Clear
Lead Graphic Papers

เปิดใช้ 2-Step Verification ใน google แล้วมีปัญหาใช้แอพบนมือถือ ทำไงดี !!

ผู้เขียน: ณัฐโชติ ดุสิตานนท์
วันที่เผยแพร่: 6 มิถุนายน 2556
ปรับปรุงล่าสุด: 6 มิถุนายน 2556

Share on Facebook Share on Twitter Share on Google+

สืบเนื่องจากบทความเรื่อง 2-Step verification ที่ทางไทยเซิร์ตได้มีการเผยแพร่ในเว็บไซต์ ผู้อ่านอาจจะสงสัยว่าแอปพลิเคชันบางตัวที่ไม่รองรับ 2-Step verification เช่น Gmail บนโทรศัพท์มือถือ หรือ Outlook บน Windows จะสามารถเข้าถึงเข้าข้อมูลในบัญชีกูเกิลได้อย่างไรในเมื่อแอปพลิเคชันเหล่านี้ไม่ได้สนับสนุนการยืนยันตัวบุคคลในลักษณะนี้ ผู้เขียนจึงขอแนะนำวิธีการที่จะทำให้แอปพลิเคชันเหล่านี้สามารถทำงานร่วมกับบัญชีผู้ใช้งานที่เปิดการใช้งาน 2-Step verification ไว้ได้ โดยเจ้าของบัญชีสามารถสร้างรหัสผ่านพิเศษที่เรียกว่า Application-specific password เพื่อใช้สำหรับแอปพลิเคชันเหล่านี้โดยเฉพาะ ทำให้สามารถเข้าถึงเข้าข้อมูลในบัญชีกูเกิลได้เป็นรายกรณี [1][2]

วิธีการสร้าง Application-specific password

1.ผู้ใช้ต้องเปิดใช้ 2-Step verification โดยวิธีเปิดใช้สามารถศึกษาได้ที่บทความที่อ้างถึงข้างต้น
2.เข้า https://www.google.com/settings/security และคลิกที่ Settings ตามรูปที่ 1

Pa2013ge005-1.png
รูปที่ 1 คลิกที่ Settings

3.คลิกที่ Manage application-specific passwords ตามรูปที่ 2

Pa2013ge005-2.png
รูปที่ 2 คลิกที่ Manage application-specific passwords

4.หลังจากคลิก ผู้ใช้จะถูกพาไปยังหน้า log in เมื่อ log in เพื่อยืนยันตัวตนเสร็จเรียบร้อย ผู้ใช้จะถูกพามายังหน้าสำหรับสร้าง Application-specific password ตามรูปที่ 3 ให้ผู้ใช้ใส่ชื่อเพื่อให้จำได้ว่ารหัสผ่านที่จะสร้างนั้นใช้กับแอพพลิเคชันอะไร เช่น “My Gmail on Android” จากนั้นให้คลิก Generate password เพื่อสร้างรหัสผ่าน

Pa2013ge005-3.png
รูปที่ 3 ใส่ชื่อเพื่อช่วยจำรหัสผ่านและคลิก Generate password

5.ผู้ใช้สามารถนำรหัสผ่านที่ถูกสร้างแบบสุ่ม ซึ่งตามรูปที่ 4 คือ “yanwjmyzqpqpwtdv” (ไม่มี space) ไปใช้กับแอปพลิเคชันที่ต้องการ โดยใส่ตรงหน้า log in ของเหมือนรหัสผ่านทั่วไป และเนื่องจากปกติแล้วแอปพลิเคชันในโทรศัพท์มือถือจะทำการจำรหัสผ่านไว้ ดังนั้นผู้ใช้ไม่จำเป็นต้องจำรหัสผ่านนี้เพื่อไว้ใช้งานอีก และเมื่อคลิกที่ปุ่ม Done แล้ว จะไม่มีทางเปิดดูรหัสผ่านนี้ได้อีก ซึ่งถือว่าเป็นมาตรการความปลอดภัยของ Google

Pa2013ge005-4.png
รูปที่ 4 แสดงรหัสผ่านที่ถูกสร้าง

ถึงแม้ว่ารหัสผ่านนี้ จะสามารถใช้งานได้มากกว่าหนึ่งแอปพลิเคชัน ผู้เขียนขอแนะนำว่าควรสร้างรหัสผ่านขึ้นมาแยกกัน เพราะในกรณีที่สงสัยว่ารหัสผ่านของแอปพลิเคชันใดที่อาจรั่วไหล หรือถูกใช้งานอย่างมิชอบ ผู้ใช้สามารถทำการเพิกถอนรหัสผ่านเป็นรายตัวได้โดยคลิกที่ Revoke ตามรูปที่ 4

และถึงแม้ว่า Application-specific password จะเพิ่มความสะดวกสบายให้กับผู้ใช้แต่ก็เป็นการเพิ่มช่องทางในการเจาะระบบสำหรับแฮกเกอร์เพราะผู้ที่ได้ Application-specific password มีสิทธิ์เข้าถึงข้อมูลทุกอย่าง ตามที่ระบุไว้ในรูปที่ 4 เทียบเท่ากับการเข้าสู่ระบบผ่าน 2-Step verification นอกจากนี้เมื่อวันที่ 21 กุมภาพันธ์ 2556 นักวิจัยค้นพบช่องโหว่ทำให้แฮกเกอร์ที่มี Applicaton-specific password สามารถทำ password recovery หรือ ปิดการใช้ 2-Step verification ได้ [3] ซึ่งปัจจุบันนี้ ช่องโหว่ได้ถูกปิดไปแล้ว

สรุป

การใช้ 2-Step verification ถือเป็นการเพิ่มความมั่นคงปลอดภัยให้กับบัญชีขึ้นอีกระดับ และการใช้ Application-specific password ก็ช่วยกำจัดปัญหาเรื่องแอปพลิชันที่ไม่รองรับ 2-Step verification ได้ อย่างไรก็ตามผู้ใช้ไม่ควรใช้งาน Application-specific password นอกเหนือจากการใช้กับแอปพลิเคชันที่จำเป็นต้องใช้งานเท่านั้น และควรจะเป็นแอปพลิเคชันที่มาจากแหล่งน่าเชื่อถือเช่น เป็นแอปพลิเคชัน์ที่ดาวน์โหลดมาจาก Official site หรือเป็นแอปพลิเคชันบนมือถือที่ดาวน์โหลดจาก Google play หรือ App Store เพราะอย่าลืมว่า Application-specific password นั้น หากเกิดการรั่วไหล ผู้ไม่ประสงค์ดีสามารถเข้าถึงบัญชีผู้ใช้งานของเราได้โดยไม่ต้องผ่าน 2-Step verification ได้ ถึงแม้ว่าจะมีข้อจำกัดบางประการก็ตาม

อ้างอิง

  1. http://support.google.com/a/bin/answer.py?hl=en&answer=1032419
  2. http://support.google.com/accounts/bin/answer.py?hl=en&answer=185833
  3. http://www.computerworld.com/s/article/9237148/Application_specific_passwords_weaken_Google_s_two_factor_authentication_researchers_say
  4. https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/
Clear