หนึ่งในส่วนเพิ่มเติมที่เล็กกว่าในการอัปเดต iOS 12 ที่กำลังจะมีขึ้นของ Apple คือสิ่งเล็กๆ น้อยๆ ที่เรียกว่าการป้อนรหัสความปลอดภัยอัตโนมัติ
โดยพื้นฐานแล้ว มันคือระบบที่ทำให้การป้อนรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยเมื่อเข้าสู่ระบบทำได้ง่ายขึ้นมาก
นักวิจัยด้านความปลอดภัยรายหนึ่งมองว่าการป้อนรหัสความปลอดภัยอัตโนมัติเป็นช่องโหว่ที่อาจใช้ประโยชน์ได้โดยผู้โจมตีที่ประสงค์ร้าย
นี่คือเหตุผลที่คุณต้องรู้
สารบัญ
- รหัสความปลอดภัยป้อนอัตโนมัติ iOS 12
-
ความเสี่ยงคืออะไร
- TAN คืออะไร?
- ความเสี่ยงด้วยการป้อนรหัสความปลอดภัยอัตโนมัติ
- Apple สามารถทำอะไรกับมันได้หรือไม่?
-
วิธีป้องกันตัวเอง
- กระทู้ที่เกี่ยวข้อง:
รหัสความปลอดภัยป้อนอัตโนมัติ iOS 12
การลงชื่อเข้าใช้บัญชีด้วยการตรวจสอบสิทธิ์แบบสองปัจจัยมักเกี่ยวข้องกับสองขั้นตอนที่แยกจากกัน นั่นคือชื่อ
คุณจะต้องป้อนชื่อผู้ใช้และรหัสผ่าน จากนั้นจะได้รับข้อความ SMS พร้อมรหัสแบบใช้ครั้งเดียว เมื่อคุณพิมพ์รหัสนั้นแล้ว คุณสามารถเข้าสู่ระบบได้ฟรี
แต่ iOS 12 จัดการกับสิ่งนี้แตกต่างกันเล็กน้อย มันสามารถตรวจจับได้โดยอัตโนมัติเมื่อคุณได้รับรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (หรือที่เรียกว่ารหัสผ่านแบบใช้ครั้งเดียวหรือ OTP)
ที่เกี่ยวข้อง:
- คุณลักษณะด้านความปลอดภัยของ iOS 12
- รหัสผ่านที่แข็งแกร่งคืออะไร? ทำไม iPhone ของฉันถึงเลือกรหัสผ่านสำหรับฉัน
- คุณสมบัติ 25 อันดับแรกของ iOS 12 ที่คุ้มค่ากับเวลาของคุณ
จากนั้นระบบจะบันทึกชื่อนั้นและให้ตัวเลือกแก่คุณในการป้อนชื่อนั้นด้วยการคลิกเพียงครั้งเดียว ใน iOS 12 จะปรากฏเป็นตัวเลือกเหนือแป้นพิมพ์โดยมีข้อความระบุว่า "จากข้อความ"
แน่นอนว่าวิธีนี้ช่วยประหยัดเวลาได้มากเพราะช่วยให้คุณไม่ต้องข้ามไปมาระหว่างแอปหรือท่องจำ OTP ได้ในพริบตา
แต่ความง่ายในการใช้งานก็เป็นสาเหตุที่ทำให้เกิดความเสี่ยงด้านความปลอดภัยได้ในบางสถานการณ์
ความเสี่ยงคืออะไร
โดยหลักแล้วความเสี่ยงอยู่ที่สถาบันการเงิน แม้ว่าจะมีกรณีอื่นๆ ที่การป้อนรหัสความปลอดภัยอัตโนมัติอาจมีความเสี่ยง แต่นี่เป็นสถานการณ์ที่น่ากังวลที่สุด
Andreas Gutmann นักวิจัยด้านความปลอดภัยที่ Cambridge Innovation Center ของ OneSpan บอกว่าปัญหาเร่งด่วนที่สุด เน้นสิ่งที่เรียกว่าหมายเลขการตรวจสอบการทำธุรกรรม (TAN)
TAN คืออะไร?
เช่นเดียวกับการตรวจสอบสิทธิ์สองปัจจัย TAN เป็นรหัสแบบใช้ครั้งเดียวที่ส่งไปยังโทรศัพท์ของคุณ แต่ TAN ไม่ได้มีไว้สำหรับการเข้าสู่ระบบ แต่เป็นการเพิ่มการป้องกัน 2FA ให้กับธุรกรรมทางการเงิน
โดยทั่วไป เมื่อคุณโอนเงินหรือชำระเงิน ธนาคารจะส่ง TAN ไปยังโทรศัพท์ของคุณเป็นขั้นตอนการตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่าไม่มีการหลอกลวงเกิดขึ้น
คุณป้อน TAN นี้ลงในฟิลด์ที่เหมาะสม และธุรกรรมได้รับการอนุมัติจากฝั่งของคุณ หากคุณได้รับ TAN แต่คุณไม่ได้ทำธุรกรรมใดๆ เมื่อเร็ว ๆ นี้ คุณควรติดต่อธนาคารของคุณทันที
แม้ว่าจะยังไม่แพร่หลายในสหรัฐฯ แต่ธุรกรรมที่มีการป้องกันด้วย TAN นั้นพบได้ทั่วไปทั่วทั้งยุโรปและภูมิภาคอื่นๆ
ความเสี่ยงด้วยการป้อนรหัสความปลอดภัยอัตโนมัติ
เนื่องจากการป้อนรหัสความปลอดภัยอัตโนมัติจะดึงรหัสผ่านแบบใช้ครั้งเดียวจากข้อความโดยอัตโนมัติ จึงตัดบริบทที่เกี่ยวข้องทั้งหมดออกไป
สำหรับการธนาคาร บริบทนั้น เช่น จำนวนเงินหรือปลายทางการชำระเงิน มีความสำคัญต่อการรู้ว่าธุรกรรมนั้นถูกต้องหรือไม่
“ความจริงที่ว่าผู้ใช้ตรวจสอบข้อมูลสำคัญนี้เป็นสิ่งที่ให้ประโยชน์ด้านความปลอดภัยอย่างแม่นยำ” Gutmann เขียนไว้ในบล็อกโพสต์ “การลบสิ่งนั้นออกจากกระบวนการทำให้ไม่มีประสิทธิภาพ”
กล่าวอีกนัยหนึ่ง คุณลักษณะใหม่ที่ประหยัดเวลาของ Apple อาจทำให้ผู้ใช้เสี่ยงต่อการฉ้อโกงทางการเงินหรือการโจมตีโดยคนกลางมากขึ้น
ในทางทฤษฎี ผู้ใช้สามารถป้อน OTP ได้โดยอัตโนมัติเพื่ออนุมัติธุรกรรมทางการเงินที่เป็นการฉ้อโกง ผู้โจมตีอาจปลอมแปลงรหัสความปลอดภัยป้อนอัตโนมัติโดยใช้เว็บไซต์หรือแอปที่เป็นอันตราย
Apple สามารถทำอะไรกับมันได้หรือไม่?
สิ่งสำคัญที่ Apple สามารถทำได้คือใช้มาตรการบางประเภทในการป้อนรหัสความปลอดภัยอัตโนมัติซึ่งสามารถบอกความแตกต่างระหว่างคำขอ 2FA และ TAN
ยังไม่ชัดเจนว่าการป้อนรหัสความปลอดภัยอัตโนมัติสามารถแยกแยะระหว่าง 2FA และ TAN ได้หรือไม่ หากทำได้ ปัญหานี้จะกลายเป็นปัญหาน้อยลง
แน่นอน ถ้ามีคนมากพอแสดงความกังวลเกี่ยวกับการป้อนรหัสความปลอดภัยอัตโนมัติว่าเป็นช่องโหว่ Apple สามารถอัปเดตเพื่อบรรเทาปัญหาได้
วิธีป้องกันตัวเอง
ก่อนอื่นคุณควร ไม่ ปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยในบัญชีของคุณ
แม้ว่าการรับรองความถูกต้องด้วยสองปัจจัยทาง SMS เป็นระบบที่ค่อนข้างบกพร่องซึ่งมีแนวโน้มที่จะถูกสกัดกั้นหรือโจมตี แต่ก็ดีกว่าการใช้รหัสผ่านเพียงอย่างเดียว
หากคุณอยู่ในยุโรป สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือตรวจสอบซ้ำทุก OTP หรือ 2FA ที่คุณได้รับ ใช้เวลาเพียงไม่กี่วินาทีในการพลิกไปที่ข้อความและตรวจสอบข้อมูลตามบริบท
โดยเฉพาะอย่างยิ่งหากคุณไม่สามารถแยกความแตกต่างระหว่างรหัสผ่าน TAN และ 2FA ได้อย่างง่ายดายโดยไม่ตรวจสอบข้อความ SMS ต้นฉบับ
หากคุณไม่ได้อยู่ในประเทศที่ใช้ TAN การยืนยัน OTP ที่น่าสงสัยที่ส่งไปยังอุปกรณ์ของคุณยังคงเป็นเรื่องที่ฉลาด หากคุณไม่ได้ลงชื่อเข้าใช้งานและได้รับข้อความ OTP แสดงว่ามีบางอย่างผิดปกติ
นอกจากนี้ โปรดระวังระบบ TAN ที่จะนำไปใช้ในวงกว้างมากขึ้นในธนาคารของสหรัฐฯ เมื่อไม่นานมานี้ ยุโรปเป็นผู้นำในเรื่องความเป็นส่วนตัวและมาตรฐานความปลอดภัย มีแนวโน้มว่า TAN จะสามารถนำมาใช้โดยธนาคารและสถาบันการเงินในสหรัฐอเมริกาได้ในอนาคตอันใกล้
คุณควรใช้แนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยโดยทั่วไปเมื่อต้องจัดการกับข้อมูลทางการเงินหรือข้อมูลการเข้าสู่ระบบ แม้แต่รหัสผ่านที่ดีที่สุดและการรักษาความปลอดภัย 2FA ก็ไม่สามารถปกป้องคุณจากวิศวกรรมสังคมได้
ไมค์เป็นนักข่าวอิสระจากซานดิเอโก แคลิฟอร์เนีย
แม้ว่าเขาจะกล่าวถึง Apple และเทคโนโลยีเพื่อผู้บริโภคเป็นหลัก แต่เขามีประสบการณ์ในการเขียนเกี่ยวกับความปลอดภัยสาธารณะ รัฐบาลท้องถิ่น และการศึกษาด้านสิ่งพิมพ์ต่างๆ
เขาสวมหมวกสองสามใบในสาขาวารสารศาสตร์ รวมทั้งนักเขียน บรรณาธิการ และนักออกแบบข่าว