MFA

ทำไม MFA ยังสำคัญ แม้หลายคนจะเริ่มรำคาญกับมัน

MFA อาจเพิ่มขั้นตอนตอน login และบางครั้งทำให้ผู้ใช้รำคาญ แต่ยังเป็นชั้นป้องกันสำคัญเมื่อ password หลุด บทความนี้อธิบาย trade-off ระหว่างความปลอดภัยกับความสะดวก และวิธีเลือกใช้ MFA ให้เหมาะกับความเสี่ยงจริง

Nattapon Chatprechakul

2 min read
Share
ภาพประกอบโต๊ะทำงานที่มี laptop โทรศัพท์ security key และชั้นป้องกันบัญชีเพื่อสื่อถึงการใช้ MFA

ช่วงหลังผมเริ่มได้ยินคนบ่นเรื่อง MFA บ่อยขึ้นครับ บางคนบอกว่า login แต่ละครั้งต้องหยิบมือถือ เปิด app กดอนุมัติ หรือใส่ code จนรู้สึกว่าระบบปลอดภัยเกินจำเป็น บางคนทำงานหลายระบบในวันเดียว เจอ prompt ซ้ำ ๆ จนเริ่มกดแบบไม่คิด

ความรู้สึกนี้เข้าใจได้ เพราะ MFA เพิ่ม friction จริง แต่ประเด็นคือ friction บางอย่างมีเหตุผลของมัน โดยเฉพาะในยุคที่ password หลุดจาก data breach, ใช้ซ้ำหลายเว็บ, ถูกหลอกผ่าน phishing, หรือถูกเดาด้วย credential stuffing ได้ง่ายกว่าที่หลายคนคิด

MFA จึงไม่ใช่เครื่องมือวิเศษที่แก้ทุกปัญหา แต่ยังเป็นชั้นป้องกันพื้นฐานที่ช่วยให้ attacker ที่มีแค่ password ยังเข้า account ไม่ได้ทันที คำถามที่สำคัญกว่าไม่ใช่ “ควรมี MFA ไหม” แต่คือ “จะใช้ MFA แบบไหน ให้ปลอดภัยพอโดยไม่ทำให้คนเลิกใช้”

สาระตั้งต้นจากแหล่งอ้างอิง

ก่อนเขียนให้เป็นภาษาคนอ่าน ผมสรุปแก่นจากแหล่งอ้างอิงที่ใช้จริงไว้ก่อน:

  1. CISA อธิบายว่า MFA คือการใช้มากกว่า password เพื่อเข้าถึง app หรือ account และช่วยเพิ่มความปลอดภัยเมื่อ password อย่างเดียวไม่พอ
  2. CISA ยังระบุว่า MFA ทุกรูปแบบไม่ได้แข็งแรงเท่ากัน วิธีที่ทนต่อ phishing เช่น FIDO/WebAuthn หรือ security key ควรเป็นเป้าหมายระยะยาว แต่ MFA แบบใดก็ยังดีกว่าไม่มีเลย
  3. CISA fact sheet เรื่อง phishing-resistant MFA เตือนว่า SMS code, push notification และ OTP ยังถูกโจมตีได้ผ่าน phishing, push bombing, SIM swap หรือการหลอกให้ผู้ใช้ส่ง code
  4. NIST SP 800-63B อธิบายว่า OTP ไม่ถือเป็น phishing-resistant เพราะผู้ใช้ยังอาจถูกหลอกให้กรอก code บนเว็บปลอมได้ ส่วน cryptographic authenticator ที่ผูกกับ domain หรือ channel จะทน phishing ได้ดีกว่า
  5. Microsoft อธิบายว่า number matching เป็นการปรับปรุงความปลอดภัยของ push notification และปัจจุบันเปิดใช้กับ Authenticator push notification แล้ว เพื่อช่วยลดความเสี่ยงจากการกดอนุมัติแบบไม่ตรวจสอบ

ถ้าแปลงเป็นภาษาง่าย ๆ คือ MFA ยังสำคัญมาก แต่ต้องยอมรับตรง ๆ ว่า MFA มีหลายระดับ บางแบบช่วยลดความเสี่ยงได้พอสมควร บางแบบเหมาะเป็นทางผ่าน และบางแบบควรใช้กับ account สำคัญที่สุด

ทำไม password อย่างเดียวไม่พอแล้ว

ในทางปฏิบัติ คนส่วนใหญ่ไม่ได้มี password แค่หนึ่งหรือสองบัญชี เรามี email, cloud, social media, banking, e-commerce, work account, password manager, NAS, SaaS และ service เล็ก ๆ ที่สมัครไว้แล้วลืม

ปัญหาคือมนุษย์จำ password สุ่มยาว ๆ หลายสิบชุดไม่ได้ดีนัก สิ่งที่เกิดขึ้นบ่อยคือใช้ password ซ้ำ, เติมเลขท้าย, ใช้ pattern เดิม, หรือเก็บไว้ในที่ไม่ปลอดภัย พอเว็บหนึ่งหลุด attacker ก็เอา credential ชุดนั้นไปลองกับบริการอื่นต่อ

MFA เข้ามาช่วยตรงนี้ เพราะต่อให้ password หลุด attacker ยังต้องผ่านอีกปัจจัยหนึ่ง เช่น app ยืนยันตัวตน, security key, passkey, biometric บนอุปกรณ์ หรือ code จากอุปกรณ์ที่เราถืออยู่

นี่ไม่ได้แปลว่า MFA กันได้ทุกกรณี แต่ทำให้การโจมตีแพงขึ้น ยากขึ้น และมีโอกาสถูกหยุดมากขึ้น โดยเฉพาะกับบัญชีที่ถ้าหลุดแล้วกระทบเป็นลูกโซ่ เช่น email หลัก, password manager, cloud storage และบัญชีที่ใช้ทำงาน

ความรำคาญของ MFA เป็นปัญหาจริง

ถ้าออกแบบไม่ดี MFA จะกลายเป็นสิ่งที่ผู้ใช้ต่อต้านได้ง่าย เช่น:

  1. prompt บ่อยเกินไปทั้งที่เป็น device เดิมและสถานการณ์เดิม
  2. ใช้ SMS ทั้งที่สัญญาณมือถือไม่ดีหรือเดินทางต่างประเทศ
  3. บังคับวิธีเดียวกับทุกคนโดยไม่ดูบริบทงาน
  4. ไม่มี backup method ทำให้เครื่องหายแล้วเข้า account ไม่ได้
  5. ส่ง push notification แบบ approve/deny ง่ายเกินไปจนเกิดนิสัยกดรับ

จุดนี้สำคัญมาก เพราะ security control ที่ทำให้คนรำคาญเกินไปมักถูกหาทางเลี่ยง สุดท้ายความปลอดภัยไม่ได้ดีขึ้นจริง

แนวทางที่สมเหตุสมผลคืออย่าใส่ MFA แบบไร้บริบทไปทุกจังหวะ แต่ควรใช้ risk-based thinking เช่น บัญชีสำคัญต้องเข้มกว่า account ทั่วไป, login จาก device ใหม่ต้องตรวจมากกว่า device เดิม, การเปลี่ยนข้อมูล recovery ต้องเข้มกว่าแค่เปิดอ่านข้อมูลทั่วไป

MFA แต่ละแบบไม่ได้ปลอดภัยเท่ากัน

ถ้าเรียงแบบ practical โดยไม่ลงรายละเอียดลึกเกินไป ผมมองได้ประมาณนี้:

  1. SMS หรือ voice call: ดีกว่าไม่มี MFA แต่เสี่ยงกว่าแบบอื่น เพราะเกี่ยวกับเบอร์โทรศัพท์, SIM swap, สัญญาณโทรศัพท์ และ code ที่ถูกหลอกให้บอกได้
  2. Authenticator app แบบ OTP: ดีกว่า SMS ในหลายกรณี แต่ยัง phishable ได้ ถ้าผู้ใช้กรอก code บนเว็บปลอม
  3. Push notification: สะดวก แต่ถ้าเป็นแค่ approve/deny อาจโดน push fatigue หรือ MFA bombing ได้
  4. Push พร้อม number matching: ดีกว่า push แบบเดิม เพราะผู้ใช้ต้องตรวจว่าตัวเลขหรือ challenge ตรงกับ session ที่กำลัง login จริง
  5. Passkey, FIDO2 security key, Windows Hello for Business, certificate-based authentication: เหมาะกับ account สำคัญ เพราะออกแบบมาให้ทน phishing ดีกว่า โดยผูกการยืนยันกับ service ที่ถูกต้อง ไม่ใช่แค่กรอก code ตามที่เห็น

สำหรับคนทั่วไป ไม่จำเป็นต้องเปลี่ยนทุกบัญชีเป็น security key ในวันเดียว แต่ควรเข้าใจว่า “เปิด MFA แล้ว” ยังต้องถามต่อว่าเป็น MFA แบบไหน และเหมาะกับความเสี่ยงของบัญชีนั้นหรือไม่

ระวัง MFA fatigue: กดอนุมัติจนเป็นนิสัย

MFA fatigue หรือ push bombing คือสถานการณ์ที่ attacker มี password แล้วพยายาม login ซ้ำ ๆ เพื่อยิง notification ไปที่มือถือของเจ้าของบัญชีจนเจ้าของบัญชีเผลอกด approve เพื่อให้มันจบ ๆ ไป

นี่เป็นตัวอย่างชัดเจนว่า MFA ไม่ใช่แค่เรื่องเทคนิค แต่เป็นเรื่องพฤติกรรมด้วย ถ้าระบบถามบ่อยจนผู้ใช้ไม่อ่าน ผู้ใช้ก็อาจกลายเป็นจุดอ่อนโดยไม่ตั้งใจ

วิธีลดความเสี่ยงคือ:

  1. อย่ากด approve ถ้าเราไม่ได้เริ่ม login เอง
  2. ใช้ number matching แทน approve/deny ธรรมดาเมื่อระบบรองรับ
  3. เปิดแจ้งเตือน login แปลก ๆ กับ account สำคัญ
  4. ถ้าเจอ prompt แปลก ให้เปลี่ยน password และตรวจ session ที่ login ค้างไว้
  5. องค์กรควรปรับ policy ไม่ให้ prompt ถี่เกินจำเป็น และควรใช้ conditional access หรือ risk-based access ถ้ามี

ถ้าคุณเป็น admin จุดที่ควรดูไม่ใช่แค่ “เปิด MFA ครบหรือยัง” แต่รวมถึง “MFA ที่เปิดอยู่ทำให้ผู้ใช้กดแบบไม่คิดหรือไม่”

บัญชีไหนควรเปิด MFA ก่อน

ถ้ายังไม่ได้เปิด MFA ทุกที่ ผมแนะนำให้เริ่มจากบัญชีที่เป็นจุดกู้คืนหรือจุดรวมความเสียหายก่อน:

  1. Email หลัก เพราะใช้ reset password ของบริการอื่น
  2. Password manager เพราะเป็น vault ของ credential อื่น
  3. บัญชีการเงิน ธนาคาร e-wallet และ payment
  4. Cloud storage ที่มีเอกสารหรือรูปสำคัญ
  5. Apple ID, Google Account, Microsoft account หรือ account หลักของอุปกรณ์
  6. Social media ที่ผูกกับตัวตน งาน หรือธุรกิจ
  7. Admin account ของระบบงาน, NAS, homelab, hosting และ SaaS

สำหรับเรื่อง password manager อ่านต่อได้ที่ Password Manager สำหรับคนทั่วไป: ควรเริ่มอย่างไรให้ไม่ยุ่งยากเกินไป เพราะ MFA กับ password manager ควรใช้คู่กัน ไม่ใช่เลือกอย่างใดอย่างหนึ่ง

วิธีตั้ง MFA ให้คนใช้งานจริงไม่เลิกกลางทาง

จากประสบการณ์ ผมคิดว่า MFA ที่ดีควรมี 5 เรื่อง:

  1. ตั้งค่าให้เข้าใจง่าย ไม่ใช้ศัพท์เทคนิคเกินจำเป็น
  2. มี backup method หรือ recovery code ที่เก็บอย่างปลอดภัย
  3. ลด prompt ที่ไม่จำเป็น แต่เพิ่มความเข้มเมื่อความเสี่ยงสูง
  4. อธิบายให้ผู้ใช้รู้ว่าเมื่อไรไม่ควรกด approve
  5. มีทางเลือกที่เหมาะกับคนหลายกลุ่ม เช่น mobile app, passkey, security key หรือ device-bound method

สำหรับทีมเล็กหรือองค์กรขนาดกลาง อย่าเริ่มด้วย policy ที่ซับซ้อนเกินไปจน support ไม่ไหว เริ่มจาก account สำคัญก่อน เช่น admin, finance, email, cloud และระบบที่เข้าถึงข้อมูลลูกค้า จากนั้นค่อยขยายไปส่วนอื่น

ถ้าอยากวางพื้นฐานพฤติกรรมด้านความปลอดภัยควบคู่กัน อ่าน Getting Started with Cyber Hygiene: เริ่มต้นดูแลความปลอดภัยไซเบอร์จากตัวเราเอง ได้ เพราะ MFA จะได้ผลดีขึ้นเมื่อผู้ใช้เข้าใจ phishing, password reuse และ account recovery ไปพร้อมกัน

เป้าหมายระยะยาวคือ phishing-resistant MFA

คำว่า phishing-resistant MFA ฟังดูเป็นศัพท์องค์กร แต่แนวคิดไม่ซับซ้อนครับ มันคือวิธียืนยันตัวตนที่ไม่ยอมให้ code หรือ credential ถูกเอาไปใช้กับเว็บปลอมได้ง่าย ๆ

ตัวอย่างคือ passkey หรือ FIDO2 security key ที่ผูกกับ domain ของ service จริง ถ้าผู้ใช้ถูกหลอกไปเว็บปลอม ตัว authenticator จะไม่สร้างการยืนยันที่ใช้ login กับเว็บจริงได้ง่ายเหมือนการกรอก OTP

สำหรับคนทั่วไป เป้าหมายอาจเป็น:

  1. เปิด passkey ใน account ที่รองรับ เช่น email หรือ account หลักของ device
  2. ใช้ authenticator app แทน SMS เมื่อทำได้
  3. ใช้ security key กับ account สำคัญมาก เช่น password manager, email หลัก หรือ admin account
  4. เก็บ recovery code แยกจาก device ที่ใช้ login

สำหรับองค์กร เป้าหมายคือค่อย ๆ ลด reliance ต่อ SMS, OTP ที่ phishable, และ push แบบ approve/deny เฉย ๆ โดยเริ่มจาก privileged account และระบบสำคัญก่อน หลักคิดนี้เชื่อมกับแนวทาง Zero Trust เพราะ identity เป็นด่านแรกที่ต้องตรวจอย่างต่อเนื่อง ไม่ใช่เชื่อใจเพียงเพราะเคย login สำเร็จแล้ว

สรุป

MFA ยังสำคัญมาก แม้จะน่ารำคาญในบางจังหวะ เพราะ password อย่างเดียวไม่พอสำหรับโลกที่ credential หลุดและ phishing เกิดขึ้นเป็นเรื่องปกติ

แต่การเปิด MFA แบบไม่คิดเรื่องประสบการณ์ผู้ใช้ก็ไม่ใช่คําตอบที่ดี วิธีที่ practical คือเปิด MFA กับบัญชีสำคัญก่อน เลือกวิธีที่เหมาะกับความเสี่ยง ลด prompt ที่ไม่จำเป็น ใช้ number matching เมื่อยังใช้ push notification และขยับบัญชีสำคัญไปสู่ passkey หรือ security key เมื่อพร้อม

สุดท้าย MFA ที่ดีไม่ควรทำให้คนรู้สึกว่าความปลอดภัยคือภาระล้วน ๆ แต่มันควรเป็นชั้นป้องกันที่ออกแบบดีพอให้คนใช้งานต่อเนื่องได้จริง

อ่านต่อที่เกี่ยวข้อง

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe