1574 คำ
8 นาที
CyberSecurity Foundation EP.11 — Authentication: 3 Factors + AAA — ยามถาม 'คุณคือใคร'
2026-05-11
เรื่องราวธุรกิจ
IT GENIUS
IT
/
security
/
cybersecurity-foundation
สารบัญ
AAA — 3 คำที่คนสับสนตลอด Scenario ที่ทำให้เห็นความต่างของ AuthN กับ AuthZ ในชีวิตจริง 3 ประเภทของหลักฐาน — ที่ยามทั่วโลกใช้ตรงกัน Know — รหัสลับที่ยามขอให้พูดเบาๆ Have — กุญแจในกระเป๋าที่โจรลอกไม่ได้ถ้าไม่จับของจริง Are — ของที่ติดมากับตัวคุณตั้งแต่เกิด MFA — กฎที่คนเข้าใจผิดบ่อย MFA ไม่ใช่ของใหม่ — ATM ใช้มาตั้งแต่ 1967 Adaptive Authentication — ยามที่ฉลาดขึ้น ทำไม MFA ก็ไม่ใช่ silver bullet สรุปแบบเก็บใส่หัว

Series: CyberSecurity Foundation — รากฐาน Security สำหรับยุค AI (ภาษาคน)

Part 0 — WHY: เมืองนี้ทำไมต้องมียาม

  1. EP.01 — Cybersecurity คือเรื่องของคุณ
  2. EP.02 — 4 เคสที่เปลี่ยนวงการ
  3. EP.03 — CIA Triad
  4. EP.04 — Defense in Depth + Diversity
  5. EP.05 — Assume Breach + Risk

Part 1 — HOW: ระบบนิเวศของเมือง 6. EP.06 — ระบบนิเวศของโจร 7. EP.07 — ระบบนิเวศของผู้ป้องกัน 8. EP.08 — Framework: ISO/NIST/COBIT/CIS 9. EP.09 — Compliance Theater

Part 2 — Identity: บัตรประชาชน + กุญแจห้อง 10. EP.10 — IAM Lifecycle: เข้า / ย้าย / ออก 11. EP.11 — Authentication: 3 Factors + AAA ← คุณอยู่ตรงนี้ 12. EP.12 — Password 101 (เร็วๆ นี้) 13. EP.13 — MFA + Biometric (เร็วๆ นี้) 14. EP.14 — Kerberos (เร็วๆ นี้) 15. EP.15 — Federation / SSO (เร็วๆ นี้) 16. EP.16 — Authorization (เร็วๆ นี้) 17. EP.17 — PAM + Zero Trust (เร็วๆ นี้)

Part 3-6 (Data / Infrastructure / Operations / Governance) — กำลังเขียนต่อ

ครับ — EP.10 ผมพาคุณดู lifecycle ของบัตรประจำตัวพนักงานครบทั้ง 3 ขั้น — เข้า / ย้าย / ออก. แต่ผมตั้งใจทิ้งคำถามค้างไว้ในย่อหน้าสุดท้ายของ EP — ตอนพนักงานคนนี้ login จริงๆ ตอนเช้าวันจันทร์ ระบบรู้ยังไงว่าคนที่กำลังพิมพ์ password อยู่ในเครื่อง = คนคนเดียวกับที่ HR เพิ่ง onboard ไปเมื่อสัปดาห์ที่แล้ว?

คำตอบของวงการ — มีคำสั้นๆ คำเดียว — Authentication. แปลตรงตัวคือ “การพิสูจน์ตัวตน”. แต่เพื่อให้คุณติดภาพในหัวจริงๆ ผมขอเปลี่ยน metaphor จาก “บัตรประจำตัว” ของ EP.10 ไปเป็นภาพที่จับต้องได้กว่า — ยามหน้าคอนโด. ยามที่ยืนอยู่หน้าตึก ถามคำถามเดียวกันกับทุกคนที่เดินเข้ามา — “พี่เป็นใครครับ”. ฟังดูง่าย. แต่ยามที่ดี — รู้ว่าคำตอบจากปากเปล่าไม่พอ. ต้องมีหลักฐาน. และวงการ security ค้นพบมาแล้วว่า — หลักฐานที่พิสูจน์ตัวตนคน — มีอยู่แค่ 3 ประเภท ในโลกใบนี้

AAA — 3 คำที่คนสับสนตลอด#

ก่อนเจาะเข้า 3 ประเภทหลักฐาน ผมต้องวางคำใหญ่ก่อน 1 คำ — เพราะถ้าคำนี้สับสน ทุก EP ที่เหลือใน Part 2 จะกลายเป็นตัวย่อเยอะจนงงหมด

ในตำรา security ทุกเล่ม จะเปิดเรื่อง identity ด้วย framework ชื่อ AAA (อ่านว่า “ทริปเปิ้ลเอ”). ย่อมาจาก 3 คำที่ขึ้นต้นด้วย Auth- เหมือนกัน — Authentication / Authorization / Accountability — และเป็น 3 คำที่แม้แต่คนทำสาย IT มาหลายปียังเขียนสลับกันบ่อยมาก. ผมก็เคย. ทุกคนเคย

3 คำนี้ — ถ้าให้ผมอธิบายด้วยภาพคอนโดเดิม — แบ่งหน้าที่กันชัดดังนี้:

  • Authentication = ยามหน้าตึกที่ถาม “คุณเป็นใคร” — งานเดียวคือพิสูจน์ตัวตน. ผ่านหรือไม่ผ่าน
  • Authorization = รปภ. ห้องควบคุมที่กดเปิดประตู — รู้แล้วว่าคุณคือใคร แต่คุณมีสิทธิ์ขึ้นไปชั้น 30 ของเจ้าของห้องไหม
  • Accountability = กล้องวงจรปิด + สมุดเซ็นชื่อ — บันทึกไว้ว่าคืนนี้คุณเข้ามากี่โมง เดินไปไหนบ้าง ออกตอนไหน

3 หน้าที่นี้ดูเหมือนเรื่องเดียวกัน — แต่ รวมในคนเดียวไม่ได้. ลองคิดดู — ถ้ายามคนเดียวกันที่ตรวจบัตรคุณ ก็เป็นคนกดเปิดประตูห้องเอง ก็เป็นคนถือสมุดเซ็นชื่อเอง — ปัญหามาทันที 2 ข้อ. ข้อแรก ถ้าโจรหลอกยามคนนี้ได้ = ยึดได้ทุกชั้นในตึก. ข้อสอง — ยามคนนี้กลายเป็นทั้งผู้ตรวจสอบและผู้ถูกตรวจสอบในเวลาเดียวกัน — อยากแอบทำผิด เขาแก้สมุดเซ็นชื่อของตัวเองได้

นี่คือสาเหตุที่วงการแยก 3 หน้าที่ออกจากกันชัดเจน. ใน EP นี้ — เรา focus แค่ตัวแรก. ตัวที่สอง (Authorization) ผมจะ dedicate ให้ทั้ง EP ที่ EP.16 เพราะลึกมาก. ตัวที่สาม (Accountability) จะกลับมาตอน Part 5 เรื่อง audit log + SIEM

Scenario ที่ทำให้เห็นความต่างของ AuthN กับ AuthZ ในชีวิตจริง#

ผมเล่าเคสที่ทุกคนน่าจะเคยเห็นในชีวิต — ลูก 8 ขวบ login Facebook ของแม่

ขั้นแรก — ลูกเดินไปดู iPad ของแม่ตอนแม่ไม่อยู่. รู้ว่าแม่ใส่ password อะไร (เพราะแม่ใช้รหัส 4 หลักจดบนกระดาษติดข้างเตียง). ลูกกรอก password ของแม่ → ระบบเปิดให้เข้า. ขั้นนี้ผ่าน Authentication เพราะคนที่กรอกรหัสได้ — ระบบเชื่อว่าเป็นแม่. ระบบไม่มีทางรู้ว่าคนที่อยู่หน้าจอจริงๆ คือเด็ก 8 ขวบ

ขั้นที่สอง — ลูกอยากเข้าหน้า “Settings → Delete Account”. ตรงนี้แม้จะ login ในฐานะ “แม่” — Facebook ก็จะถามอีกชั้นว่า “คุณแน่ใจไหม? ใส่รหัสอีกครั้ง + ยืนยันผ่าน email”. ขั้นนี้คือ Authorization — Facebook ถาม “คุณมีสิทธิ์ทำอะไรที่ severe ระดับนี้ไหม”. ใส่รหัสซ้ำ → ลูกใส่ได้ (รหัสเดิม) — แต่ขั้น verify email — ต้องไปเปิด Gmail ของแม่ที่มี 2FA = ลูกไม่ผ่าน

เห็นภาพไหมครับ — Authentication ผ่าน (ระบบเชื่อว่าคนนี้คือแม่). Authorization ไม่ผ่าน (เพราะการทำเรื่อง severe ต้องการหลักฐานเพิ่ม). ถ้าระบบรวม 2 ตัวนี้เข้าด้วยกัน — login ผ่านครั้งเดียวจบ ทำได้ทุกอย่าง — เด็ก 8 ขวบลบ account ของแม่ในคลิกเดียว

นี่คือเหตุผลที่ AAA ต้องแยก. และนี่คือเหตุผลที่ EP นี้ — เรา focus แค่ “ยามหน้าคอนโด” — Authentication. ตัว AuthZ + Accountability ค้างไว้ EP หลัง

3 ประเภทของหลักฐาน — ที่ยามทั่วโลกใช้ตรงกัน#

กลับมาที่ภาพยามหน้าคอนโดครับ. ยามไม่รู้จักคุณเป็นการส่วนตัว — คอนโดมีลูกบ้าน 500 คน + แขก + ช่าง + พนักงานส่งของ — ยามจำหน้าทุกคนไม่ได้. ยามต้องการ “หลักฐาน”. และวงการ security ค้นพบว่า — หลักฐานที่พิสูจน์ตัวตนคน — มีอยู่แค่ 3 ประเภท. ไม่ใช่ 4. ไม่ใช่ 5. 3 — และทุกสิ่งที่คุณเคยใช้ login (ตั้งแต่ password จนถึง iris scan) ก็จัดอยู่ใน 3 ประเภทนี้ทั้งหมด

3 ประเภทคือ — Something you Know (สิ่งที่คุณรู้ในหัว), Something you Have (สิ่งที่คุณถือในมือ), Something you Are (สิ่งที่ติดอยู่กับตัวคุณ). มาดูทีละตัวครับ — แต่ผมจะไม่เล่าด้วย bullet ขนานกัน. แต่ละตัวมีนิสัยของมันเอง — ผมเล่าทีละเรื่อง

Know — รหัสลับที่ยามขอให้พูดเบาๆ#

ลองนึก scenario นี้ — คุณเดินเข้าคอนโดตอนกลางคืน ยามไม่จำหน้าคุณ. ยามชะโงกหน้าถาม “รหัสห้องอะไรครับ?”. คุณกระซิบ “1408”. ยามพยักหน้า เปิดประตูให้ — เพราะคนที่รู้รหัสห้องนี้ น่าจะเป็นลูกบ้านห้องนั้น

นี่คือหลักฐานประเภทแรก — Something you Know. ความรู้บางอย่างในหัวที่คนอื่นไม่รู้ — password, PIN, คำถามลับ (“ชื่อสัตว์เลี้ยงตัวแรกของคุณ?”), passphrase. รหัสในหัวเป็นหลักฐานที่มนุษย์ใช้มาเป็นพันปี — ตั้งแต่รหัสลับของชุมชนคริสเตียนยุคต้น จนถึง password ของ Gmail ของคุณวันนี้

ปัญหาของรหัสในหัว — มันคือข้อมูลที่ “ส่งต่อกันได้”. ถ้าโจรอยากขโมยลายนิ้วมือของคุณ — เขาต้องเจอตัวคุณ + ทำอะไรกับตัวคุณจริงๆ. ถ้าโจรอยาก hack hardware key ของคุณ — เขาต้องล้วงกระเป๋าคุณตอนคุณไม่ระวัง. แต่ถ้าโจรอยากขโมย password ของคุณ — เขาแค่ส่ง email หลอกให้คุณกรอกในเว็บปลอม. คุณนั่งกินกาแฟอยู่ที่กรุงเทพฯ — โจรนั่งอยู่ที่ Lagos — ในไม่กี่วินาที password ของคุณก็อยู่ในมือเขา. ไม่ต้องเจอหน้ากันเลย

นี่คือเหตุที่ Verizon Data Breach Investigations Report ทุกปี — รายงานตรงกันว่า กว่าครึ่งของ data breach ในโลกเกี่ยวข้องกับ password ที่ถูกขโมยหรืออ่อนแอ. ไม่ใช่ encryption ที่ถูกเจาะ ไม่ใช่ zero-day ที่ราคาเป็นล้านดอลลาร์. แค่ password — หลักฐานที่ขโมยง่ายที่สุดของวงการ. EP.12 ทั้ง EP ผมจะ dedicate ให้กับเรื่อง password เพราะมันลึก + กับดักเยอะกว่าที่คนทั่วไปคิด

Have — กุญแจในกระเป๋าที่โจรลอกไม่ได้ถ้าไม่จับของจริง#

ทีนี้ลอง scenario คนละแบบ — คุณกลับมาตอนกลางคืนเหมือนเดิม. แต่คอนโดนี้ยกระดับแล้ว — ไม่มียามถามรหัส. แทนที่ — มีเครื่อง scan ที่ประตู. คุณ tap บัตร RFID ของคุณ → ประตูเปิด. ใครไม่ได้บัตรนี้ — เข้าไม่ได้

นี่คือหลักฐานประเภทที่สอง — Something you Have. ของจริงที่อยู่ในมือคุณตอนนั้น — และโจรต้องขโมยของจริงถึงจะใช้ได้. ในวงการ security — หลักฐานประเภทนี้มีหลายรูปแบบ — Hardware token (กล่องพลาสติกแสดงตัวเลขเปลี่ยนทุก 30 วินาที — เช่น YubiKey, RSA SecurID), Authenticator app (Google Authenticator, Microsoft Authenticator), SMS OTP (รหัสที่ส่งมาทาง SMS), Smart card (บัตรชิปที่ใช้กับ reader), Push notification (มือถือเด้งแจ้งเตือนถาม “นี่คุณกำลัง login ใช่ไหม”)

จุดเด่นของหลักฐานประเภทนี้ — โจรต้องเข้าใกล้คุณ. โจรที่ห่างคุณเป็นพันกิโลเลียนแบบไม่ได้ — เพราะของอยู่ในกระเป๋าคุณ. และตัวเลข 6 หลักของ Authenticator app — อายุแค่ 30 วินาที. โจรขโมยมาช้ากว่า 30 วินาที = ใช้ไม่ได้

แต่ — ของในมือก็มีจุดอ่อนของมันเอง. ลืมที่บ้านได้ (ผมเคยเจอเพื่อนลืม YubiKey ไว้ที่บ้าน เข้าระบบบริษัทไม่ได้ทั้งวัน). พังได้ (มือถือจอแตก = Authenticator app ที่ลงไว้หายไปกับมัน). และที่สำคัญที่สุด — กรณี SMS OTP มี attack ชื่อ SIM swap ที่กำลังระบาดในไทยตอนนี้ — โจรหลอก call center ของค่ายมือถือให้ย้ายเบอร์ของคุณไปอยู่ใน SIM ใหม่ของโจร → SMS ทั้งหมดเข้าโจรแทน. ปี 2017 NIST ของอเมริกาประกาศไม่แนะนำ SMS OTP เป็น factor หลักด้วยเหตุนี้ — แต่ธนาคารไทยส่วนใหญ่ปี 2026 ยังใช้กันสบายๆ

Are — ของที่ติดมากับตัวคุณตั้งแต่เกิด#

scenario สุดท้าย — คอนโดยุคใหม่. ไม่มียาม ไม่มีบัตร RFID. คุณเดินเข้าไปหน้าประตู — เครื่องสแกนใบหน้าจดจำได้ในเสี้ยววินาที — ประตูเปิด. คุณไม่ต้องพกอะไรเลย — แค่หน้าของคุณ

นี่คือหลักฐานประเภทที่สาม — Something you Are. ลายนิ้วมือ (Touch ID), ใบหน้า (Face ID), ม่านตา (iris scan), เสียง (voice authentication), เส้นเลือดในฝ่ามือ (palm vein — บางธนาคารใช้), แม้กระทั่ง รูปแบบการพิมพ์ของคุณ (behavioral biometrics). วงการเรียกหลักฐานประเภทนี้รวมๆ ว่า Biometric

ฟังดูเป็นคำตอบที่สมบูรณ์ใช่ไหมครับ — ติดตัวคุณตลอด ไม่ลืมบ้าน ไม่ทำหาย ขโมยยาก. แต่ — และนี่คือกับดักที่คนส่วนใหญ่ไม่ตระหนัก — ถ้า biometric ของคุณถูกขโมย คุณเปลี่ยนนิ้วของคุณไม่ได้ตลอดชีวิต

ในปี 2015 — OPM (Office of Personnel Management) ของรัฐบาลอเมริกาโดน hack. ข้อมูลที่หลุดออกไป — รวมถึง ลายนิ้วมือของพนักงาน federal 5.6 ล้านคน. คนเหล่านั้น — ไม่มีทางเปลี่ยนลายนิ้วมือของตัวเองได้ตลอดชีวิต. ลายนิ้วมือพวกเขาอยู่ในมือคนที่ไม่ทราบจำนวนตลอดไป. ทุกระบบที่ใช้ biometric ของพนักงานเหล่านี้ — เสี่ยงตลอดไป. ถ้า password leak — เปลี่ยนใหม่ได้ในนาที. ถ้านิ้วมือ leak — จบ. คือ trade-off ใหญ่ของ biometric — convenience สูงสุด แต่ recovery เป็นศูนย์ถ้าถูก hack

และที่ผมจะเล่าใน EP.13 — biometric ยังหลอกได้ด้วยเทคนิคต่างๆ ตั้งแต่ silicone fingerprint mold ที่ Chaos Computer Club ใช้ hack iPhone Touch ID ภายใน 24 ชั่วโมงหลังเปิดตัว จนถึง deepfake voice ที่หลอกพนักงาน finance ให้โอนเงินหลายสิบล้านยูโรในเคสจริงปี 2024

MFA — กฎที่คนเข้าใจผิดบ่อย#

ตอนนี้คุณรู้จัก 3 ประเภทครบแล้วครับ. คำถามถัดมา — ใช้กี่ประเภทพอ?

วงการมีศัพท์เรียก 3 ระดับ — SFA (Single-Factor — 1 ประเภท), 2FA (Two-Factor — 2 ประเภท), MFA (Multi-Factor — 2 ประเภทขึ้นไป). แต่นี่คือจุดที่คนเข้าใจผิดบ่อยที่สุดในวงการ — มีกฎเหล็กข้อหนึ่งที่ต้องท่องไว้ — factors ต้องเป็นคนละประเภท ถึงจะนับเป็น MFA ได้

ลองดูตัวอย่างที่คนคิดว่าเป็น MFA แต่จริงๆ ไม่ใช่ — password + คำถามลับ. ฟังดูเหมือน 2 ขั้น. แต่ทั้งคู่คือ “Something you Know” — ประเภทเดียวกัน. โจรที่ทำ phishing ได้ — หลอกเอาทั้ง password และคำตอบของคำถามลับพร้อมกันในเว็บปลอมเดียวกัน. ไม่ได้ยกระดับการกัน attack เพิ่มเลย. นี่คือ “Know + Know” = ไม่ใช่ MFA จริง

ส่วน MFA จริง — ต้องเป็น คนละประเภทKnow + Have (password + Authenticator app), Know + Are (password + Fingerprint), Have + Are (YubiKey + Face ID). หลักการคือ — ถ้าโจรขโมย Know ได้ผ่าน phishing แล้วก็จริง — ก็ยังต้องเข้าถึงมือถือคุณเพิ่ม (Have) หรือ ตัวคุณจริงๆ เพิ่ม (Are) — ซึ่งเป็นเทคนิค attack คนละชุดเลย. โจรคนเดียวที่เก่งทั้ง 2 ชุดแบบ — หายากมาก

MFA ไม่ใช่ของใหม่ — ATM ใช้มาตั้งแต่ 1967#

ที่ผมอยากให้คุณเห็นภาพชัด — MFA ไม่ใช่เทคโนโลยีใหม่. ปี 1967 — ธนาคาร Barclays ในลอนดอนเปิด ATM เครื่องแรกของโลก. และตั้งแต่วันแรกนั้น — ATM ใช้ MFA แล้ว. บัตร (Have) + PIN (Know). ฝากเงินถอนเงิน ต้องการ 2 ประเภทเสมอ — บัตรอย่างเดียวไม่พอ, PIN อย่างเดียวไม่พอ

คำถามที่ตามมาเป็นเรื่องที่ผมรู้สึกแปลกใจตลอดเวลาเล่า — ทำไม mobile banking ที่เกิดในไทยปี 2010+ ถึงเพิ่งบังคับ MFA จริงจังในช่วงปี 2020s — กว่า 50 ปีหลังจาก ATM? คำตอบ — เพราะธนาคารยุค mobile banking มอง “ความสะดวก” สำคัญกว่า “ความปลอดภัย” จนเกิดความเสียหายจริงในวงกว้าง. และในที่สุด — ธนาคารแห่งประเทศไทยก็ต้องออก regulation บังคับ MFA หลังเคส scam call center บูมในปี 2023-2024

สำหรับผู้บริหารบริษัท — ผมอยากให้คุณคิดแบบนี้ครับ. ในปี 2019 Microsoft ประกาศผลการศึกษากับ Azure AD account นับล้าน — MFA ลดอัตราการถูก takeover ลงกว่า 99%. ตัวเลขนี้ถ้าเทียบกับยา = ยา 1 เม็ดที่ลดความน่าจะเป็นโรคใหญ่ลง 99%. และที่น่าตกใจ — Microsoft Authenticator + Google Authenticator + Authy — ทั้งหมดฟรี. ปี 2024 — Microsoft เลิกแนะนำ MFA + บังคับเลย — ใครไม่เปิดในระบบของเขา = ใช้ไม่ได้. นี่คือ shift จาก “MFA = best practice” ไปเป็น “MFA = baseline requirement” ของวงการ

Adaptive Authentication — ยามที่ฉลาดขึ้น#

ทีนี้ — ลองสมมติว่าคอนโดของคุณติด AI ที่ฉลาด. ปกติคุณเดินเข้าตอน 6 โมงเย็นทุกวันหลังเลิกงาน — ยามแค่พยักหน้า. แต่คืนนึงคุณเดินเข้าตอนตี 3 + ใส่ชุดที่ไม่เคยใส่ + มีคนแปลกหน้าเดินตามมา — ยามขอตรวจบัตรเพิ่ม + โทรไปยืนยันที่นิติฯ

นี่คือสิ่งที่วงการเรียกว่า Adaptive Authentication หรือ Risk-based Authentication — ระบบที่ปรับความเข้มของการตรวจตามบริบท (context). พฤติกรรมที่ดูปกติ — ตรวจน้อย. พฤติกรรมที่ดูแปลก — ตรวจเข้ม

scenario ในชีวิตจริง — คุณ login Gmail จาก laptop ที่ทำงานทุกวันตอน 10 โมง — Google ให้ผ่านสบายๆ. แต่วันที่คุณ login จาก IP address ที่อยู่ในรัสเซีย เวลาตี 3 ตามเวลาไทย — Google จะเด้งถาม MFA ทันที + ส่ง email “เราเห็นการ login จาก device ใหม่ที่ Moscow — เป็นคุณหรือเปล่า?”. Google ใช้ระบบนี้มาตั้งแต่ราวๆ ปี 2017 — และเป็นเหตุที่คุณเห็นข้อความนี้บ่อยเวลาเดินทาง

trade-off ของ Adaptive Authentication คือ — ดีต่อ user experience (พนักงานไม่ต้องกด MFA ทุกครั้งที่ทำงานปกติ) แต่ต้องลงทุน risk engine ที่เรียนรู้พฤติกรรม + ทีมที่ tune model. บริษัทระดับ enterprise (ใช้ Okta / Microsoft Entra ID ระดับ premium) มี feature นี้พร้อม. SME ส่วนใหญ่ยังไม่ถึง — แต่อย่างน้อย Google Workspace + Microsoft 365 plans ทั่วไป มี baseline risk-based MFA มาให้ฟรี — แค่เปิดใช้

ทำไม MFA ก็ไม่ใช่ silver bullet#

ผมต้องจบ EP นี้ด้วยข้อหนึ่งที่สำคัญมาก — เปิด MFA แล้วไม่ได้แปลว่าปลอดภัย. MFA ลดความเสี่ยงเยอะมาก — แต่มี attack หลายชนิดที่ข้าม MFA ได้

ที่ผมอยากเล่า — เคส Uber 2022. โจรอายุ 18 ปีขโมย password ของพนักงาน Uber คนหนึ่งได้ — แต่ติดที่ MFA แบบ push notification. โจรไม่ยอมแพ้ — กดปุ่ม login ของพนักงานคนนั้นซ้ำๆ ทุกๆ 1-2 นาที. มือถือของพนักงานเด้งแจ้งเตือนรัวๆ — “Approve login? Approve login? Approve login?” — ตอนตี 3 ของคืน. หลัง notification กว่า 100 ครั้ง — พนักงานก็กด “Approve” ด้วยความรำคาญ + เพื่อหยุดเสียงเด้ง. โจรเข้าระบบ Uber สำเร็จ — และต่อจากนั้นเขาเดินไปทั่ว internal network. วงการเรียก attack แบบนี้ว่า MFA Fatigue — ยอมแพ้ของมนุษย์ ไม่ใช่ technology ที่พัง

scenario อีกแบบที่ระบาดในไทยช่วงนี้ — SIM swap ที่ผมกล่าวไปแล้ว. คนดังไทยหลายคนในปี 2024-2025 โดนโจรย้าย SIM แล้ว reset password ของ social account + ระบบ banking. ทุกคนเปิด MFA แต่เป็น MFA แบบ SMS — ซึ่งใช้เบอร์มือถือเป็น Have factor — และเบอร์ก็ย้ายข้าม SIM ได้

scenario ที่ 3 — Adversary-in-the-Middle (AiTM). โจรตั้งเว็บ phishing ที่หน้าตาเหมือน Microsoft 365 login. คุณกรอก password — เว็บโจรส่งต่อให้ Microsoft จริง. Microsoft ขอ MFA — เว็บโจรส่งหน้าขอ MFA ที่หน้าตาเหมือน Microsoft จริงมาให้คุณ. คุณกด Approve — เว็บโจรเก็บ session cookie ไปแล้ว. โจรไม่ต้องรู้ password คุณ ไม่ต้องรู้ MFA ของคุณ — เขามี session cookie ที่ใช้แทนคุณได้เลย. เครื่องมือชื่อ Evilginx ทำให้ attack ระดับนี้กลายเป็นเรื่องที่ script kiddie ก็ทำได้

ทั้ง 3 scenarios นี้ — มีคำตอบเดียวที่วงการกำลังเร่งผลัก — FIDO2 / Passkey — มาตรฐานใหม่ที่ Apple + Google + Microsoft ร่วมกันผลักให้แทน password ทั้งหมดในระยะยาว. Passkey กัน 3 attacks นี้ได้หมด — ผมจะเจาะใน EP.13 แบบเต็ม

สรุปแบบเก็บใส่หัว#

EP.11 เก็บ 3 ข้อใส่หัวก่อนปิดครับ:

  1. 3 factors ของวงการคือ Know / Have / Are — แค่นี้. ทุกหลักฐานที่คุณเคยใช้ login จัดได้ใน 3 ตะกร้านี้
  2. MFA = ใช้ ≥2 factors คนละประเภทกัน — password + คำถามลับ ไม่ใช่ MFA (เพราะทั้งคู่คือ Know). password + Authenticator app ถึงจะนับ
  3. Adaptive Authentication = ระบบฉลาดเลือกความเข้มของ check ตาม context — login ปกติเวลาปกติ ผ่านง่าย. login เวลาแปลกที่แปลก ตรวจเพิ่ม

มุมผู้บริหาร: ถ้าวันนี้บริษัทคุณ — admin account ของ Microsoft 365 / Google Workspace / Salesforce / VPN ยังไม่บังคับ MFA — นั่นคือเรื่องที่จะแก้ก่อนสิ้นเดือนนี้. ไม่ใช่ก่อนสิ้นปี. การลงทุน ส่วนใหญ่ฟรี (Microsoft Authenticator + policy บน admin console). ผลตอบแทน — ลดความน่าจะเป็นถูก takeover เกือบหมด ตามตัวเลขของ Microsoft เอง. ในวงการ security ไม่มี control ตัวไหนที่ ROI สูงกว่านี้

EP.12 — ผมจะกลับมาขุดเรื่อง Factor 1 (Know) ลึก. ทำไม MD5 ที่ใช้กันมา 30 ปี กลายเป็นของห่วยในปี 2026? bcrypt กับ argon2 ดีกว่ายังไง? Salt กับ Pepper ที่ chef เก็บ password คืออะไร? และ Colonial Pipeline 2021 — ที่บริษัท pipeline น้ำมันใหญ่ที่สุดของอเมริกาหยุดทั้ง east coast เพราะ VPN password 1 ตัวที่ leak. เจอกัน EP หน้าครับ

Ciel
presented by Ciel
JustNotOrdinary's Chief-of-Staff →
CyberSecurity Foundation EP.10 — IAM Lifecycle: เข้า / ย้าย / ออก — ที่บริษัทไทยลืมขั้นตอนสุดท้าย
CyberSecurity Foundation EP.12 — Password 101: ทำไม MD5 ห่วย ทำไม bcrypt ดี — Salt กับ Pepper คืออะไร
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap