การส่งโค้ดใช้ครั้งเดียวทางอีเมลแย่กว่าการใช้รหัสผ่านเสียอีก

• ช่วงหลังมานี้ หลายบริการเริ่มนำวิธี ล็อกอินด้วยรหัส 6 หลักผ่านอีเมลหรือหมายเลขโทรศัพท์ มาใช้
  • เมื่อกรอกอีเมล/หมายเลขโทรศัพท์ ระบบจะส่งรหัสยืนยัน 6 หลักมาให้ แล้วจึงนำรหัสดังกล่าวมากรอกเพื่อล็อกอิน
• วิธีนี้ก่อให้เกิด ช่องโหว่ร้ายแรงต่อความปลอดภัยของบัญชี
  • ผู้โจมตีสามารถเพียงแค่ กรอกอีเมลของผู้อื่นลงในบริการที่ถูกต้องตามกฎหมาย เพื่อขอให้ส่งรหัสยืนยันได้
  • ผู้ใช้จะมีปัญหาในการแยกแยะได้ยากว่ารหัสยืนยันที่ได้รับนั้น เป็นสถานการณ์ที่ควรใช้งานจริงหรือไม่ หรือเป็นความพยายามฟิชชิง
  • เครื่องมือป้องกันฟิชชิงแบบเดิม เช่น Password manager (ตัวจัดการรหัสผ่าน) แทบไม่มีประสิทธิภาพ
• รูปแบบรหัสยืนยันนี้ถูกนำไปใช้ในทางที่ผิดอย่างต่อเนื่องจริง
  • แม้แต่ใน การล็อกอินบัญชี Minecraft ที่ Microsoft เป็นผู้ให้บริการ ก็ใช้วิธีคล้ายกัน
  • มีรายงาน กรณีขโมยบัญชีจำนวนมาก จากชุมชนออนไลน์และสื่อหลากหลายแห่ง เช่น Reddit และ YouTube

บทสรุป

วิธีการยืนยันตัวตนด้วยอีเมลรหัส 6 หลักมีความ เปราะบางด้านความปลอดภัยมากกว่าที่คาด

• เมื่อเทียบกับการใช้รหัสผ่านแบบเดิม ความเสี่ยงจากฟิชชิงกลับ เพิ่มสูงขึ้นอย่างมาก
• แม้จะถูกนำมาใช้เพื่อปรับปรุงประสบการณ์ผู้ใช้หรือความปลอดภัย แต่ ในความเป็นจริงอาจก่อให้เกิดผลลัพธ์ที่แย่กว่าเดิม