วิวัฒนาการของ MFA — ทำไมแต่ละยุคต้องคิดของใหม่#

ก่อนผมพาคุณดู MFA แต่ละแบบ — ผมอยากให้คุณเห็นภาพหนึ่งก่อนครับ. MFA ไม่ใช่ของใหม่. มันเก่ากว่า iPhone, เก่ากว่า Google, เก่ากว่า world wide web. ของที่เปลี่ยนไปคือ — ทุกๆ ทศวรรษ — โจรเก่งขึ้น และวงการต้องคิด MFA แบบใหม่ที่กันโจรรุ่นใหม่ได้

Uber 2022 — เรื่องที่ทำให้วงการรู้ว่า “Approve” ก็หลอกได้#

เคสนี้ผมอยากเล่ายาวสักหน่อย เพราะมันสอนหลายเรื่องในเรื่องเดียว

โจรในเคสนี้ — อายุ 18 ปี เด็กอังกฤษคนหนึ่ง สมาชิกของกลุ่มชื่อ **Lapsus$** — กลุ่ม hack ที่อายุเฉลี่ยต่ำกว่า 20 ปี แต่ในปีเดียวกันยึดบริษัทยักษ์ได้ทั้ง Microsoft, Nvidia, Samsung, Okta. ของหลักที่ Lapsus$ ใช้ — ไม่ใช่ zero-day, ไม่ใช่ malware ราคาเป็นล้าน — ใช้ “social engineering” + “MFA Fatigue” — ของฟรีทั้งสองอย่าง

เคส Uber เริ่มจาก — โจรซื้อ username + password ของ contractor ของ Uber คนหนึ่งจาก dark web (น่าจะมาจาก malware ที่ติดเครื่องส่วนตัวของ contractor นั้น). โจรลอง login Uber — แต่ Uber บังคับ MFA แบบ push notification — มือถือของ contractor นั้นเด้งถามว่า “Approve login?”. contractor ที่กำลังนอนอยู่ตอนกลางคืน — มองว่าเป็นการ login แปลกๆ ก็กด “Deny”

โจรไม่ยอมแพ้. โจรกดปุ่ม login ใหม่ทุกๆ 1-2 นาที. มือถือของ contractor เด้ง notification รัวๆ — “Approve login? Approve login? Approve login?” — ตอนตี 2 ของคืน. นาน 1 ชั่วโมงต่อเนื่อง

แล้วโจรเล่นไพ่ใบสุดท้าย — ส่ง WhatsApp หา contractor ตรงๆ. ปลอมตัวเป็น “IT ของ Uber”. พิมพ์ว่า “สวัสดีครับ ผมจากทีม IT — ระบบเรามีปัญหา notification เด้งซ้ำๆ ขอรบกวนกด Approve ครั้งนึงเพื่อรีเซ็ตค่าให้หน่อยครับ”. contractor — ที่เหนื่อยจาก notification เด้ง 1 ชั่วโมง + ถูกหลอกว่ามาจาก IT จริง — กด “Approve”

โจรเข้า account contractor สำเร็จ. ใน account นั้น โจรเจอ PowerShell script ที่มี hardcoded credential ของ admin คนหนึ่งที่ Uber. โจรเอา credential นั้นไป login ระบบภายในของ Uber — เข้า AWS, เข้า Google Workspace, เข้า Slack, เข้า HackerOne (ระบบรายงาน bug ของ Uber เอง). โจรไม่ขโมยข้อมูลลูกค้า — แต่เขา screenshot ทุกระบบที่เข้าได้ แล้วโพสต์บน Twitter เพื่อความสนุก

วันรุ่งขึ้น — Uber ปิดระบบ Slack ทั้งบริษัท. หุ้นตก. CTO และ CISO ต้องชี้แจง congressional hearing

บทเรียนของเคสนี้ — MFA แบบ “Approve/Deny” คือการ outsource การตัดสินใจให้ความเหนื่อยของมนุษย์. ถ้าโจรกด notification 100 ครั้งตอนตี 3 — มีโอกาสที่มนุษย์ยอมแพ้และกด Approve เพราะอยากให้เสียงเด้งหยุด. ปี 2023 — Microsoft, Duo, และ Okta เปลี่ยน MFA แบบ push notification ทั้งหมดให้ “number matching” — ผู้ใช้ต้องดูตัวเลขที่ขึ้นในหน้า login แล้วกรอกในมือถือ. ไม่ใช่แค่กด Approve อีกต่อไป. แต่ถึงอย่างนั้น — phishing แบบ AiTM ก็ยังหลอกได้

จุดนี้คือที่ที่วงการรู้แล้วว่า — ทุก MFA ที่ใช้ “shared secret” หรือ “user judgment” — โดน social engineering ได้หมด. คำตอบใหม่ต้องไม่พึ่งสองอย่างนี้เลย. และคำตอบนั้นมีชื่อว่า Passkey

Passkey + FIDO2 — ทำไมมันเปลี่ยนเกมจริง#

ผมอยากให้คุณนิ่งกับคำหนึ่งคำสักครู่ครับ — “origin binding”

ทุก MFA ที่ผ่านมา — ตั้งแต่ SMS OTP จนถึง TOTP — มีจุดร่วมจุดเดียวที่ทำให้มัน phishable. นั่นคือ — มันเป็นข้อมูลที่ “ส่งต่อกันได้”. ตัวเลข 6 หลักของ Authenticator app — คุณกรอกที่ google.com จริงก็ได้, คุณกรอกที่ g00gle.com ปลอมก็ได้. App ไม่รู้ว่าคุณกำลังกรอกที่ไหน. ตัวเลข 6 หลักนั้นเท่ากันทุกที่

Passkey พลิกหลักการนี้. แทนที่จะเป็น “ตัวเลข” ที่ user กรอก — Passkey คือ คู่กุญแจ cryptographic (private key + public key). ตอนคุณสมัคร Passkey ที่ google.com — มือถือคุณสร้างกุญแจคู่หนึ่ง — public key ส่งไป Google, private key อยู่ในมือถือคุณตลอด ออกไปไหนไม่ได้ (เก็บใน Secure Enclave ของ iPhone หรือ TPM ของ Android). ตอนคุณ login กลับ — google.com ส่ง “challenge” มาให้มือถือคุณ — มือถือใช้ private key เซ็นต์ challenge นั้น — Google ตรวจ signature ด้วย public key — ผ่าน

จุดที่ทำให้ Passkey เปลี่ยนเกมคือ — มือถือคุณจะใช้ private key เซ็นต์ challenge ก็ต่อเมื่อ “ต้นทาง” คือ google.com จริงเท่านั้น. ถ้าเว็บปลอม g00gle.com ส่ง challenge มา — มือถือไม่ตอบ. ไม่ใช่เพราะมือถือ “ฉลาดพอจะจับเว็บปลอม” — แต่เพราะ private key ที่อยู่ในมือถือนี้ “ผูก” กับ google.com ตั้งแต่วันสมัคร. กุญแจดอกนี้ unlock ได้แค่ประตูของ google.com จริงๆ. ดูเหมือนกันแค่ไหน — เปิดประตูปลอมไม่ได้

นี่คือสิ่งที่วงการเรียกว่า “phishing-resistant by design”. ไม่ใช่ marketing — เป็น cryptographic property. แม้คุณตั้งใจกรอก Passkey ที่เว็บปลอม — มันก็ไม่ทำงาน

ในมุมของ user — Passkey ใช้ง่ายกว่าทุกอย่างที่ผ่านมา. เพราะการ “ใช้ private key” บนมือถือคือการ — แตะ Face ID, แตะ fingerprint, หรือใส่ PIN ของ device. ไม่ต้องจำ password, ไม่ต้องกรอกตัวเลข, ไม่ต้องรอ SMS. และเพราะ Apple/Google/Microsoft sync passkey ผ่าน iCloud Keychain / Google Password Manager / Microsoft Authenticator — คุณสมัคร passkey ที่มือถือ Android เปลี่ยนมาใช้ที่ iPad ของคุณก็ได้

ปี 2024 — Microsoft ประกาศบังคับ MFA สำหรับ admin ของ Azure ทุกคน — และผลักให้ Passkey เป็น default. ภายในปีเดียว — Passkey adoption ทะลุ 1 พันล้าน account ทั่วโลก. Google ปี 2024 — Passkey เป็น default sign-in method ของ consumer account ใหม่ทุกคน. Apple, Amazon, eBay, PayPal — ทุกคนรองรับแล้ว

มุมผู้บริหาร: สำหรับบริษัทที่อยากเริ่ม Passkey — สิ่งที่ทำได้พรุ่งนี้คือ เปิด Passkey เป็น MFA option สำหรับ admin account ของ Microsoft 365 / Google Workspace / Salesforce / VPN. ฟรี — ใช้ Authenticator app ที่ลงไว้แล้ว. คนทั่วไปยังใช้ Authenticator app ตามปกติ. แต่ admin (ที่เป็นเป้าหมายของโจร) — ใช้ Passkey + Hardware key เป็น default. ปีหน้า ค่อย roll out ทั้งบริษัท

Biometric — ของบนตัวคุณที่เปลี่ยนไม่ได้ตลอดชีวิต#

ทีนี้ผมพาคุณไป factor ที่ 3 ครับ — “Are” — ของบนตัวคุณเอง. ลายนิ้วมือ, ใบหน้า, ม่านตา, เสียง. วงการเรียกรวมๆ ว่า Biometric

ฟังดูเป็นคำตอบที่สมบูรณ์ — ติดตัวคุณตลอด, ไม่ลืมบ้าน, ไม่ทำหาย, ปลอมยาก. ในมุมของ user experience — biometric คือสิ่งที่ดีที่สุด. iPhone ของคุณวันนี้ — แทบทุกการ unlock ใช้ Face ID. mobile banking ของคุณ — แทบทุกการเปิด app ใช้ fingerprint. ไม่มี password manager, ไม่มี TOTP — แค่หน้าหรือนิ้วของคุณ

แต่ผมอยากเล่าเรื่องหนึ่งที่ปี 2015 เปลี่ยนวิธีที่วงการมอง biometric ตลอดไป

ปี 2015 — OPM (Office of Personnel Management) หน่วยงานที่ดูแลข้อมูลพนักงานรัฐบาลกลางของสหรัฐอเมริกา — โดน hack. ของที่หลุดไม่ใช่แค่ชื่อ, ที่อยู่, เลขประกันสังคม. ของที่หลุดที่ทำให้วงการ security ทั้งโลกเงียบกริบรวมถึง — ลายนิ้วมือของพนักงาน federal 5.6 ล้านคน. ส่วนใหญ่เป็นเจ้าหน้าที่ที่มี security clearance — ทหาร, CIA, FBI, นักการทูต

ของที่ทำให้เคสนี้แตกต่างจาก breach อื่นๆ — คนเหล่านี้เปลี่ยนลายนิ้วมือของตัวเองไม่ได้ตลอดชีวิต. ถ้า password ของคุณรั่ว — เปลี่ยนได้ใน 5 นาที. ถ้าเลขบัตรประชาชนคุณรั่ว — ลำบาก แต่บางประเทศก็เปลี่ยนได้. แต่ถ้าลายนิ้วมือคุณรั่ว — จบ. มันคือของที่อยู่กับคุณตั้งแต่เกิดจนวันสุดท้าย. ลายนิ้วมือ 5.6 ล้านชุดนั้น — อยู่ในมือคนที่ไม่ทราบจำนวน ตลอดไป. ทุกระบบในอนาคตที่ใช้ biometric ของพนักงานเหล่านี้ — เสี่ยงตลอดไป

นี่คือเหตุที่วงการมีกฎทอง 1 ข้อเกี่ยวกับ biometric — อย่าใช้ biometric เป็น factor เดียวเด็ดขาด. ใช้คู่กับ Have factor (มือถือคุณ, hardware key) เสมอ. เหตุผล — เพราะถ้าวันหนึ่ง biometric ของคุณรั่ว, recovery = 0. แต่ถ้ามันเป็น “ตัวปลดล็อก” private key ที่อยู่ในมือถือคุณ — ตัว private key ในมือถือก็ยังเป็น “Have” factor อีกชั้น. โจรที่มีลายนิ้วมือคุณ แต่ไม่มีมือถือคุณ — ก็ยังเข้าระบบไม่ได้

ของที่ Apple + Microsoft ทำถูกตั้งแต่วันแรกของ Face ID และ Windows Hello คือ — biometric template ไม่เคยออกจากเครื่อง. ใบหน้าของคุณไม่ได้ส่งไป cloud, ลายนิ้วมือคุณไม่ได้ส่งไป Apple server. ของเหล่านี้เก็บใน Secure Enclave ของ iPhone หรือ TPM ของ Windows — chip เฉพาะที่ออกแบบให้ข้อมูลข้างในออกไปไหนไม่ได้ แม้แต่ OS ก็อ่านไม่ได้. ตอนคุณเอาหน้าไป unlock — เปรียบเทียบเกิดขึ้นใน chip นั้น — ส่งออกแค่คำตอบ “match” หรือ “no match”

นี่คือเหตุที่ Face ID ของ iPhone — แม้ Apple โดน hack ทั้งบริษัท — ใบหน้าของผู้ใช้ก็ยังไม่หลุด. ตรงข้ามกับ OPM ที่เก็บลายนิ้วมือใน central database ที่ admin คนเดียวเข้าได้

มีอีกเรื่องที่ผมต้องเล่าให้ครบ — ปี 2013 — Apple เปิดตัว iPhone 5s พร้อม Touch ID. ภายใน 24 ชั่วโมงหลังเปิดตัว — กลุ่ม hacker เยอรมันชื่อ Chaos Computer Club ประกาศว่าหลอก Touch ID ได้แล้ว. วิธีของพวกเขา — ถ่ายภาพลายนิ้วมือเหยื่อจากแก้วน้ำที่เหยื่อจับ ด้วยกล้องความละเอียดสูง → ปริ้นต์ภาพนั้นบน transparency → เคลือบกาวขาวเป็นชั้นบางๆ → เอามาแปะนิ้วของตัวเอง → unlock ผ่าน. ใช้เวลารวมประมาณ 30 ชั่วโมง — แต่พิสูจน์ให้วงการเห็นว่า biometric ไม่ใช่กำแพง absolute. โจรที่ใจเย็นพอ + ลายนิ้วมือเหยื่อหาได้ — หลอกได้

แต่นี่คือจุดสำคัญ — Apple ไม่ได้อ้างว่า Touch ID จะกัน attacker ที่ใจเย็น + เจาะจงโจมตีคุณ. Apple ออกแบบ Touch ID เพื่อ เหตุการณ์ที่เกิดบ่อยที่สุดในชีวิตจริง — คนทำมือถือหายแล้วคนเจอเอาไปเปิด, เพื่อนยืมมือถือไปแล้วแอบดู. สำหรับ threat model นั้น — Touch ID ทำงานได้ดีมาก. นี่คือสิ่งที่วงการเรียกว่า “fit-for-purpose security” — ไม่ใช่ทุก control ต้องกันทุก attacker — แค่ต้องกัน attacker ที่ realistic สำหรับ user ปกติ

สรุปแบบเก็บใส่หัว#

EP.13 เก็บ 4 ข้อใส่หัวก่อนปิดครับ:

1. SMS OTP = ดีกว่าไม่มี แต่อ่อนแอที่สุดในบรรดา MFA ทั้งหมด — SIM swap หลอกได้ในไม่กี่ชั่วโมง. ถ้าคุณยังใช้ SMS OTP ที่ไหน — ย้ายเป็น Authenticator app ทันที (ฟรี ใช้เวลา 5 นาที)
2. Authenticator app (TOTP) = baseline ของปี 2026 — กัน SIM swap ได้ 100%. แต่ยัง phishable ผ่านเว็บปลอม. เหมาะกับ user ทั่วไป
3. Passkey = ทางออกระยะยาว — phishing-resistant by design. ปี 2026 ทุก platform ใหญ่รองรับแล้ว. ปี 2027-2028 จะเป็น default
4. Biometric = สะดวกที่สุด แต่ห้ามใช้คนเดียว — เพราะลายนิ้วมือ/ใบหน้าเปลี่ยนไม่ได้. ใช้คู่กับ Have factor (มือถือ, hardware key) ตลอด

มุมผู้บริหาร: Migration plan ที่ทำได้พรุ่งนี้ — เปลี่ยน MFA ของพนักงานทั้งบริษัทจาก SMS OTP → Authenticator app (Microsoft / Google / Authy — ทั้งหมดฟรี ใช้เวลา 5 นาทีต่อ user). ภายในไตรมาสนี้. ปีหน้า — admin account ทั้งหมด → Passkey + Hardware key (YubiKey ประมาณ $50/ตัว, ลดความเสี่ยงถูก takeover เกือบหมด). ใน security ไม่มี ROI ตัวไหนสูงเท่านี้

EP.14 — ผมจะพาคุณข้าม scale จากของส่วนตัว ไปดูระบบ authentication ของบริษัทใหญ่. ลองนึกบริษัทที่มี Windows 1,000 เครื่อง + พนักงาน 500 คน + ระบบภายใน 50 ระบบ. พนักงาน login Windows เช้านี้ครั้งเดียว — แล้วเข้าได้ทุก app ทั้งวันโดยไม่ต้องใส่ password ซ้ำ. ระบบรู้ยังไงว่าเขาคือเขา? คำตอบคือ protocol ที่เกิดที่ MIT ในปี 1988 ชื่อ Kerberos — ระบบ check-in โรงแรมที่ Microsoft รับไปทำเป็น backbone ของ Active Directory. เจอกัน EP หน้าครับ