กู้ 2 factor authentication

ผมใช้ 2 factor authentication (2fa) มาได้สักสามสี่ปีแล้ว เนื่องจากวันนึงอีเมลผมโดนเด้งมาว่ามีการเข้าใช้จากประเทศแปลกๆ ผมก็รู้สึกไม่ปลอดภัย แต่ผมคิดรหัสผ่านใหม่เจ๋งๆ ไม่ออก กลัวจะลืมด้วย ก็เลยว่างั้นเปิด 2 factor เลยดีกว่า (ตอนนี้รหัสผมก็ใช้ password manager จัดการอีกที ก็ปลอดภัยขึ้นจากการเดารหัสแต่ถ้าไฟล์รหัสผมหลุดไปนี่ก็อีกเรื่องหนึ่ง ก็เก็บไฟล์ให้ดีๆ และตั้ง master password ที่ปลอดภัย)

ทีนี้วันนี้อยาก wipe rom ครับ ก็เลยกด wipe ไปโต้งๆ ด้วยความที่คิดว่า Authy มันมี backup ขึ้น cloud ให้อยู่ไม่ต้องกลัวอะไร ปรากฏว่า มัน backup ไม่ครบ และเป็นครั้งแรกที่ผมเจอว่ามันทำแบบนี้ (ครั้งก่อนผมได้คืนมาครบ) ก็เลยถึงคราวซวยที่ต้องมานั่งลิสต์แล้วครับว่าต้องทำอะไรบ้าง

จริงๆ ผมไม่ค่อยไว้ใจระบบ cloud สำหรับรหัสนะครับ ตัว Authy เองก็จะมีการเข้ารหัส backup ก่อนส่งขึ้นไปอีกทีนึง ก็เลยพอไว้วางใจได้อยู่บ้างแต่ถ้าเอาชัวร์ๆ คงต้องมาดูว่ามันเข้ารหัสแบบไหน ถูกหลักหรือเปล่า

– **Dropbox** อันนี้ไม่มีปัญหา ใช้ SMS รับได้ แต่ตอนนั้นผมเข้าค้างไว้อยู่แล้ว รู้สึกน่ากลัวมากๆ ตรงที่มันเปลี่ยนการตั้งค่า 2 Factor ได้โดยไม่ต้องกรอกรหัสซ้ำ
– **GitHub** ใช้ SMS รับรหัสได้แล้วก็เข้าไปเปลี่ยน (GitHub ใช้ sudo mode จะไม่ถามรหัสซ้ำในช่วงเวลาหนึ่ง ถึงจะตั้งให้ login ค้างไว้ก็อาจจะถามซ้ำได้)
– **Google** ใช้ SMS รับได้ ปัญหาคือ Android first boot รับ SMS ไม่ได้ ก็จะมีตัวเลือกคือให้โทรมาแทน โทรมาเป็นเบอร์ 081 เป็นภาษาอังกฤษและคุณภาพเสียงห่วยมาก

Google ถ้าเปิดปิด 2FA จะเด้ง login ที่ค้างอยู่หมดนะครับ ยกเว้นเครื่องที่กดปิด แต่ถ้าเปลี่ยนประเภทจากแอพเป็น SMS แบบนี้ไม่เด้ง และผมได้ยินว่าถ้าใช้มือถือก็ไม่ได้ด้วยต้องส่งเอกสารยึนยันให้ Google

– **Facebook** ใช้ SMS รับรหัสได้ แต่ผมรู้สึกแปลกๆ ตรงที่ถ้า sign in ได้แล้วบนมือถือ มือถือตัวนั้นจะกลายเป็น code generator ไปเลยทันที ซึ่งผมว่าไม่ปลอดภัยตรงที่ถ้าผมให้อุปกรณ์หนึ่งๆ เป็น 2FA ผมถือว่าผม trust อุปกรณ์นั้นสุดๆ แต่เครื่องชาวบ้านผม trust แค่ครึ่งนึง ถ้าเกิดมันดักรหัสผมก็ไม่ได้ OTP ไป นี่กลายเป็นว่ามันจะได้ OTP ไปด้วยก็ไม่ใช่
– **Amazon Web Service** ใช้ SMS ไม่ได้เลย มีแต่ทิ้งเบอร์ไว้ซึ่งสิบนาทีต่อมา Amazon โทรหาผม (เป็นภาษาอังกฤษ) ถามอีเมล, security question และเมลมาฉบับหนึ่งมีรหัสให้ผมอ่านให้ฟัง แล้วก็ปลดออกให้
– **DigitalOcean** ใช้ SMS เข้าได้ แต่ถ้าใช้ SMS เข้าแล้วจะปลด 2FA ถาวร ต้องเข้าไปตั้งค่าใหม่อย่างเดียว

(นี่ถ้าสักสองปีก่อนงานเข้าโคตรๆ เลยครับเพราะ TOT3G ไม่มีบริการไหนรองรับเลย ขอ OTP ผ่าน SMS ไม่ได้)

อื่นๆ ที่เคยเจอมาคือ Blizzard (battle.net) ถาม serial เกมในไอดี ซึ่งผมไม่มีเกมในไอดีนั้น ก็เลยบาย ปิดทิ้งสมัครใหม่ง่ายกว่า

สรุปแล้วใช้ 2 factor ไม่ค่อยจะมีปัญหาตรงทำแอพพังเท่าไรครับ เพราะใช้ SMS ได้หมด ก็จะมีแค่ Amazon เท่านั้นแหละที่เป็นปัญหา

ปล. service หลายๆ ตัวจะมี backup code นะครับที่ใช้แทน 2FA แต่ผมไม่ได้ print มาเพราะไม่รู้จะเก็บไว้ที่ไหนให้ปลอดภัย คือไม่อยากไว้โต๊ะคอมมันเหมือนเขียนรหัสผ่านแปะหน้าจอ