MFA มีเอาไว้ให้คุณไม่เป็น "เหยื่อที่ง่าย" ซึ่งการหลุดพ้นจากการเป็นเหยื่อนั้น MFA ก็เป็นเพียงแค่ส่วนหนึ่งเท่านั้น
เราหลายคนคงได้มีโอกาสฟังเรื่องของ #MFA หรือ Multi-Factor Authentication จากเซลส์ที่เข้ามาติดต่อและนำเสนอกันมาเยอะแล้ว จะ MFA กันด้วย QR-code, SMS, Push message จะ Offline หรือ Online เราก็ได้ยินกันมาเยอะ ข้อดีข้อเสียก็มีปะปนกันไป แต่คงจะมีน้อยเซลส์นัก ที่จะมานั่งวิเคราะห์กับเราจริง ๆ ว่า ระบบของเราควรจะใช้ MFA หรือไม่ คำตอบออกมาส่วนใหญ่คือ "ใช้เถอะพี่ !!!" เป็นงั้นทุกครั้งไป
ความปลอดภัยน่ะ ใครก็อยากได้ครับ แต่เราคงไม่ต้องถึงกับนั่งในรังปืนกล เพื่อให้ความรู้สึกปลอดภัยหรอก ดังนั้น MFA มีไว้มันก็ปลอดภัย แต่มันเกินไปหรือเปล่า นั่นคือเรี่องที่เราจะมาพูดกันวันนี้ครับ
👉มันต้องใช้ทั้งตรรกะและความรู้ครับ MFA ควรซื้อหรือไม่
👉ตรรกะคือ "เราเสียวแค่ไหนถ้า Password ของเรารั่วไหล"
👉ความรู้คือ "เรารู้หรือเปล่าว่า Password ที่คนร้ายได้ไปนั้น เขาเอาไปทำความเสียหายอะไรได้บ้าง"
เราทุกคนมี Password ของ Mailbox ของบริษัท สมมติว่า คนร้ายได้ Password ไปจะด้วยวิธีใดก็แล้วแต่ คนร้ายจะเอาไปทำอะไรได้มากแค่ไหน คุณรู้หรือเปล่า
🕵️♀️เอาไป Login เข้า Mailbox ของเราเพื่อส่ง Spam ความเสียหายจิ๊บ ๆ มาก
🕵️♀️คนร้ายค้นประวัติของเรา และรู้ว่า Mailbox ของเราใช้สั่งจ่ายเงินได้ คนร้ายหาจังหวะที่เหมาะ สั่งให้ลูกค้าในต่างประเทศโอนเงินเข้าบัญชีคนร้าย ด้วย Mailbox ของเรา โอนเงินว่าแย่แล้ว ตอนสืบสวน ตามกระบวนการ "เราจะตกเป็นผู้ต้องสงสัย" นะครับ
🕵️♀️หรือไม่ Mailbox นั้นอาจสามารถใช้สั่ง IT ให้บอก Password ของ Mailbox อื่น ๆ ได้ เพราะเป็น IT ด้วยกัน
🕵️♀️Mailbox นั้น อาจมีอำนาจสั่งแผนกอื่นให้โอนเงินตามคำสั่งได้
🕵️♀️คนร้ายอาจใช้ทุกวิธีร่วมกัน จาก Mailbox IT ไปขอ Password ของ Mailbox ผู้บริหาร เพื่อเอาไปสั่งฝ่ายการเงินให้โอนเงินไปยังบัญชีคนร้าย
🕵️♀️คนร้ายใช้ Mailbox ของ IT สั่งให้ Front หรือ Cashier ติดตั้งโปรแกรมบางอย่าง แนบไฟล์ไปกับ e-mail โปรแกรมที่จะสร้าง Back door ให้คนร้ายเข้ามาเอาข้อมูลบัตรเครดิตของลูกค้าออกจากระบบ เอาไปขายในตลาดมืดได้บัตรละ 1-15 USD เลยนะครับ แถมยังกลับมาเอาข้อมูลใหม่ ๆ ได้เรื่อย ๆ จนวันหนึ่งที่ลูกค้าผู้เสียหายเอาไปโพส facebook ว่า บัตรเครดิตที่รูดกับเรานั้นถูกขโมยข้อมูลเอาไปรูดต่อ พอจะคุ้น ๆ กับเคสแบบนี้มั้ยครับ
เรื่องข้างต้นจะยังเป็นนิยายเกินจริงสำหรับหลายบริษัท แต่มันเป็นเรื่องที่เกิดขึ้นซ้ำแล้วซ้ำเล่ากับหลาย ๆ บริษัทครับ เอ...แล้วเราต้องกลัว แล้วรีบซื้อ MFA เลยมั้ย..... ยังครับ เรื่องเล่ายังไม่จบครับ มาว่ากันต่อ......
องค์กรเราจะปลอดภัยจากโจร อย่าไปโฟกัสที่ระบบรักษาความปลอดภัยครับ โฟกัสที่โจร โจรทำงานอย่างไร ผมเล่าไปแล้ว เราต้องรู้ต่อไปอีกว่า โจรเลือกเหยื่ออย่างไร แล้วเดี๋ยวคุณจะรู้เองว่า MFA นั้นจำเป็นหรือเปล่า
1. โจรเลือกเหยื่อที่ง่าย
2. ลงมือแล้วได้เยอะ ๆ
3. ถ้าลงมือปล้นแล้วเหยื่อไม่ไหวตัว ไม่รู้ตัว ให้ปล้นซ้ำอีก ซ้ำอีก และ ซ้ำอีก
ถ้าโจรเกิดขโมย account เพื่อเข้าระบบของเราได้แล้ว จะปล้นได้เยอะหรือไม่ อยู่ที่ว่า account นั้นใช้เข้าสู่ระบบอะไรได้บ้าง เปิดแค่ Mailbox หรือเป็น Domain account ใช้ดูไฟล์บนเซิร์ฟเวอร์ ใช้ Login เข้าซอฟต์แวร์หลักขององค์กรได้หรือเปล่า หรือเป็นถึงกับ account ของ System admin ที่ใช้ล้วงข้อมูลได้ทั้งองค์กร โจรจะปล้นไปได้เยอะหรือน้อย อยู่ที่ว่าเราสูญเสีย account ของคนระดับไหนไป
และโจรไม่แหวกหญ้าให้งูตื่นแน่นอนครับ ขโมยแบบเงียบ ๆ ไม่ให้รู้ตัว เอาข้อมูลไปขาย เดี๋ยวข้อมูลใหม่ไหลเข้ามา ก็กลับมาขโมยซ้ำอีก
หลายองค์กรที่ตกเป็นเหยื่อ เพราะเป็นเหยื่อที่ง่าย และลงมือแล้วได้เงินเยอะ บริษัทเหล่านี้โจรชอบมาก ไม่ต่างจากโจรย่องเบา ที่ชอบเข้าโจมตีบ้านที่อยู่ห่างไกลชุมชน แถมยังมีทรัพย์สินมีค่าในบ้านหลายอย่าง
ดังนั้น แทนที่จะมานั่งทางในหาคำตอบว่าควรซื้อ MFA หรือไม่ เราควรจะมามุ่งประเด็นว่า "เราคือเหยื่อที่ง่าย" ใช่หรือเปล่า MFA ทำให้เหยื่อง่าย ๆ อย่างเรา กลายเป็นเหยื่อที่เคี้ยวได้ยากขึ้น พอมันยาก โจรก็ไม่อยากยุ่งแล้วครับ เพราะมีเหยื่อง่าย ๆ อีกเยอะ มันเกี่ยวกันตรง ๆ กับ MFA ในเรื่องนี้
MFA ไม่ได้เอามาป้องกันโจร แต่หลักจิตวิทยาโจร MFA ทำให้เกิดความเซ็ง และเลิกคิดจะปล้นไปเองครับ
IT บางท่านอาจนึกน้อยใจเล็ก ๆ ว่า เคยลองเปิดใช้ Password complexity แล้วโดน User บ่นว่า ยุ่งยากและน่ารำคาญ หาว่า IT นี่เยอะ แล้วก็ปิด policy ไปในที่สุด นั่นแหละครับ คือจุดที่องค์กรนั้นควรมี MFA
ผมบอกเสมอ และเคยเขียนบทความไปแล้วด้วย เรื่อง "ระบบดีทำงานห่วย ระบบห่วยทำงานดี" ระบบที่ดีคือระบบที่คนเอาด้วย MFA ง่ายกว่า Password complexity policy และ MFA ได้รับการยอมรับจากผู้ใช้มากกว่า ถ้าแก้พฤติกรรมของ User ไม่ได้ ก็หันไปใช้ MFA เถอะครับ เพื่อที่เราจะไม่ใช่ "เหยื่อที่ถูกล่าได้ง่าย"
Multi Factor Authentication เมื่อไหร่ถึงจำเป็น
เราหลายคนคงได้มีโอกาสฟังเรื่องของ #MFA หรือ Multi-Factor Authentication จากเซลส์ที่เข้ามาติดต่อและนำเสนอกันมาเยอะแล้ว จะ MFA กันด้วย QR-code, SMS, Push message จะ Offline หรือ Online เราก็ได้ยินกันมาเยอะ ข้อดีข้อเสียก็มีปะปนกันไป แต่คงจะมีน้อยเซลส์นัก ที่จะมานั่งวิเคราะห์กับเราจริง ๆ ว่า ระบบของเราควรจะใช้ MFA หรือไม่ คำตอบออกมาส่วนใหญ่คือ "ใช้เถอะพี่ !!!" เป็นงั้นทุกครั้งไป
ความปลอดภัยน่ะ ใครก็อยากได้ครับ แต่เราคงไม่ต้องถึงกับนั่งในรังปืนกล เพื่อให้ความรู้สึกปลอดภัยหรอก ดังนั้น MFA มีไว้มันก็ปลอดภัย แต่มันเกินไปหรือเปล่า นั่นคือเรี่องที่เราจะมาพูดกันวันนี้ครับ
👉มันต้องใช้ทั้งตรรกะและความรู้ครับ MFA ควรซื้อหรือไม่
👉ตรรกะคือ "เราเสียวแค่ไหนถ้า Password ของเรารั่วไหล"
👉ความรู้คือ "เรารู้หรือเปล่าว่า Password ที่คนร้ายได้ไปนั้น เขาเอาไปทำความเสียหายอะไรได้บ้าง"
เราทุกคนมี Password ของ Mailbox ของบริษัท สมมติว่า คนร้ายได้ Password ไปจะด้วยวิธีใดก็แล้วแต่ คนร้ายจะเอาไปทำอะไรได้มากแค่ไหน คุณรู้หรือเปล่า
🕵️♀️เอาไป Login เข้า Mailbox ของเราเพื่อส่ง Spam ความเสียหายจิ๊บ ๆ มาก
🕵️♀️คนร้ายค้นประวัติของเรา และรู้ว่า Mailbox ของเราใช้สั่งจ่ายเงินได้ คนร้ายหาจังหวะที่เหมาะ สั่งให้ลูกค้าในต่างประเทศโอนเงินเข้าบัญชีคนร้าย ด้วย Mailbox ของเรา โอนเงินว่าแย่แล้ว ตอนสืบสวน ตามกระบวนการ "เราจะตกเป็นผู้ต้องสงสัย" นะครับ
🕵️♀️หรือไม่ Mailbox นั้นอาจสามารถใช้สั่ง IT ให้บอก Password ของ Mailbox อื่น ๆ ได้ เพราะเป็น IT ด้วยกัน
🕵️♀️Mailbox นั้น อาจมีอำนาจสั่งแผนกอื่นให้โอนเงินตามคำสั่งได้
🕵️♀️คนร้ายอาจใช้ทุกวิธีร่วมกัน จาก Mailbox IT ไปขอ Password ของ Mailbox ผู้บริหาร เพื่อเอาไปสั่งฝ่ายการเงินให้โอนเงินไปยังบัญชีคนร้าย
🕵️♀️คนร้ายใช้ Mailbox ของ IT สั่งให้ Front หรือ Cashier ติดตั้งโปรแกรมบางอย่าง แนบไฟล์ไปกับ e-mail โปรแกรมที่จะสร้าง Back door ให้คนร้ายเข้ามาเอาข้อมูลบัตรเครดิตของลูกค้าออกจากระบบ เอาไปขายในตลาดมืดได้บัตรละ 1-15 USD เลยนะครับ แถมยังกลับมาเอาข้อมูลใหม่ ๆ ได้เรื่อย ๆ จนวันหนึ่งที่ลูกค้าผู้เสียหายเอาไปโพส facebook ว่า บัตรเครดิตที่รูดกับเรานั้นถูกขโมยข้อมูลเอาไปรูดต่อ พอจะคุ้น ๆ กับเคสแบบนี้มั้ยครับ
เรื่องข้างต้นจะยังเป็นนิยายเกินจริงสำหรับหลายบริษัท แต่มันเป็นเรื่องที่เกิดขึ้นซ้ำแล้วซ้ำเล่ากับหลาย ๆ บริษัทครับ เอ...แล้วเราต้องกลัว แล้วรีบซื้อ MFA เลยมั้ย..... ยังครับ เรื่องเล่ายังไม่จบครับ มาว่ากันต่อ......
องค์กรเราจะปลอดภัยจากโจร อย่าไปโฟกัสที่ระบบรักษาความปลอดภัยครับ โฟกัสที่โจร โจรทำงานอย่างไร ผมเล่าไปแล้ว เราต้องรู้ต่อไปอีกว่า โจรเลือกเหยื่ออย่างไร แล้วเดี๋ยวคุณจะรู้เองว่า MFA นั้นจำเป็นหรือเปล่า
1. โจรเลือกเหยื่อที่ง่าย
2. ลงมือแล้วได้เยอะ ๆ
3. ถ้าลงมือปล้นแล้วเหยื่อไม่ไหวตัว ไม่รู้ตัว ให้ปล้นซ้ำอีก ซ้ำอีก และ ซ้ำอีก
ถ้าโจรเกิดขโมย account เพื่อเข้าระบบของเราได้แล้ว จะปล้นได้เยอะหรือไม่ อยู่ที่ว่า account นั้นใช้เข้าสู่ระบบอะไรได้บ้าง เปิดแค่ Mailbox หรือเป็น Domain account ใช้ดูไฟล์บนเซิร์ฟเวอร์ ใช้ Login เข้าซอฟต์แวร์หลักขององค์กรได้หรือเปล่า หรือเป็นถึงกับ account ของ System admin ที่ใช้ล้วงข้อมูลได้ทั้งองค์กร โจรจะปล้นไปได้เยอะหรือน้อย อยู่ที่ว่าเราสูญเสีย account ของคนระดับไหนไป
และโจรไม่แหวกหญ้าให้งูตื่นแน่นอนครับ ขโมยแบบเงียบ ๆ ไม่ให้รู้ตัว เอาข้อมูลไปขาย เดี๋ยวข้อมูลใหม่ไหลเข้ามา ก็กลับมาขโมยซ้ำอีก
หลายองค์กรที่ตกเป็นเหยื่อ เพราะเป็นเหยื่อที่ง่าย และลงมือแล้วได้เงินเยอะ บริษัทเหล่านี้โจรชอบมาก ไม่ต่างจากโจรย่องเบา ที่ชอบเข้าโจมตีบ้านที่อยู่ห่างไกลชุมชน แถมยังมีทรัพย์สินมีค่าในบ้านหลายอย่าง
ดังนั้น แทนที่จะมานั่งทางในหาคำตอบว่าควรซื้อ MFA หรือไม่ เราควรจะมามุ่งประเด็นว่า "เราคือเหยื่อที่ง่าย" ใช่หรือเปล่า MFA ทำให้เหยื่อง่าย ๆ อย่างเรา กลายเป็นเหยื่อที่เคี้ยวได้ยากขึ้น พอมันยาก โจรก็ไม่อยากยุ่งแล้วครับ เพราะมีเหยื่อง่าย ๆ อีกเยอะ มันเกี่ยวกันตรง ๆ กับ MFA ในเรื่องนี้
MFA ไม่ได้เอามาป้องกันโจร แต่หลักจิตวิทยาโจร MFA ทำให้เกิดความเซ็ง และเลิกคิดจะปล้นไปเองครับ
IT บางท่านอาจนึกน้อยใจเล็ก ๆ ว่า เคยลองเปิดใช้ Password complexity แล้วโดน User บ่นว่า ยุ่งยากและน่ารำคาญ หาว่า IT นี่เยอะ แล้วก็ปิด policy ไปในที่สุด นั่นแหละครับ คือจุดที่องค์กรนั้นควรมี MFA
ผมบอกเสมอ และเคยเขียนบทความไปแล้วด้วย เรื่อง "ระบบดีทำงานห่วย ระบบห่วยทำงานดี" ระบบที่ดีคือระบบที่คนเอาด้วย MFA ง่ายกว่า Password complexity policy และ MFA ได้รับการยอมรับจากผู้ใช้มากกว่า ถ้าแก้พฤติกรรมของ User ไม่ได้ ก็หันไปใช้ MFA เถอะครับ เพื่อที่เราจะไม่ใช่ "เหยื่อที่ถูกล่าได้ง่าย"