คู่มือความปลอดภัย
MFA กับรหัสผ่านที่แข็งแกร่ง
เรียนรู้ว่าการยืนยันตัวตนหลายปัจจัยและรหัสผ่านที่แข็งแกร่งทำงานร่วมกันอย่างไร และเหตุใดการควบคุมทั้งสองจึงไม่สามารถแทนที่กันได้
สรุป
MFA และรหัสผ่านที่แข็งแกร่งแก้ปัญหาคนละอย่าง รหัสผ่านที่แข็งแกร่งทำให้การเดาและการโจมตีแบบ reuse ยากขึ้น MFA เพิ่มกำแพงที่สองเมื่อรหัสผ่านถูกขโมย ถูกฟิชชิ่ง หรือรั่วไหล สำหรับบัญชีสำคัญ ควรใช้ทั้งสองอย่าง
ประเภทของ MFA
MFA อาจรวมถึงแอปยืนยันตัวตน, คีย์ความปลอดภัยฮาร์ดแวร์, passkeys, การอนุมัติแบบ push, SMS หรือรหัสทางอีเมล วิธีการต่างๆ มีความต้านทานต่อฟิชชิ่งและความเสี่ยงในการกู้คืนที่แตกต่างกัน รหัสผ่านที่สองไม่ใช่ปัจจัยที่สองที่แท้จริง
คำแนะนำเชิงปฏิบัติ
- ใช้รหัสผ่านที่ไม่ซ้ำกันและสุ่มสำหรับทุกบัญชี
- เปิดใช้งาน MFA สำหรับบัญชีอีเมล, ธนาคาร, ที่ทำงาน, คลาวด์ และตัวจัดการรหัสผ่าน
- เลือกใช้วิธีที่ต้านทานฟิชชิ่งเมื่อมีให้เลือก
- เก็บรหัสกู้คืนอย่างปลอดภัย
- ตรวจสอบวิธีการสำรองและอุปกรณ์ที่เชื่อถือได้
คำแนะนำโดยละเอียด
คู่มือนี้เน้นว่า MFA และรหัสผ่านที่แข็งแกร่งเสริมกันอย่างไร เขียนขึ้นสำหรับผู้ใช้ที่สงสัยว่า MFA ทำให้ความสำคัญของรหัสผ่านลดลงหรือไม่ ดังนั้นเป้าหมายเชิงปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่รุนแรง เป้าหมายคือการเลือกนิสัยการใช้รหัสผ่านที่สามารถอยู่รอดในการใช้งานประจำวัน: ฟอร์มเข้าสู่ระบบ, ตัวจัดการรหัสผ่าน, คีย์บอร์ดมือถือ, การกู้คืนบัญชี, อุปกรณ์ที่ใช้ร่วมกัน และบริการที่มีกฎการตรวจสอบที่แปลกประหลาดเป็นครั้งคราว คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ
จุดเริ่มต้นที่ปลอดภัยที่สุดคือความสุ่มบวกกับความเป็นเอกลักษณ์ ความสุ่มหมายถึงค่าที่ถูกเลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมทางการเข้ารหัส ไม่ใช่การคิดค้นจากวันเกิด, ชื่อสัตว์เลี้ยง, รูปแบบคีย์บอร์ด หรือคำพูดที่ชอบ ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ถูกใช้ที่อื่น รหัสผ่านที่ยาวแต่ถูกใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการรั่วไหลที่ไม่เกี่ยวข้องครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำกันจะจำกัดความเสียหายให้กับบัญชีเดียวที่ใช้รหัสนั้น
สำหรับหัวข้อนี้ ค่าเริ่มต้นที่ใช้งานได้จริงคือรหัสผ่านสุ่มที่ไม่ซ้ำกันบวกกับปัจจัยที่สองที่เป็นอิสระ คุณสามารถใช้ค่าเริ่มต้นนั้นกับ ตัวสร้างรหัสผ่านอีเมล แล้วเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเบราว์เซอร์ด้วย Web Crypto; รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบในเครื่องนั้นลดความเสี่ยงฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย, อุปกรณ์ที่ถูกบุกรุก, หน้าฟิชชิ่ง หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงเปิดเผยความลับหลังจากสร้างรหัสผ่านได้
ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือการสกัดกั้น SMS, ความเหนื่อยล้าจากการยืนยัน, อีเมลกู้คืนที่อ่อนแอ, รหัสกู้คืนที่เก็บไม่ปลอดภัย และรหัสผ่านที่ถูกใช้ซ้ำภายใต้ MFA ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีแทบไม่ต้องเดารหัสผ่านทุกตัวเมื่อนิสัยของมนุษย์ทำให้พวกเขามีทางลัด Credential stuffing, ฟิชชิ่ง, รายการรหัสผ่านที่รั่วไหล และการละเมิดการกู้คืนบัญชีมักเป็นจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพของรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, passkeys, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลกู้คืนหรือการตั้งค่าโทรศัพท์เป็นประจำ
ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:
- ใช้ปัจจัยแบบแอป, ฮาร์ดแวร์ หรือ passkey เมื่อมีให้
- ปกป้องอีเมลก่อน
- เก็บรหัสกู้คืนอย่างปลอดภัย
- อย่าทำให้รหัสผ่านอ่อนแอลงเพราะเปิด MFA ไว้
หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับและตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำกัน หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมอักขระที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่เล็กลง
สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแกร่งเป็นชั้นป้องกันชั้นหนึ่ง ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้าฟิชชิ่งปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลรับรองไม่ดี นิสัยที่มีประโยชน์คือ น่าเบื่อแต่ทนทาน: สร้างค่าที่ไม่ซ้ำกัน เก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากสงสัยว่ามีการเปิดเผย
ขั้นตอนต่อไปที่ปลอดภัย
หลังจากอ่านคู่มือนี้ ให้ตรวจสอบบัญชีเล็กๆ น้อยๆ แทนที่จะพยายามแก้ไขทุกอย่างพร้อมกัน เลือกบัญชีที่จะสร้างปัญหามากที่สุดหากถูกยึด ยืนยันว่ารหัสผ่านไม่ซ้ำกัน และตรวจสอบอีเมลกู้คืน โทรศัพท์กู้คืน วิธี MFA และการจัดเก็บรหัสกู้คืน หากส่วนใดของห่วงโซ่นั้นอ่อนแอ ให้ปรับปรุงส่วนนั้นก่อนย้ายไปยังบัญชีที่มีความเสี่ยงต่ำกว่า ลำดับนี้ทำให้งานจัดการได้และปกป้องบัญชีที่ผู้โจมตีมักใช้เป็นขั้นบันได สำหรับ mfa vs strong password ผลลัพธ์ที่ดีที่สุดคือนิสัยที่ทำซ้ำได้: สร้างในเครื่อง เก็บอย่างระมัดระวัง และหลีกเลี่ยงการใช้ซ้ำ
คำถามที่พบบ่อย
MFA แทนที่รหัสผ่านที่แข็งแกร่งได้หรือไม่?
ไม่ MFA ลดความเสี่ยงในการถูกยึดบัญชี แต่รหัสผ่านควรยังคงไม่ซ้ำกันและแข็งแกร่ง
SMS MFA เพียงพอหรือไม่?
SMS ดีกว่าไม่มี MFA แต่แอปยืนยันตัวตน passkeys และคีย์ความปลอดภัยมักจะแข็งแกร่งกว่าเมื่อมีให้ใช้
ควรปกป้องอะไรก่อน?
ปกป้องอีเมล ตัวจัดการรหัสผ่าน ธนาคาร ที่ทำงาน และบัญชีคลาวด์ก่อน เพราะสามารถปลดล็อกบริการอื่นๆ ได้