MFA คืออะไร?
Multi-Factor Authentication (MFA) หรือการยืนยันตัวตนหลายขั้นตอน คือระบบความปลอดภัยที่กำหนดให้ผู้ใช้ต้องพิสูจน์ตัวตนด้วยหลักฐานมากกว่าหนึ่งอย่าง ก่อนที่จะเข้าถึงบัญชีหรือระบบได้ ต่างจากการล็อกอินแบบปกติที่ใช้แค่รหัสผ่านเพียงอย่างเดียว
3 ปัจจัยหลักของ MFA
MFA อ้างอิงจาก 3 หมวดหมู่หลัก:
- สิ่งที่คุณรู้ (Something You Know) — รหัสผ่าน, PIN, คำตอบคำถามความปลอดภัย
- สิ่งที่คุณมี (Something You Have) — โทรศัพท์มือถือ, OTP Token, Authenticator App, Security Key
- สิ่งที่คุณเป็น (Something You Are) — ลายนิ้วมือ, สแกนใบหน้า, ม่านตา (Biometrics)
การใช้ MFA หมายความว่าแม้แฮกเกอร์จะรู้รหัสผ่านของคุณ แต่ยังต้องการหลักฐานอีกอย่างหนึ่งจึงจะเข้าได้
ประเภทของ MFA ที่พบบ่อย
1. SMS OTP
รับรหัส 6 หลักทาง SMS มือถือ ใช้ง่ายที่สุด แต่มีความเสี่ยงจาก SIM Swapping และการดักข้อความ ถือว่าเป็นวิธีที่ปลอดภัยน้อยที่สุดในบรรดา MFA ทั้งหมด
2. Authenticator App (แนะนำ)
แอปสร้างรหัส OTP บนโทรศัพท์ โดยไม่ต้องพึ่งเครือข่าย เช่น:
- Google Authenticator
- Microsoft Authenticator
- Authy (รองรับ Backup บนคลาวด์)
รหัสจะเปลี่ยนทุก 30 วินาที ทำให้แฮกเกอร์ไม่สามารถใช้รหัสเก่าได้
3. Hardware Security Key
อุปกรณ์ USB หรือ NFC เช่น YubiKey หรือ Google Titan Key ที่ต้องเสียบหรือแตะเพื่อยืนยันตัวตน ป้องกัน Phishing ได้ดีที่สุด เหมาะสำหรับผู้ที่ต้องการความปลอดภัยสูงสุด
4. Email OTP
ส่งรหัสผ่านทาง Email แต่มีความเสี่ยงหากบัญชี Email ถูกเจาะอยู่แล้ว ควรใช้เป็นตัวเลือกสำรองเท่านั้น
MFA vs 2FA ต่างกันอย่างไร?
2FA (Two-Factor Authentication) คือ MFA ที่ใช้ 2 ปัจจัยพอดี ส่วน MFA อาจใช้ 3 ปัจจัยหรือมากกว่า ในทางปฏิบัติ คำทั้งสองมักใช้แทนกันได้ เพราะส่วนใหญ่ระบบมักใช้ 2 ปัจจัย
วิธีเปิด MFA บนบริการยอดนิยม
| บริการ | วิธีเปิด MFA |
|---|---|
| Google / Gmail | myaccount.google.com → Security → 2-Step Verification |
| Settings → Security and Login → Two-Factor Authentication | |
| LINE | Settings → Account → Passcode Lock + Login Verification |
| Microsoft | account.microsoft.com → Security → Advanced security options |
| GitHub | Settings → Password and authentication → 2FA |
สิ่งที่ควรทำเมื่อเปิด MFA
- ✅ บันทึก Recovery Codes ไว้ในที่ปลอดภัย เผื่อกรณีโทรศัพท์หาย
- ✅ ใช้ Authenticator App แทน SMS เมื่อทำได้
- ✅ เปิด MFA ในทุกบัญชีสำคัญ โดยเฉพาะ Email, ธนาคาร, และโซเชียลมีเดีย
- ✅ หากใช้ Authy ให้เปิด Backups เผื่อกรณีเปลี่ยนโทรศัพท์
MFA ป้องกันอะไรได้บ้าง?
- 🛡️ Credential Stuffing — การใช้รหัสผ่านที่รั่วไหลจาก Data Breach มาลองล็อกอิน
- 🛡️ Brute Force Attack — การสุ่มรหัสผ่านอัตโนมัติ
- 🛡️ Password Spraying — ลองรหัสผ่านทั่วไปกับบัญชีจำนวนมาก
- ⚠️ Real-time Phishing — MFA ช่วยได้บางส่วน แต่ไม่ทั้งหมด การใช้ Hardware Key ป้องกันได้ดีกว่า
MFA เป็นหนึ่งในมาตรการที่คุ้มค่าที่สุดในการปกป้องบัญชีออนไลน์ เพียงแค่ใช้เวลาตั้งค่าครั้งเดียว แต่ช่วยป้องกันการโจมตีได้ถึง 99% ตามรายงานของ Microsoft
