วิวัฒนาการของ MFA — ทำไมแต่ละยุคต้องคิดของใหม่#

ก่อนพาดู MFA แต่ละแบบ อยากให้คุณเห็นภาพหนึ่งก่อนครับ MFA ไม่ใช่ของใหม่ มันเก่ากว่า iPhone เก่ากว่า Google เก่ากว่า world wide web ของที่เปลี่ยนไปคือ — ทุกๆ ทศวรรษ โจรเก่งขึ้น และวงการต้องคิด MFA แบบใหม่ที่กันโจรรุ่นใหม่ได้

Uber 2022 — เรื่องที่ทำให้วงการรู้ว่า “Approve” ก็หลอกได้#

เคสนี้ผมอยากเล่ายาวสักหน่อย เพราะมันสอนหลายเรื่องในเรื่องเดียว

โจรในเคสนี้ อายุ 18 ปี เด็กอังกฤษคนหนึ่ง สมาชิกของกลุ่มชื่อ Lapsus$ — กลุ่ม hack ที่อายุเฉลี่ยต่ำกว่า 20 ปี แต่ในปีเดียวกันยึดบริษัทยักษ์ได้ทั้ง Microsoft, Nvidia, Samsung, Okta

ของหลักที่ Lapsus$ ใช้ ไม่ใช่ zero-day ไม่ใช่ malware ราคาเป็นล้าน ใช้ “social engineering” + “MFA Fatigue” ของฟรีทั้งสองอย่าง

เคส Uber เริ่มจาก — โจรซื้อ username + password ของ contractor ของ Uber คนหนึ่งจาก dark web (น่าจะมาจาก malware ที่ติดเครื่องส่วนตัวของ contractor นั้น). โจรลอง login Uber — แต่ Uber บังคับ MFA แบบ push notification — มือถือของ contractor นั้นเด้งถามว่า “Approve login?”. contractor ที่กำลังนอนอยู่ตอนกลางคืน — มองว่าเป็นการ login แปลกๆ ก็กด “Deny”

โจรไม่ยอมแพ้. โจรกดปุ่ม login ใหม่ทุกๆ 1-2 นาที. มือถือของ contractor เด้ง notification รัวๆ — “Approve login? Approve login? Approve login?” — ตอนตี 2 ของคืน. นาน 1 ชั่วโมงต่อเนื่อง

แล้วโจรเล่นไพ่ใบสุดท้าย — ส่ง WhatsApp หา contractor ตรงๆ. ปลอมตัวเป็น “IT ของ Uber”. พิมพ์ว่า “สวัสดีครับ ผมจากทีม IT — ระบบเรามีปัญหา notification เด้งซ้ำๆ ขอรบกวนกด Approve ครั้งนึงเพื่อรีเซ็ตค่าให้หน่อยครับ”. contractor — ที่เหนื่อยจาก notification เด้ง 1 ชั่วโมง + ถูกหลอกว่ามาจาก IT จริง — กด “Approve”

โจรเข้า account contractor สำเร็จ. ใน account นั้น โจรเจอ PowerShell script ที่มี hardcoded credential ของ admin คนหนึ่งที่ Uber. โจรเอา credential นั้นไป login ระบบภายในของ Uber — เข้า AWS, เข้า Google Workspace, เข้า Slack, เข้า HackerOne (ระบบรายงาน bug ของ Uber เอง). โจรไม่ขโมยข้อมูลลูกค้า — แต่เขา screenshot ทุกระบบที่เข้าได้ แล้วโพสต์บน Twitter เพื่อความสนุก

วันรุ่งขึ้น — Uber ปิดระบบ Slack ทั้งบริษัท. หุ้นตก. CTO และ CISO ต้องชี้แจง congressional hearing

บทเรียนของเคสนี้ — MFA แบบ “Approve/Deny” คือการ outsource การตัดสินใจให้ความเหนื่อยของมนุษย์. ถ้าโจรกด notification 100 ครั้งตอนตี 3 — มีโอกาสที่มนุษย์ยอมแพ้และกด Approve เพราะอยากให้เสียงเด้งหยุด. ปี 2023 — Microsoft, Duo, และ Okta เปลี่ยน MFA แบบ push notification ทั้งหมดให้ “number matching” — ผู้ใช้ต้องดูตัวเลขที่ขึ้นในหน้า login แล้วกรอกในมือถือ. ไม่ใช่แค่กด Approve อีกต่อไป. แต่ถึงอย่างนั้น — phishing แบบ AiTM ก็ยังหลอกได้

จุดนี้คือที่ที่วงการรู้แล้วว่า — ทุก MFA ที่ใช้ “shared secret” หรือ “user judgment” — โดน social engineering ได้หมด. คำตอบใหม่ต้องไม่พึ่งสองอย่างนี้เลย. และคำตอบนั้นมีชื่อว่า Passkey

Passkey + FIDO2 — ทำไมมันเปลี่ยนเกมจริง#

ผมอยากให้คุณนิ่งกับคำหนึ่งคำสักครู่ครับ — “origin binding”

ทุก MFA ที่ผ่านมา — ตั้งแต่ SMS OTP จนถึง TOTP — มีจุดร่วมจุดเดียวที่ทำให้มัน phishable. นั่นคือ — มันเป็นข้อมูลที่ “ส่งต่อกันได้”. ตัวเลข 6 หลักของ Authenticator app — คุณกรอกที่ google.com จริงก็ได้, คุณกรอกที่ g00gle.com ปลอมก็ได้. App ไม่รู้ว่าคุณกำลังกรอกที่ไหน. ตัวเลข 6 หลักนั้นเท่ากันทุกที่

Passkey พลิกหลักการนี้. แทนที่จะเป็น “ตัวเลข” ที่ user กรอก — Passkey คือ คู่กุญแจ cryptographic (private key + public key). ตอนคุณสมัคร Passkey ที่ google.com — มือถือคุณสร้างกุญแจคู่หนึ่ง — public key ส่งไป Google, private key อยู่ในมือถือคุณตลอด ออกไปไหนไม่ได้ (เก็บใน Secure Enclave ของ iPhone หรือ TPM ของ Android). ตอนคุณ login กลับ — google.com ส่ง “challenge” มาให้มือถือคุณ — มือถือใช้ private key เซ็นต์ challenge นั้น — Google ตรวจ signature ด้วย public key — ผ่าน

จุดที่ทำให้ Passkey เปลี่ยนเกมคือ — มือถือคุณจะใช้ private key เซ็นต์ challenge ก็ต่อเมื่อ “ต้นทาง” คือ google.com จริงเท่านั้น. ถ้าเว็บปลอม g00gle.com ส่ง challenge มา — มือถือไม่ตอบ. ไม่ใช่เพราะมือถือ “ฉลาดพอจะจับเว็บปลอม” — แต่เพราะ private key ที่อยู่ในมือถือนี้ “ผูก” กับ google.com ตั้งแต่วันสมัคร. กุญแจดอกนี้ unlock ได้แค่ประตูของ google.com จริงๆ. ดูเหมือนกันแค่ไหน — เปิดประตูปลอมไม่ได้

นี่คือสิ่งที่วงการเรียกว่า “phishing-resistant by design”. ไม่ใช่ marketing — เป็น cryptographic property. แม้คุณตั้งใจกรอก Passkey ที่เว็บปลอม — มันก็ไม่ทำงาน

ในมุมของ user — Passkey ใช้ง่ายกว่าทุกอย่างที่ผ่านมา. เพราะการ “ใช้ private key” บนมือถือคือการ — แตะ Face ID, แตะ fingerprint, หรือใส่ PIN ของ device. ไม่ต้องจำ password, ไม่ต้องกรอกตัวเลข, ไม่ต้องรอ SMS. และเพราะ Apple/Google/Microsoft sync passkey ผ่าน iCloud Keychain / Google Password Manager / Microsoft Authenticator — คุณสมัคร passkey ที่มือถือ Android เปลี่ยนมาใช้ที่ iPad ของคุณก็ได้

ปี 2024 — Microsoft ประกาศบังคับ MFA สำหรับ admin ของ Azure ทุกคน — และผลักให้ Passkey เป็น default. ภายในปีเดียว — Passkey adoption ทะลุ 1 พันล้าน account ทั่วโลก. Google ปี 2024 — Passkey เป็น default sign-in method ของ consumer account ใหม่ทุกคน. Apple, Amazon, eBay, PayPal — ทุกคนรองรับแล้ว

มุมผู้บริหาร: สำหรับบริษัทที่อยากเริ่ม Passkey — สิ่งที่ทำได้พรุ่งนี้คือ เปิด Passkey เป็น MFA option สำหรับ admin account ของ Microsoft 365 / Google Workspace / Salesforce / VPN. ฟรี — ใช้ Authenticator app ที่ลงไว้แล้ว. คนทั่วไปยังใช้ Authenticator app ตามปกติ. แต่ admin (ที่เป็นเป้าหมายของโจร) — ใช้ Passkey + Hardware key เป็น default. ปีหน้า ค่อย roll out ทั้งบริษัท

Biometric — ของบนตัวคุณที่เปลี่ยนไม่ได้ตลอดชีวิต#

ทีนี้ผมพาคุณไป factor ที่ 3 ครับ — “Are” — ของบนตัวคุณเอง. ลายนิ้วมือ, ใบหน้า, ม่านตา, เสียง. วงการเรียกรวมๆ ว่า Biometric

ฟังดูเป็นคำตอบที่สมบูรณ์ — ติดตัวคุณตลอด, ไม่ลืมบ้าน, ไม่ทำหาย, ปลอมยาก. ในมุมของ user experience — biometric คือสิ่งที่ดีที่สุด. iPhone ของคุณวันนี้ — แทบทุกการ unlock ใช้ Face ID. mobile banking ของคุณ — แทบทุกการเปิด app ใช้ fingerprint. ไม่มี password manager, ไม่มี TOTP — แค่หน้าหรือนิ้วของคุณ

แต่ผมอยากเล่าเรื่องหนึ่งที่ปี 2015 เปลี่ยนวิธีที่วงการมอง biometric ตลอดไป

ปี 2015 — OPM (Office of Personnel Management) หน่วยงานที่ดูแลข้อมูลพนักงานรัฐบาลกลางของสหรัฐอเมริกา — โดน hack. ของที่หลุดไม่ใช่แค่ชื่อ, ที่อยู่, เลขประกันสังคม. ของที่หลุดที่ทำให้วงการ security ทั้งโลกเงียบกริบรวมถึง — ลายนิ้วมือของพนักงาน federal 5.6 ล้านคน. ส่วนใหญ่เป็นเจ้าหน้าที่ที่มี security clearance — ทหาร, CIA, FBI, นักการทูต

ของที่ทำให้เคสนี้แตกต่างจาก breach อื่นๆ — คนเหล่านี้เปลี่ยนลายนิ้วมือของตัวเองไม่ได้ตลอดชีวิต. ถ้า password ของคุณรั่ว — เปลี่ยนได้ใน 5 นาที. ถ้าเลขบัตรประชาชนคุณรั่ว — ลำบาก แต่บางประเทศก็เปลี่ยนได้. แต่ถ้าลายนิ้วมือคุณรั่ว — จบ. มันคือของที่อยู่กับคุณตั้งแต่เกิดจนวันสุดท้าย. ลายนิ้วมือ 5.6 ล้านชุดนั้น — อยู่ในมือคนที่ไม่ทราบจำนวน ตลอดไป. ทุกระบบในอนาคตที่ใช้ biometric ของพนักงานเหล่านี้ — เสี่ยงตลอดไป

นี่คือเหตุที่วงการมีกฎทอง 1 ข้อเกี่ยวกับ biometric — อย่าใช้ biometric เป็น factor เดียวเด็ดขาด. ใช้คู่กับ Have factor (มือถือคุณ, hardware key) เสมอ. เหตุผล — เพราะถ้าวันหนึ่ง biometric ของคุณรั่ว, recovery = 0. แต่ถ้ามันเป็น “ตัวปลดล็อก” private key ที่อยู่ในมือถือคุณ — ตัว private key ในมือถือก็ยังเป็น “Have” factor อีกชั้น. โจรที่มีลายนิ้วมือคุณ แต่ไม่มีมือถือคุณ — ก็ยังเข้าระบบไม่ได้

ของที่ Apple + Microsoft ทำถูกตั้งแต่วันแรกของ Face ID และ Windows Hello คือ — biometric template ไม่เคยออกจากเครื่อง. ใบหน้าของคุณไม่ได้ส่งไป cloud, ลายนิ้วมือคุณไม่ได้ส่งไป Apple server. ของเหล่านี้เก็บใน Secure Enclave ของ iPhone หรือ TPM ของ Windows — chip เฉพาะที่ออกแบบให้ข้อมูลข้างในออกไปไหนไม่ได้ แม้แต่ OS ก็อ่านไม่ได้. ตอนคุณเอาหน้าไป unlock — เปรียบเทียบเกิดขึ้นใน chip นั้น — ส่งออกแค่คำตอบ “match” หรือ “no match”

นี่คือเหตุที่ Face ID ของ iPhone — แม้ Apple โดน hack ทั้งบริษัท — ใบหน้าของผู้ใช้ก็ยังไม่หลุด. ตรงข้ามกับ OPM ที่เก็บลายนิ้วมือใน central database ที่ admin คนเดียวเข้าได้

มีอีกเรื่องที่ผมต้องเล่าให้ครบ — ปี 2013 — Apple เปิดตัว iPhone 5s พร้อม Touch ID. ภายใน 24 ชั่วโมงหลังเปิดตัว — กลุ่ม hacker เยอรมันชื่อ Chaos Computer Club ประกาศว่าหลอก Touch ID ได้แล้ว. วิธีของพวกเขา — ถ่ายภาพลายนิ้วมือเหยื่อจากแก้วน้ำที่เหยื่อจับ ด้วยกล้องความละเอียดสูง → ปริ้นต์ภาพนั้นบน transparency → เคลือบกาวขาวเป็นชั้นบางๆ → เอามาแปะนิ้วของตัวเอง → unlock ผ่าน. ใช้เวลารวมประมาณ 30 ชั่วโมง — แต่พิสูจน์ให้วงการเห็นว่า biometric ไม่ใช่กำแพง absolute. โจรที่ใจเย็นพอ + ลายนิ้วมือเหยื่อหาได้ — หลอกได้

แต่นี่คือจุดสำคัญ — Apple ไม่ได้อ้างว่า Touch ID จะกัน attacker ที่ใจเย็น + เจาะจงโจมตีคุณ. Apple ออกแบบ Touch ID เพื่อ เหตุการณ์ที่เกิดบ่อยที่สุดในชีวิตจริง — คนทำมือถือหายแล้วคนเจอเอาไปเปิด, เพื่อนยืมมือถือไปแล้วแอบดู. สำหรับ threat model นั้น — Touch ID ทำงานได้ดีมาก. นี่คือสิ่งที่วงการเรียกว่า “fit-for-purpose security” — ไม่ใช่ทุก control ต้องกันทุก attacker — แค่ต้องกัน attacker ที่ realistic สำหรับ user ปกติ

วัดยังไงว่า biometric ตัวไหน “ดี” — 4 metrics ที่ข้อสอบ CISA ถามตรงๆ#

ที่เล่ามาทั้งหมด Face ID, Touch ID, ลายนิ้วมือ, ม่านตา ฟังดูเหมือนของที่ “ใช่ก็ใช่ ไม่ใช่ก็ไม่ใช่” จบเท่านั้น แต่ในมุมของ auditor หรือคนที่ต้องประเมิน biometric system ของบริษัท มันมีตัวเลขที่ใช้วัดว่า “ระบบนี้แม่นแค่ไหน” 4 ตัวเลขนี้วงการเรียกว่า performance metrics และเป็นจุดที่ข้อสอบ CISA ชอบถามตรงๆ มากครับ เพราะมันออกข้อสอบง่ายและแยกคนที่อ่านจริงกับคนที่จำชื่อระบบเฉยๆ ออกจากกันได้

8 biometric modalities — Physical กับ Behavior ต่างกันยังไง#

นอกจาก 4 metrics ข้อสอบ CISA ยังชอบถามเรื่อง biometric modalities ที่ว่ามีกี่แบบ, แบบไหน response time เร็วสุด, แบบไหน FAR ต่ำสุด มาดูตารางก่อน แล้วค่อยอธิบาย split สำคัญ

วงการแบ่ง biometric เป็น 2 กลุ่มใหญ่ครับ:

• Physical biometric = ของที่ “คุณเป็น” คือ palm, hand, iris, retina, fingerprint, face เป็นโครงสร้างทางกายภาพที่ติดตัวมาตั้งแต่เกิด
• Behavior biometric = ของที่ “คุณทำ” คือ เสียง, ลายเซ็น, จังหวะการพิมพ์ (keystroke dynamics), การเดิน (gait) เป็นพฤติกรรมที่เรียนรู้และเปลี่ยนได้ตามวัย / อารมณ์ / สภาพร่างกาย

จุดที่ข้อสอบ CISA ชอบดักคือ behavior biometric มี FAR สูงกว่าเสมอ เพราะพฤติกรรมเปลี่ยนแปลงได้ตามวัน เป็นหวัด → เสียงเปลี่ยน → ระบบที่หย่อนพอจะให้เจ้าของ login ได้ ก็หย่อนพอจะให้คนเลียนเสียงเจ้าของเข้าได้เหมือนกัน ตรงข้ามกับ iris/retina ที่ FAR ต่ำมาก เพราะลวดลายม่านตาของแต่ละคนต่างกันที่ระดับ DNA เลียนแบบยากที่สุดในบรรดา biometric ทั้งหมด

Response time ที่ข้อสอบชอบถาม: “biometric ตัวไหน response time เร็วที่สุด?” → คำตอบคือ Palm geometry เร็วเพราะแค่วัดรูปทรงฝ่ามือ (กว้าง × ยาว × ความหนา) ไม่ต้องประมวลลวดลายซับซ้อนเหมือน fingerprint หรือ iris นี่คือเหตุที่ palm geometry นิยมใช้กับ data center ที่คนเข้า-ออกบ่อย ใครจะอยากรอ 5 วินาทีต่อคนก่อนเข้า server room ครับ

มุม audit — สิ่งที่ผู้ตรวจต้องดูในระบบ biometric#

ในมุมของ auditor หรือคนที่ต้องประเมินระบบ biometric ของบริษัท 4 จุดนี้คือสิ่งที่ต้องตรวจเสมอ

• Template storage — biometric template (ของที่เก็บแทน “หน้า/นิ้วมือ” จริง) เข้ารหัสที่ rest หรือยัง? ถ้าเก็บใน plaintext + database โดน hack = เคส OPM 2015 จะเกิดซ้ำ
• FER rate ของระบบจริง — ถ้าสูงผิดปกติ = ระบบกำลัง exclude user บางกลุ่มเงียบๆ ต้องมี fallback ที่เท่าเทียม
• Fallback mechanism — ถ้า biometric fail (นิ้วเปียก, หน้ามาส์ก, แสงน้อย) ระบบ fall back ไปอะไร? ถ้า fall back ไป password อย่างเดียวโดยไม่มี MFA ชั้นอื่น = MFA แตกตั้งแต่วันแรก
• Liveness detection — กันการใช้รูปถ่ายปริ้นต์เพื่อหลอก face recognition, กันการใช้ silicone fingerprint ที่ทำจากแก้วน้ำ (เคส Chaos Computer Club) ระบบที่ดีต้องตรวจ “ของจริงที่มีชีวิต” เช่น กระพริบตา, อุณหภูมิ, ความชื้น

มุมผู้บริหาร: ถ้าบริษัทกำลังจะเอา biometric มาเป็น MFA ชั้นที่ 2 ก่อนเซ็นสัญญากับ vendor ขอ 3 ตัวเลขเสมอครับ คือ CER ของระบบ, FER ที่วัดจาก pilot, และ template เก็บแบบไหน ถ้า vendor ตอบไม่ได้ทั้ง 3 ข้อ = เครื่องหมายว่าระบบนี้ยังไม่พร้อม production ของพวกนี้ไม่ใช่ technical detail แต่เป็นพื้นฐานของ biometric system ที่ทุก vendor ต้องตอบได้

สรุปแบบเก็บใส่หัว#

EP.13 เก็บ 4 ข้อใส่หัวก่อนปิดครับ:

1. SMS OTP = ดีกว่าไม่มี แต่อ่อนแอที่สุดในบรรดา MFA ทั้งหมด — SIM swap หลอกได้ในไม่กี่ชั่วโมง. ถ้าคุณยังใช้ SMS OTP ที่ไหน — ย้ายเป็น Authenticator app ทันที (ฟรี ใช้เวลา 5 นาที)
2. Authenticator app (TOTP) = baseline ของปี 2026 — กัน SIM swap ได้ 100%. แต่ยัง phishable ผ่านเว็บปลอม. เหมาะกับ user ทั่วไป
3. Passkey = ทางออกระยะยาว — phishing-resistant by design. ปี 2026 ทุก platform ใหญ่รองรับแล้ว. ปี 2027-2028 จะเป็น default
4. Biometric = สะดวกที่สุด แต่ห้ามใช้คนเดียว — เพราะลายนิ้วมือ/ใบหน้าเปลี่ยนไม่ได้. ใช้คู่กับ Have factor (มือถือ, hardware key) ตลอด

มุมผู้บริหาร: Migration plan ที่ทำได้พรุ่งนี้ — เปลี่ยน MFA ของพนักงานทั้งบริษัทจาก SMS OTP → Authenticator app (Microsoft / Google / Authy — ทั้งหมดฟรี ใช้เวลา 5 นาทีต่อ user). ภายในไตรมาสนี้. ปีหน้า — admin account ทั้งหมด → Passkey + Hardware key (YubiKey ประมาณ $50/ตัว, ลดความเสี่ยงถูก takeover เกือบหมด). ใน security ไม่มี ROI ตัวไหนสูงเท่านี้

EP.14 — ผมจะพาคุณข้าม scale จากของส่วนตัว ไปดูระบบ authentication ของบริษัทใหญ่. ลองนึกบริษัทที่มี Windows 1,000 เครื่อง + พนักงาน 500 คน + ระบบภายใน 50 ระบบ. พนักงาน login Windows เช้านี้ครั้งเดียว — แล้วเข้าได้ทุก app ทั้งวันโดยไม่ต้องใส่ password ซ้ำ. ระบบรู้ยังไงว่าเขาคือเขา? คำตอบคือ protocol ที่เกิดที่ MIT ในปี 1988 ชื่อ Kerberos — ระบบ check-in โรงแรมที่ Microsoft รับไปทำเป็น backbone ของ Active Directory. เจอกัน EP หน้าครับ