การยืนยันตัวตนสองขั้นตอน (Two-Factor Authentication – 2FA) คือกระบวนการล็อกอินเข้าสู่บัญชีดิจิทัลโดยด้วยวิธีการสองแบบ ช่วยให้นักข่าวสามารถปกป้องข้อมูลภายในบัญชีได้อย่างมีประสิทธิภาพมากขึ้น บทความนี้ ผู้สื่อข่าวไร้พรมแดนจะอธิบายวิธีการยืนยันตัวตนสองขั้นตอนประเภทต่าง ๆ และมันช่วยเพิ่มความปลอดภัยทางดิจิทัลให้แก่นักข่าวได้อย่างไร
การยืนยันตัวตนสองขั้นตอน (2FA) เป็นการตั้งค่าความปลอดภัยที่กำหนดให้มีขั้นตอนยืนยันตัวตนเพิ่มอีกขั้นในการล็อกอินเข้าสู่บัญชีดิจิทัลนอกเหนือจากการใช้รหัสผ่านตามปกติ เช่น การกรอกรหัส PIN ที่ส่งไปทางข้อความหรืออีเมล วิธีนี้ถือเป็นการป้องกันที่มีประสิทธิภาพสูงกว่า เนื่องจากแม้ผู้อื่นจะได้รหัสผ่านของเราไป ก็ยังไม่สามารถเข้าสู่บัญชีได้หากไม่ได้ผ่านขั้นตอนยืนยันตัวตนลำดับที่สอง
สำหรับนักข่าว การสูญเสียการเข้าถึงบัญชีดิจิทัลอาจหมายถึงการสูญเสียงาน หลักฐาน หรือแม้แต่ทำให้แหล่งข่าวและผู้ติดต่ออื่น ๆ ตกอยู่ในความเสี่ยง ดังนั้นจึงแนะนำให้นักข่าวเปิดใช้ระบบ 2FA ในทุกบัญชีที่มีฟังก์ชันดังกล่าว ซึ่งรวมถึงบริการยอดนิยมส่วนใหญ่ เช่น Google, Facebook, Slack และ X (Twitter)
นอกจากนี้ หากใช้งานระบบ 2FA ร่วมกับโปรแกรมจัดการรหัสผ่าน ซึ่งเป็นบริการที่ช่วยให้สามารถใช้รหัสผ่านที่ซับซ้อนและไม่ซ้ำกันได้ง่ายขึ้น นักข่าวจะสามารถยกระดับความปลอดภัยทางดิจิทัลของตนได้อย่างมาก อีกทั้งการใช้รูปแบบการยืนยันตัวตนสองขั้นตอนที่แตกต่างกันในแต่ละบัญชียังช่วยลดโอกาสที่วิธีใดวิธีหนึ่งจะถูกเจาะระบบได้อีกด้วย ต่อไปนี้คือประเภทของการยืนยันตัวตนสองขั้นตอนที่ใช้กันอย่างแพร่หลาย
1) การใช้หมายเลขโทรศัพท์เพื่อรับรหัสยืนยันผ่านข้อความ (SMS)
วิธีการนี้เป็นรูปแบบการยืนยันตัวตนสองขั้นตอน (2FA) ที่พบได้บ่อยที่สุด โดยระบบจะขอให้ผู้ใช้ลงทะเบียนหมายเลขโทรศัพท์ไว้ และทุกครั้งที่เข้าสู่ระบบด้วยรหัสผ่าน ระบบจะส่งข้อความ (SMS) ที่มีรหัสยืนยันไปยังหมายเลขนั้นอีกที วิธีนี้ช่วยป้องกันไม่ให้ผู้อื่นที่ไม่มีโทรศัพท์ของเจ้าของบัญชีสามารถเข้าสู่ระบบได้ แม้บางคนอาจลังเลที่จะให้หมายเลขโทรศัพท์กับแอปฯ หรือเว็บไซต์ต่าง ๆ แต่ที่จริงแล้ว มันเกิดจากความเข้าใจที่คลาดเคลื่อน นอกจากนี้ ยังมีวิธีอื่นในการเปิดใช้ระบบ 2FA โดยไม่จำเป็นต้องให้หมายเลขโทรศัพท์ เช่น การใช้แอปฯ สร้างรหัส (Code Generator) หรืออุปกรณ์ยืนยันตัวตนแบบกายภาพ
2) การใช้แอปพลิเคชันมือถือของผู้ให้บริการในการยืนยันตัวตน
บริการบางประเภท เช่น Google หรือบริการธนาคารหลายแห่ง มีแอปพลิเคชันของตนเองสำหรับการยืนยันตัวตน หากนักข่าวติดตั้งแอปฯ ดังกล่าวไว้ในโทรศัพท์ เมื่อมีการพยายามเข้าสู่บัญชีจากคอมพิวเตอร์ ระบบจะส่งการแจ้งเตือนไปยังโทรศัพท์ เพื่อให้ผู้ใช้เปิดแอปฯ และยืนยันว่าตนเป็นผู้พยายามเข้าสู่ระบบจริงหรือไม่
3) การใช้แอปฯ สร้างรหัสยืนยัน (Code Generator App)
การยืนยันตัวตนสองขั้นตอน (2FA) ยังสามารถทำได้ผ่านการสแกนรหัส QR ระหว่างกระบวนการเข้าสู่ระบบ ซึ่งจะเชื่อมต่อไปยัง “แอปฯ สร้างรหัสยืนยัน” บนโทรศัพท์ของผู้ใช้ ด้วยบัญชีเฉพาะของผู้ใช้ แอปฯ สร้างรหัสยืนยัน หรือที่เรียกกันในอีกชื่อหนึ่งว่า Authenticator App เช่น Google Authenticator หรือ LastPass เป็นเครื่องมือที่สร้างรหัส PIN แบบเฉพาะตัวและใช้ได้เพียงชั่วคราวอยู่ตลอดเวลา เพื่อใช้เป็นรหัสยืนยันตัวตนลำดับที่สองหลังจากกรอกรหัสผ่าน
4) การใช้กุญแจยืนยันตัวตนแบบกายภาพ (Universal Second Factor – U2F)
In this case, the USB or NFC has to be plugged in or be in range when the user enters their password, or the log-in will not work. This method is not widely offered yet, but Google, Facebook, and Dropbox all offer it. วิธีนี้เป็นเทคโนโลยีใหม่ที่มีความปลอดภัยสูงกว่า นักข่าวสามารถตั้งค่าอุปกรณ์ USB หรืออุปกรณ์ไร้สายแบบ NFC (Near-Field Communication) เช่น สมาร์ทวอทช์หรือสมาร์ตโฟน ให้ทำหน้าที่เป็นกุญแจยืนยันตัวตนแบบกายภาพสำหรับการยืนยันตัวตนสองขั้นตอน (2FA) วิธีนี้เรียกว่า “Universal Second Factor” หรือ U2F ซึ่งใช้เทคโนโลยีเดียวกับระบบชำระเงินแบบไร้สัมผัส (Contactless Payment) ที่ทำงานได้ก็ต่อเมื่ออุปกรณ์อยู่ในระยะใกล้กับเครื่องเท่านั้น ในกรณีนี้ ผู้ใช้จะต้องเสียบ USB หรือให้อุปกรณ์ NFC อยู่ในระยะใกล้ขณะใส่รหัสผ่าน มิฉะนั้นจะไม่สามารถเข้าสู่บัญชีได้ วิธีนี้ยังไม่ได้แพร่หลายมากนัก แต่ Google, Facebook และ Dropbox รองรับระบบที่ว่านี้แล้ว