SMS 2FA ไม่เพียงแค่ไม่ปลอดภัย แต่ยังไม่เป็นมิตรต่อผู้คนในพื้นที่ภูเขา

 (blog.stillgreenmoss.net)
1 คะแนน โดย GN⁺ 2025-05-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การยืนยันตัวตนสองขั้นตอน (2FA) ผ่าน SMS ไม่เพียงแค่ไม่ปลอดภัย แต่ยังก่อให้เกิด ความไม่สะดวกอย่างมากต่อผู้ที่อาศัยอยู่ในพื้นที่ภูเขา
  • ใน พื้นที่ภูเขาที่สัญญาณมือถืออ่อน การรับรหัสยืนยันที่ส่งมาทาง SMS ทำได้ยาก
  • เพียงแค่ การโทรผ่าน Wi‑Fi หรือการใช้สมาร์ทโฟน ก็ไม่สามารถแก้ปัญหา 2FA ได้
  • วิธี TOTP (รหัสผ่านใช้ครั้งเดียวตามเวลา) อาจเป็นทางเลือกได้ แต่การเข้าถึงเพื่อการตั้งค่าเริ่มต้นไม่ใช่เรื่องง่าย
  • อธิบายถึงสถานการณ์ที่ ผู้คนหลายล้านคนที่อาศัยอยู่ในพื้นที่ภูเขา ต้องเผชิญอย่างไม่สมเหตุสมผลระหว่างขั้นตอนล็อกอินเว็บไซต์

ภาพรวมของปัญหา

  • เพื่อนของผู้เขียนเป็น ผู้หญิงวัย 70 กว่าที่อาศัยอยู่ในพื้นที่ภูเขาของรัฐนอร์ทแคโรไลนา
  • แม้จะไม่ชอบคอมพิวเตอร์ แต่ก็ใช้สมาร์ทโฟนและเข้าร่วมแชตกลุ่มใน Signal เพื่อสื่อสารกับชุมชน
  • ใช้ โทรศัพท์บ้านแบบมีสาย มานาน และเข้ากันได้ดีกับเครื่องช่วยฟัง
  • Spectrum เป็นผู้ผูกขาดด้านการสื่อสารในพื้นที่ และเธอใช้ทั้งโทรศัพท์บ้านและอินเทอร์เน็ตเคเบิลผ่าน Spectrum

ปัญหาจากบริการมือถือและ SMS 2FA

  • เมื่อไม่กี่ปีก่อน เธอสมัครใช้ บริการมือถือ กับ Spectrum Mobile ซึ่งใช้เครือข่ายของ Verizon
  • ที่บ้านแทบไม่มีสัญญาณมือถือเลย ทั้งที่อยู่ห่างจากตัวเมืองเพียงขับรถ 20 นาทีและมีเพื่อนบ้านจำนวนมาก
  • ทุกบัญชีสำคัญ (อีเมล ธนาคาร ประกันสุขภาพ ฯลฯ) พยายาม ส่งรหัส 2FA ทาง SMS
  • รหัส SMS ไม่มาถึง เพราะที่บ้านสัญญาณมือถือไม่เพียงพอ และแม้จะเปิดใช้ Wi‑Fi Calling แล้ว SMS ด้านความปลอดภัยที่ส่งมาจากหมายเลขสั้น (5 หลัก) ก็ยังมาไม่ถึง
  • ใช้ iPhone รุ่นใหม่ล่าสุดและอุปกรณ์ที่ผู้ให้บริการจัดให้อย่างเป็นทางการ และคุ้นเคยกับการใช้งานดี

การมองหาทางเลือกและข้อจำกัด

  • โทรศัพท์บ้านที่ ISP บางรายให้บริการมี ฟังก์ชันอ่านข้อความ SMS ออกเสียงด้วยคอมพิวเตอร์ แต่ Spectrum ไม่มี
  • บางเว็บไซต์สามารถเปลี่ยนไปใช้ TOTP 2FA ได้ แต่ต้องเข้าถึงบัญชีได้ตั้งแต่ตอนล็อกอินครั้งแรก
  • ขั้นตอนที่ยุ่งยากเพื่อแก้ปัญหา:
    • ทำรายการเว็บไซต์ที่ล็อกอินไม่สำเร็จ
    • เดินทางเข้าเมืองเพื่อไปพบเพื่อนและช่วยแก้ปัญหา
    • ลองเปลี่ยนทีละเว็บไซต์ไปใช้ TOTP หรือวิธีอื่น บางแห่งก็ไม่รองรับ
    • พยายามติดต่อฝ่ายบริการลูกค้า แต่ ติดต่อได้ยากหรือแทบเป็นไปไม่ได้

ทางเลือกที่แทบเป็นไปไม่ได้ในทางปฏิบัติ

  • ย้ายหมายเลขไปใช้ VOIP เพื่อหวังว่าจะรับ SMS จากหมายเลขสั้นได้
  • จ่ายเงินหลายร้อยดอลลาร์เพื่อติดตั้ง ตัวขยายสัญญาณมือถือ
  • ถึงขั้นต้องพิจารณาย้ายที่อยู่อาศัย
  • ผู้เขียนชี้ให้เห็นถึง ความไม่สมเหตุสมผล ที่ต้องผ่านขั้นตอนแบบนี้เพียงเพื่อจะล็อกอินครั้งหนึ่ง

ปัญหาความน่าเชื่อถือของแผนที่ครอบคลุมสัญญาณมือถือ

  • ในแผนที่ครอบคลุมสัญญาณของ Spectrum บ้านและพื้นที่รอบ ๆ ถูกแสดงว่า ให้บริการได้สมบูรณ์แบบ
  • แต่ในความเป็นจริง ใช้งานไม่ได้ที่บ้าน และแม้ขยับออกไปเพียง 100 เมตรก็ไม่มีสัญญาณ

ความลำบากร่วมกันของผู้คนจำนวนมากในพื้นที่ภูเขา

  • เพื่อนรุ่น Millennial คนหนึ่งยังบอกว่า SMS 2FA คือความทุกข์ในชีวิต
  • แม้แต่พื้นที่ที่ไม่ได้อยู่ลึกในหุบเขามาก ก็ยังมี ปัญหาจาก SMS 2FA

ข้อจำกัดและความยากของวิธี TOTP

  • TOTP ก็ไม่สมบูรณ์แบบเช่นกัน
    • ต้องติดตั้งแอปแยกต่างหาก
    • กระบวนการเลือกว่าจะใช้แอปไหนซับซ้อนและมีคำอธิบายทางเทคนิคมาก

สรุปและปัญหาในระดับวงกว้าง

  • เหตุผลที่ SMS 2FA ถูกใช้อย่างแพร่หลาย คือประสบการณ์ใช้งานที่เข้าใจง่ายและมีความน่าเชื่อถือในระดับหนึ่ง
  • อย่างไรก็ตาม มีผู้คนหลายล้านคนที่อยู่ในสภาพแวดล้อมที่ย่ำแย่ เช่น ประชากร 1.1 ล้านคนในพื้นที่ภูเขาของนอร์ทแคโรไลนา และ 25 ล้านคนทั่วภูมิภาค Appalachian
  • แม้จะมีอินเทอร์เน็ต แต่ สัญญาณมือถือกลับแย่มาก
  • ผู้คนที่อาศัยอยู่ในพื้นที่เหล่านี้ยังขาดทางเลือกที่สมเหตุสมผลหรือการออกแบบที่คำนึงถึงพวกเขา

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-05-15
ความคิดเห็นจาก Hacker News

  • น่าสนใจที่อีกทางเลือกหนึ่งที่เธอสามารถเลือกได้คือการย้ายหมายเลขโทรศัพท์ของตนไปยังผู้ให้บริการ VOIP ที่รับ SMS ผ่าน Wi-Fi ได้ แต่กลับพบว่าบางบริษัทไม่ส่งรหัส SMS-OTP ไปยังหมายเลข VOIP ด้วยเหตุผลด้าน seCuRiTy หรือกำหนดให้หมายเลขต้องลงทะเบียนเป็นชื่อของเจ้าของเอง คิดว่าข้อจำกัดแบบนี้ควรผิดกฎหมาย หมายเลขก็เป็นแค่หมายเลข เปิดใช้ Wi-Fi calling แล้วจึงรับ SMS จากเพื่อนหรือครอบครัวได้ แต่รหัส 2FA ก็ยังไม่เข้ามา เคยคิดว่า SMS over IMS ถูกทำให้โปร่งใสสำหรับผู้ส่งจากภายนอกแล้ว แต่ก็ไม่แปลกใจเพราะตัวโปรโตคอล SMS เองถูกออกแบบมาอย่างหละหลวมเกินไป

    • น่าจะอธิบายวิธีทำงานของระบบ SMS ได้อยู่ ระบบนี้ส่งข้อความแบบ “blind” เฉยๆ ถ้าผู้รับออฟไลน์หรือไม่มีสัญญาณ ผู้ให้บริการเครือข่ายจะเก็บข้อความไว้ราว 3~7 วัน ระบบ OTP จะตรวจสอบการเข้าถึงได้ผ่าน Vonage, Twilio API ฯลฯ แต่การตรวจสอบนี้ไม่ได้สมบูรณ์ ถ้ามีอะไรดูผิดปกติ ข้อความก็จะไม่ถูกส่ง วิธีนี้ทำเพื่อประหยัดค่าข้อความ แต่คิดว่าไม่สมเหตุสมผลที่ใช้กับหมายเลขที่ยืนยันแล้วด้วย

    • ถ้ามองจากฝั่งยุโรป ตามข้อกำหนดทางการเงิน PSD2 อนุญาตให้ใช้ SMS สำหรับ 2FA ได้เฉพาะกับหมายเลขที่ทำ KYC เสร็จแล้ว 2FA ในที่สุดก็ทำหน้าที่เป็นลายเซ็นอิเล็กทรอนิกส์ที่พิสูจน์ว่า “คุณมีบางสิ่ง” และสิ่งนั้นก็คือหมายเลขโทรศัพท์ที่ยืนยันตัวตนแล้ว พร้อมย้ำว่า SMS เป็นวิธี 2FA เดียวที่ใช้ได้ง่ายกับทุกกลุ่มประชากร ทุกพื้นที่ และทุกอุปกรณ์

    • คิดว่ามันไร้สาระมากที่บริษัทกลุ่มเดียวกันยอมให้ใช้เฉพาะ SMS เป็น 2FA แต่กลับไม่ส่งไปยัง VOIP น่าจะเป็นเพราะทุกบริษัทต้องผ่านบริการบางอย่างสำหรับการส่ง SMS และบริการนั้นบล็อก VOIP ธนาคารแทบทั้งหมดบังคับใช้ SMS 2FA แต่ที่อื่นกลับรองรับแอป เรื่องนี้ดูแปลกมาก

    • พอถึงปี 2025 หมายเลขโทรศัพท์ก็ยังเป็นวิธีที่พอช่วยแก้ปัญหา Sybil ได้บ้างอยู่ดี คือปัญหาที่คนหนึ่งสร้างหลายบัญชี และยังยืนยันตัวตนได้ในระดับหนึ่งโดยไม่ต้องมีขั้นตอน KYC เต็มรูปแบบ

    • เคยใช้ Wi-Fi calling เพื่อรับ SMS 2FA อย่างเดียว ใช้คู่ RedPocket(MVNO) กับ T-Mobile แล้วไม่มีปัญหาเลย ในพื้นที่นั้นไม่มีสัญญาณ T-Mobile โดยตรง จึงรับ SMS ผ่าน Wi-Fi ได้เท่านั้น แพ็กเกจก็ราคาถูกด้วย แต่ก็เคยมีปัญหาเรื่องโทรศัพท์รุ่นเก่าที่ไม่รองรับ Band บางย่านความถี่

    • ด้วยลักษณะการรับส่งข้อความ ข้อความจากเพื่อนและครอบครัวมาแบบ P2P ส่วน 2FA เป็นแบบ A2P จากเครื่องไปหาคน ซึ่งสองวิธีนี้ถูกจัดการต่างกันอย่างชัดเจน

    • แม้จะย้ายหมายเลขไปยังผู้ให้บริการ VOIP ฝั่งผู้ส่งก็น่าจะแยกไม่ออกว่าหมายเลขนั้นเป็นมือถือหรือ VOIP ตนเองย้ายแบบนี้แล้วก็ยังรับ SMS 2FA ได้ตามปกติ

    • ถ้าใช้บริการธนาคารหลายแห่งจะพบว่าบางแห่งส่งโทเค็น SMS ไปที่ Google Voice ได้ไม่มีปัญหา แต่บางแห่งกลับต้องให้ฝ่ายบริการลูกค้าเปิดสิทธิ์ Google Voice SMS ให้เท่านั้น นโยบายดูสุ่มมาก บางที่ไม่ส่งผ่านช่องทางปกติ แต่กลับมีระบบโทรอัตโนมัติอ่านรหัสเดียวกันให้ฟัง คิดว่านโยบายความปลอดภัยดูมั่วมาก

    • ตัวเลือกการรับรหัส SMS-OTP ผ่าน VOIP สุดท้ายแล้วเป็นความคิดที่ไม่ดี มันอาจใช้ได้เพียงช่วงสั้นๆ ก่อนจะถูกปิดกั้นเมื่อมีการเข้มนโยบายความปลอดภัย มาตรการทั้งหมดนี้จริงๆ ไม่ได้มีไว้เพื่อความปลอดภัยของผู้ใช้ แต่เป็นกำแพงเพื่อชะลอทราฟฟิกสแปมและการฉ้อโกงที่ถาโถมเข้ามาไม่หยุด การมีหมายเลขโทรศัพท์จริงเองกำลังถูกใช้เป็น “Proof of Work” และในทางปฏิบัติก็แทบไม่มีทางเลือกอื่น

    • ปัญหาอยู่ที่ตัววิธี SMS เอง ดังนั้นการถกเถียงนี้จึงแทบไม่มีความหมาย เห็นว่าการใช้ SMS ควรผิดกฎหมายไปเลย

  • ถ้ามีแค่ microcell/femtocell ก็ช่วยได้มากในที่ที่สัญญาณอ่อนอย่างบ้านหรือออฟฟิศ แค่ติดต่อผู้ให้บริการแล้วบอกว่าสัญญาณอ่อน เขาจะส่ง AP(Access Point) ที่แปลงอินเทอร์เน็ต → เซลลูลาร์มาให้ฟรี อุปกรณ์แบบนี้มีช่องรับ RJ-45 และเสาอากาศ GPS รองรับข้อมูลตำแหน่ง e911 ด้วย ร้านของเราก็อยู่ท่ามกลางกำแพงโลหะและในหุบเขา เมื่อก่อนต้องขึ้นไปบนเนินถึงจะโทรได้ แต่หลังจากขอแต่ละค่ายให้ติดตั้ง femtocell ใครก็ตามก็ใช้งานได้ปกติโดยสลับไปใช้เครือข่าย ISP อัตโนมัติ รองรับแม้แต่ MVNO ด้วย เพียงแต่อาจต้องใช้บริการตรงจากค่ายแทน MVNO หากจะใช้ femtocell

    • ดูเหมือนว่า t-Mobile จะไม่รองรับอุปกรณ์ที่เรียกว่า microcell อีกต่อไปแล้ว อ้างอิงจากหน้าสนับสนุนของเขา

    • femtocell ก็มีข้อเสียเช่นกัน เพราะต้องมีสัญญาณ GPS เสมอ จึงใช้งานยากในภูมิประเทศแบบภูเขา เคยใช้ femtocell มาหลายปี บางครั้งมันหยุดทำงานโดยไม่ทราบสาเหตุ และก็ไม่บอกด้วยว่าทำไมถึงใช้ไม่ได้

    • เคยได้ Verizon 4G LTE Network Extender ฟรีมาอย่างหนึ่ง ปัญหาคือเมื่อออกจากบ้านการเชื่อมต่อจะหลุด ครั้งหนึ่งกำลังโทร 911 แล้วสัญญาณหลุดระหว่างเดินทาง พอออกนอกระยะทำการ โทรก็จะขาดจนกว่าจะเชื่อมต่อใหม่ได้ หลังจากนั้น Verizon ก็ติดต่อมาเพื่อแก้ไขข้อมูลตำแหน่ง

    • ค่อนข้างน่าแปลกใจที่โอเปอเรเตอร์รายใหญ่ยอมให้ใครก็ได้ใช้งานเสาสัญญาณเซลลูลาร์ที่เชื่อมต่อกับ ISP ที่พวกเขาไม่ได้ตรวจสอบโดยตรงอย่างไมโครเซลล์ ปกติเป็นบริษัทที่เข้มงวดเรื่องการควบคุมแบรนด์มาก แต่เรื่องนี้กลับใจกว้างอย่างมาก

  • เวลาระหว่างโรมมิงต่างประเทศ จะเก็บ SIM ไว้ในโทรศัพท์ Android ที่บ้านและเสียบไฟไว้ พร้อมใช้แอปที่ forward SMS ผ่าน API ทำให้รับ SMS ทั้งหมดทางอีเมลได้ ใช้วิธีนี้มาหลายปีโดยไม่มีปัญหา ปกติก็สะดวกดีเพราะรับ OTP SMS ผ่านคอมพิวเตอร์ได้ MMS รับไม่ได้แต่ก็ไม่จำเป็นจึงไม่เป็นไร

    • เรียกวิธีนี้ว่า "2FA Mule" ใช้วิธีนี้มามากกว่า 4 ปีแล้วและคิดว่ามันทำงานได้ดีมาก เป็นตัวเลือกที่ดี

    • ถ้าเป็นโทรศัพท์ที่รองรับ dual SIM และ WiFi calling ก็สามารถใช้ data-only eSIM ในประเทศที่ไปเยือน และยังรับ SMS ผ่าน SIM เดิมต่อไปได้

    • ฉันก็ทำคล้ายกันโดยวางโทรศัพท์ Android ไว้ที่บ้าน แล้วใช้บริการส่งข้อความผ่านเว็บบนโน้ตบุ๊กเพื่อรับ SMS ทุกวันนี้ SMS ใช้งานได้ผ่าน WiFi calling แล้ว จึงไม่จำเป็นต้องเป็นปัญหาเสมอไป

    • มีคนบอกว่าโทรศัพท์ Android อาจถูกตั้งให้รีบูตอัตโนมัติทุก 3 วัน ดังนั้นวิธีนี้อาจใช้ไม่ได้ในไม่ช้า

    • ไม่เข้าใจว่าทำไมวิธีนี้ถึงเกี่ยวกับโรมมิง เพราะเคยโรมมิงบ่อยมากทั้งในยุโรปและที่อื่นๆ โดยไม่มีปัญหาในการรับ SMS เลย

  • บทความนี้ค่อนข้างเฉพาะกลุ่ม ดูเหมือนว่าโค้ด SMS 2FA จะมาทันทีพร้อมกับเริ่มใช้บริการมือถือ แต่จริงๆ อาจต้องลงทะเบียน 2FA ให้เสร็จก่อนแล้วออกไปข้างนอก โค้ดถึงจะเริ่มใช้งานได้ ส่วน TOTP ก็ไม่ได้ยากขนาดนั้น แค่ช่วยเลือกแอปและช่วยพิมพ์ backup code ให้ ก็แทบไม่มีปัญหาอะไร

  • Google Fi สามารถรับ SMS สำหรับการยืนยันตัวตนทั้งหมดรวมถึง short code ผ่าน Wi-Fi ได้ และต่อให้โทรศัพท์ปิดอยู่หรือพัง ก็ยังรับได้จากทุกอุปกรณ์ผ่านเว็บเบราว์เซอร์ ชอบฟีเจอร์นี้มาก ค่าบริการเริ่มที่ 20 ดอลลาร์ต่อเดือน เมื่อก่อนในพื้นที่ภูเขาใช้ได้ดีเพราะเป็นพันธมิตรกับ US Cellular แต่ช่วงหลังสถานการณ์เปลี่ยนไปบ้างจากการที่ฝั่ง T-Mobile เข้ามารับช่วงในระดับหนึ่ง

    • อาศัยอยู่นอกสหรัฐมา 12 ปี ก่อนมี Google Fi ก็มีปัญหากับ SMS ตลอด หลายธนาคารยืนกรานจะใช้การยืนยันผ่าน SMS แต่หมายเลขเสมือนแบบ VOIP มีปัญหาทั้ง (1) บางธนาคารปฏิเสธให้บริการด้วยเหตุผลด้านความปลอดภัย (2) รับ SMS ไม่ได้ด้วยเหตุผลทางเทคนิค ส่วน Google Fi นั้นแม้ไม่มีบริการมือถือก็ยังส่งต่อผ่าน WiFi ได้ดี แม้หลังอยู่นอกสหรัฐเกิน 1 เดือน ดาต้าจะถูกตัด แต่แค่ใช้ SMS/เสียงได้ก็เพียงพอแล้ว

    • สงสัยว่ายังใช้ RCS และ “messages for web” ได้หรือไม่ เมื่อก่อนต้องเปิด Fi sync ถึงจะใช้ข้อความ/เสียงได้แม้มือถือปิดอยู่ แต่ในกรณีนั้นฟังก์ชัน RCS จะถูกปิด ไม่รู้ตอนนี้ยังเป็นแบบนั้นหรือไม่ และต้องใช้ URL ไหนสำหรับข้อความ/เสียง

  • เห็นด้วยกับความเห็นที่ว่าความคาดหวังของผู้ใช้สูงเกินไป ตัวอย่างเช่นตอนเช่าสกู๊ตเตอร์ Lime แล้วตั้งค่า VPN ผิดจนใช้อินเทอร์เน็ตไม่ได้ จึงกดคืนรถไม่สำเร็จ แม้สุดท้ายจะได้คืนเงินค่าใช้เพิ่มเพราะ GPS แสดงว่าหยุดแล้ว แต่ถ้าแบตโทรศัพท์หมดคงลำบาก จึงควรเตรียมรับมือกรณีไม่คาดคิดระหว่างเดินทาง

    • ถ้าเคยใช้ตู้ล็อกเกอร์พัสดุ DHL รุ่นใหม่ในเยอรมนี จะรู้ว่ามันไม่มีหน้าจอและใช้งานได้ผ่านแอปเท่านั้น ต้องใช้ทั้ง Bluetooth และอินเทอร์เน็ตพร้อมกัน ทั้งที่ตัวล็อกเกอร์เองก็มีอินเทอร์เน็ตอยู่แล้ว จึงคิดว่าเป็นข้อเรียกร้องที่ไม่จำเป็นจากฝั่งแอป

  • ย่อมมีองค์ประกอบที่เป็นปฏิปักษ์ต่อคนบางกลุ่มอยู่เสมอ และ 2FA ก็ไม่มีวิธีไหนสมบูรณ์แบบ แต่ละแบบล้วนไม่สะดวกต่างกัน SMS 2FA ความปลอดภัยอ่อนกว่า แต่ใช้แพร่หลายที่สุดและกู้คืนง่าย แอปประเภท TOTP ปลอดภัยกว่า แต่กู้คืนยากเมื่อทำอุปกรณ์หายหรือเปลี่ยนเครื่อง ฮาร์ดแวร์โทเค็นอย่าง Yubikey มีค่าใช้จ่ายและยังมีปัญหาเรื่องการกู้คืนเช่นกัน คิดว่าวิธีที่แน่นอนที่สุดคือให้รัฐบาลกลางดำเนินระบบยืนยันตัวตนด้วยฮาร์ดแวร์แบบรวมศูนย์ (จริงๆ กระทรวงกลาโหมสหรัฐก็ใช้บัตร CaC อยู่) แต่ในสหรัฐ ระบบแบบนี้เกิดขึ้นได้ยากมากเพราะข้อถกเถียงด้านความเป็นส่วนตัวและปัญหางบประมาณ แม้ SMS 2FA จะไม่เป็นมิตรกับคนในพื้นที่ภูเขา ฯลฯ แต่จริงๆ แล้ว 2FA ทุกแบบก็ไม่สมบูรณ์

    • ความเป็นส่วนตัวของการยืนยันตัวตนสำคัญในบางสถานการณ์ เช่น การลงคะแนนเสียง แต่ในกรณีที่ต้องพิสูจน์ตัวชัดเจนอย่างธนาคาร คิดว่าความกังวลเรื่องความเป็นส่วนตัวไม่ได้เกี่ยวข้องมากนัก

    • Yubikey และอุปกรณ์คล้ายกันอาจดูเหมือนกู้คืนยาก แต่ถ้าลงทะเบียนไว้หลายอัน ต่อให้ทำหายไปอันหนึ่ง ก็ยังใช้คีย์อีกอันลงทะเบียนใหม่เพื่อแก้ปัญหาได้

  • ถ้าติดตั้งแอป Google Voice บางบริการ 2FA ก็รองรับ แต่บางบริการก็ไม่รองรับ บางบริการปฏิเสธหมายเลข GV ส่วน GV รับ SMS ผ่าน WiFi ได้ หากขอ femtocell จากค่ายมือถือ เมื่อก่อนยังพอถูก แต่ตอนนี้เลิกผลิตแล้วและราคาสูงถึง 2500 ดอลลาร์ ยังสามารถสมัคร mightytext.net เพื่อรับ SMS บนคอมพิวเตอร์ได้ แต่ไม่แน่ใจว่าวิธีนี้ใช้ได้หรือไม่เมื่อไม่มีสัญญาณมือถือ ใช้อยู่เพราะพิมพ์ SMS ด้วยคีย์บอร์ดโน้ตบุ๊กสะดวกกว่านิ้ว

    • ยังทำได้อีกแบบคือเสียบ USB modem เข้ากับคอมพิวเตอร์ แล้วเอาไปวางในจุดที่มีสัญญาณก่อนเข้าถึงผ่านอินเทอร์เน็ต เจ้าตัวบอกว่าตอนนี้ใช้วิธีย้อนกลับแบบนี้กับ Raspberry Pi เพื่อมอนิเตอร์ระยะไกล ตอนทำต้นแบบเคย parse SMS ด้วย ไม่เหมาะกับทุกคนแต่ก็ขอแชร์ตามสไตล์ HN

    • mightytext.net ใช้งานไม่ได้ถ้าโทรศัพท์ไม่มีสัญญาณ การรีเลย์ข้อความทำได้โดยโอเปอเรเตอร์เท่านั้น การเชื่อมต่อกับบริการแบบนี้ก็ยากสำหรับโอเปอเรเตอร์สหรัฐทุกเจ้าและมีข้อจำกัดทางเทคนิคด้วย มีเพียงบริการ SMS ผ่านดาวเทียมของ Apple ที่เข้าถึง SMS router โดยตรงเพื่อรีเลย์ได้

    • ข้อดีอย่างหนึ่งของวิธีนี้คือสามารถปกป้องการเข้าถึง SMS ด้วย MFA(การยืนยันตัวตนหลายชั้น) ได้

  • TOTP, HOTP ฯลฯ สามารถทำได้โดยไม่ต้องใช้ข้อมูลระบุตัวตนส่วนบุคคลอย่างหมายเลขโทรศัพท์ แต่ SMS จำเป็นต้องมีหมายเลข และถ้าหมายเลขนั้นเชื่อมกับข้อมูลส่วนบุคคลของคุณ มันก็มีมูลค่าสูงกว่ามากในเชิงการตลาดหรือการรวมศูนย์ข้อมูล

    • สถานที่ส่วนใหญ่ที่บังคับใช้การยืนยันผ่าน SMS มักรู้อยู่แล้วทั้งชื่อ ที่อยู่ และข้อมูลส่วนตัวอื่นๆ (เช่น การเงิน ใบอนุญาต สถานพยาบาล ฯลฯ) ดังนั้นข้อถกเถียงเรื่องการรวมข้อมูลเพื่อการตลาดจึงแทบไม่มีความหมายในทางปฏิบัติ ถ้าเป็นพวกอย่าง TikTok ที่อยากได้หมายเลขแบบไม่มีเหตุผล ก็ใช้หมายเลขใช้ครั้งเดียวหรือปฏิเสธไป

    • TOTP/HOTP ไม่มีคุณสมบัติแบบ WYSIWYS("สิ่งที่เห็นคือสิ่งที่คุณลงนาม") เช่น การยืนยันว่า “ฉันกำลังจะจ่ายเงินจำนวนนี้ให้ร้านค้านี้” สำหรับการชำระเงินผ่านธนาคารจำเป็นต้องมีการยืนยันโดยตรง จริงๆ แล้วใน EU อาจมีข้อกำหนดให้ต้องมี WYSIWYS ตามระเบียบ จึงทำให้ต้องมีแอปเฉพาะของธนาคารเพื่ออุดช่องว่างชั่วคราว มองว่ามาตรฐานปัจจุบันอย่าง WebAuthN ยังไม่พอ และต้องมีวิธีใหม่ เช่น ส่วนขยาย SPC รวมถึงฮาร์ดแวร์ยืนยันตัวตน

  • ฉันเองก็อยู่ชนบทจึงเคยเจอปัญหา SMS โค้ดไม่เข้าบ้างเป็นครั้งคราว บางวันก็มาปกติบางวันก็ไม่มา ไม่เคยรู้ว่าเพราะอะไร แต่บทความนี้อธิบายสาเหตุได้ชัดเจนมาก ปกติใช้บริการของ Spectrum ทั้ง Wi-Fi และมือถืออยู่แล้ว และเพราะต้องพึ่ง Wi-Fi ตามความแรงสัญญาณจึงเกิดอาการแบบนี้