทำรายการเว็บไซต์ที่ล็อกอินไม่สำเร็จ
- เดินทางเข้าเมืองเพื่อไปพบเพื่อนและช่วยแก้ปัญหา
- ลองเปลี่ยนทีละเว็บไซต์ไปใช้ TOTP หรือวิธีอื่น บางแห่งก็ไม่รองรับ
- พยายามติดต่อฝ่ายบริการลูกค้า แต่ ติดต่อได้ยากหรือแทบเป็นไปไม่ได้
ทางเลือกที่แทบเป็นไปไม่ได้ในทางปฏิบัติ
- ย้ายหมายเลขไปใช้ VOIP เพื่อหวังว่าจะรับ SMS จากหมายเลขสั้นได้
- จ่ายเงินหลายร้อยดอลลาร์เพื่อติดตั้ง ตัวขยายสัญญาณมือถือ
- ถึงขั้นต้องพิจารณาย้ายที่อยู่อาศัย
- ผู้เขียนชี้ให้เห็นถึง ความไม่สมเหตุสมผล ที่ต้องผ่านขั้นตอนแบบนี้เพียงเพื่อจะล็อกอินครั้งหนึ่ง
ปัญหาความน่าเชื่อถือของแผนที่ครอบคลุมสัญญาณมือถือ
- ในแผนที่ครอบคลุมสัญญาณของ Spectrum บ้านและพื้นที่รอบ ๆ ถูกแสดงว่า ให้บริการได้สมบูรณ์แบบ
- แต่ในความเป็นจริง ใช้งานไม่ได้ที่บ้าน และแม้ขยับออกไปเพียง 100 เมตรก็ไม่มีสัญญาณ
ความลำบากร่วมกันของผู้คนจำนวนมากในพื้นที่ภูเขา
- เพื่อนรุ่น Millennial คนหนึ่งยังบอกว่า SMS 2FA คือความทุกข์ในชีวิต
- แม้แต่พื้นที่ที่ไม่ได้อยู่ลึกในหุบเขามาก ก็ยังมี ปัญหาจาก SMS 2FA
ข้อจำกัดและความยากของวิธี TOTP
- TOTP ก็ไม่สมบูรณ์แบบเช่นกัน
- ต้องติดตั้งแอปแยกต่างหาก
- กระบวนการเลือกว่าจะใช้แอปไหนซับซ้อนและมีคำอธิบายทางเทคนิคมาก
สรุปและปัญหาในระดับวงกว้าง
- เหตุผลที่ SMS 2FA ถูกใช้อย่างแพร่หลาย คือประสบการณ์ใช้งานที่เข้าใจง่ายและมีความน่าเชื่อถือในระดับหนึ่ง
- อย่างไรก็ตาม มีผู้คนหลายล้านคนที่อยู่ในสภาพแวดล้อมที่ย่ำแย่ เช่น ประชากร 1.1 ล้านคนในพื้นที่ภูเขาของนอร์ทแคโรไลนา และ 25 ล้านคนทั่วภูมิภาค Appalachian
- แม้จะมีอินเทอร์เน็ต แต่ สัญญาณมือถือกลับแย่มาก
- ผู้คนที่อาศัยอยู่ในพื้นที่เหล่านี้ยังขาดทางเลือกที่สมเหตุสมผลหรือการออกแบบที่คำนึงถึงพวกเขา
ยังไม่มีความคิดเห็น