ปกป้อง Youtube Channel ของคุณ จาก Hacker ด้วย Security Key บนมือถือ

ปกป้อง Youtube Channel ของคุณ จาก Hacker ด้วย Security Key บนมือถือ

การป้องกันการโจรกรรม Account ของเราที่นอกเหนือไปจากรหัสผ่านที่ซับซ้อน (Complex password) และต้องเปลี่ยนบ่อยๆ นั้นคือ 2FA (2 factor authentication) คือการอนุญาติให้เข้าใช้งานแบบสองระดับ และจำเป็นต้องใช้ร่วมกันกับรหัสผ่านเพื่อความปลอดภัยสูงสุดของเรา แล้วมันสำคัญอย่างไรกับเรา ลองมาอ่านบทความนี้กันครับเพื่อที่เราจะได้เพิ่มความปลอดภัยสูงสุดให้กับ Account ของเรา

ทุกวันนี้ข่าวการโดน Hack ช่อง youtube หรือ youtube channel ที่มีผู้ติดตามเป็นแสนเป็นล้านเยอะมากทั่วทุกมุมโลก เยอะจนน่ากลัวแม้ในเมืองไทยเองช่อง youtube ดังๆ ก็โดนไปหลายช่องเช่น Amarin TV  , Thairat และอีกหลายๆช่องที่ไม่ได้กล่าวถึง ถึงคราวที่เราเองต้องยกระดับความปลอดภัยให้ตัวเอง และองค์กรที่คุณรักแล้วละครับ

คงทราบว่าอยู่แล้วว่า Gmail account ที่เราใช้อยู่ทุกวันในการรับส่ง email นั้นเรียกว่า Google Account ซึ่งภายใต้ Google Account นั้นมี service มากมายที่ให้เราได้ใช้กันอย่างจุใจ ไม่ว่าจะเป็น Google Analytic, Google Drive, Search Console และอื่นๆ อีกมากมาย รวมไปถึง Youtube ของเราด้วยเหมือนกัน ดังนั้นการปกป้อง Google Account ของเราเพียงอันเดียวก็เท่ากับเราได้เพิ่มการป้องกันให้กับ Service ทั้งหลายที่เราใช้งานอยู่แบบอัตโนมัติเลยทีเดียวเป็นโชคดีของเรา

แต่ในทางกลับกันถ้า Hacker ได้ Google Account ของเราก็เท่ากับเค้าสามารถเข้ามาใช้งาน Service ของเราได้ทั้งหมด ไม่ว่าจะดึงรูปของเราไป เข้ามาอ่าน email ลับเฉพาะ หรือ เปลี่ยน Youtube Channel อันโด่งดังของเราให้กลายเป็น ช่องโฆษณา Cryptocurrency สกุลใหม่ได้ในเวลาแค่ 5 นาที

โลกที่มีแค่ Strong และ complex password ยังไม่พอ

ถ้าคุณคิดว่าแค่ complex password ที่มีความยาวมากกว่า 8 ตัวขึ้นไปผสมผสานกันระหว่าง ตัวเลข ตัวหนังสือ และอักษรพิเศษ ที่ทำให้การคาดเดามันยากขึ้นไปอีกขั้นนั้นเพียงพอแล้ว คำตอบคือยังไม่พอ ณ​ วันนี้การเดาสุ่มรหัสผ่านด้วยคนนั้นมันหมดยุคไปแล้วเหล่า Hacker มีตัวช่วยที่เรียกว่า brute force ที่จะช่วยเดารหัสผ่านของคุณและ login เข้า account ของคุณโดยอัตโนมัติ แต่การทำแบบนี้บน Google Account เป็นไปได้ยากซักหน่อยหาก password ผิดติดเกิน 3 ครั้งก็จะถูก Lock ไม่ให้เข้าถึงได้และจะมี email แจ้งเตือนไปยังผู้ใช้ว่ามีคนพยายามเข้าถึง Account ของเราอยู่ค่อยยังชั่วหน่อย

แต่อย่าพึ่งวางใจไปหากคุณใช้ Android หรือ PC และคุณเองชอบที่จะดาวโหลดโปรแกรมฟรีๆ โปรแกรมที่ไม่ได้รับอนุญาต หรือพวก Crack ware ต่างๆ โปรแกรมเหล่านั้นอาจจะฟังตัว malware ที่ร้ายแรงขนข้อมูลอันเป็นความลับของคุณออกไปให้เหล่า hacker และหนึ่งในนั้นก็อาจจะเป็น Password ที่ซับซ้อนของคุณที่เก็บเอาไว้ในเครื่องของคุณก็เป็นได้ เมื่อ Hacker ได้ข้อมูลเหล่านั้นไปก็ทำการ Login ได้อย่างง่ายดาย

หรืออีกตัวอย่างหนึ่งที่จะทำให้คุณเสียวสันหลังวาบก็คือ password ของคุณที่ใช้บน Google Account เป็น Password เดียวกันกับ Adobe Account Nintendo Account Webboard ต่างๆ Linkedin web เหล่านี้ถูก Hack เพื่อขโมย User Name Password ของคุณไปนานแล้ว ถ้าคุณไม่เคยเปลี่ยน Password ละก็อันตรายแล้วละครับ

แต่ถ้าใครอยากรู้ว่าตัวเองได้ถูก Hack User Name กับ Password ไปแล้วหรือยังให้ลองไปที่ website https://haveibeenpwned.com/ จากนั้นใส่ email ของคุณเข้าไปเพื่อตรวจสอบว่ามีข้อมูล email ของคุณอยู่ในมือ Hacker แล้วหรือยังถ้าโดนแล้วรีบเปลี่ยน Password ด่วนครับ อันตรายสุดๆ

Account โดน Hack

2FA การอนุญาตการเข้าถึงแบบ 2 ระดับคือคำตอบ

เมื่อเหล่า Hacker ได้ User Name และ Password ในมือเค้าจะบรรจง Login เข้าระบบโดยทันทีและทำการ Take over account นั้นโดยการเปลี่ยน Password และ โจรกรรมทุกอย่างที่เป็นประโยชน์ไม่ว่าจะเป็นข้อมูลใน email ที่อาจจะเก็บพวก User Name และ Password ของธนาคาร หรือ web อื่นๆที่เป็นประโยชน์ จากนั้นก็เริ่ม Take over youtube channel เปลี่ยนชื่อ Clip หรือลบclip ออก หรือ แม้กระทั่ง email ออกไปหาคนอื่นเพื่อยืมเงิน หรือ ก่อกวน สุดแล้วแต่ Hacker จะกรุณา

แต่ถ้าหากว่าการ Login ครั้งนั้นมีอะไรบางอย่างมาแจ้งคุณที่โทรศัทพ์ของคุณว่า ท่านเจ้าของ email xxxx@gmail.com คุณกำลัง Login อยู่ใช่หรือไม่ Yes , No ถ้าใช่คุณก็แค่กด Yes ถ้าไม่ใช่คุณก็กด No หรือถ้านอนอยู่ก็ไม่ได้กดมันก็จะ Time out ไป ทางฝั่ง Hacker ก็ไม่สามารถเข้าถึงได้แล้วละแบบนี้ ยกเว้นเค้าโขมยมือถือคุณไปด้วยและรู้รหัสปลดล๊อคอีกด้วย

2FA ของ Google มีหลายแบบเลือกใช้ให้มากที่สุด

เมื่อเห็นข้อดีของ 2FA แล้วก็อยากที่จะใช้แล้วซินะ แต่ทว่ามันมีให้เลือกเยอะมากเลยไม่รู้ว่าจะเลือกตัวไหนหรือตัวไหนดีที่สุด ลองมาดูกันว่าแต่ละอย่างมีข้อดีข้อเสียอะไรบ้าง

Voice or text message

Option นี้เป็น Option พื้นฐานที่ต้องมีเมื่อเริ่มต้นการทำ 2FA คือใส่ เบอร์โทรศัพท์เข้าไปเพื่อรับ OTP ยืนยันการใช้งาน ลักษณะคือการส่ง code ไปที่มือถือของท่านเพื่อยืนยันตัวตน

Google Prompt

Google Prompts

เมื่อโทรศัพท์มือถือของท่านเพิ่ม Account Gmail ลงในเครื่องและเปิดฟีเจอร์ 2FA ขึ้นจะทำให้เครื่องนั้นเป็นรับ Notification การขอนุญาต Login เข้าสู่ Google Account โดยอัตโนมัติ ถ้ามีโทรศัพท์ 3 เครื่องที่เพิ่ม Gmail Account เดียวกันลงไปก็จะขึ้นถามทั้ง 3 เครื่องเลยเครื่องไหนกดก่อนก็ได้ ข้อดีก็คือคุณสามารถกดจากที่ไหนในมุมโลกก็ได้ขอแค่มี Internet เช่นถ้าจะให้ลูกน้องคนสนิท Login เข้าตอบ email แทนคุณ ขณะที่คุณกำลังดื่มด่ำบรรยากาศสายลมแสงแดด ที่มัลดีฟ ก็สามารถกดยืนยันการขออนุญาตได้ทันที

Authentication App

Authenticator app

หากท่านไม่สะดวกในการเพิ่ม Gmail Accont ลงไปในมือถือ อาจจะเป็น IT Policy ที่ห้ามใช้ Google Account ของบริษัทบนโทรศัพท์ส่วนตัว คุณก็สามารถใช้โปรแกรม Google Authenticator เพื่อสร้างตัวเลขชุดหนึ่งที่ใช้ในการยืนยันการ Login ของท่าน

Google Authenticator
Google Authenticator App Register

โดยหลักการทำงานก็คือเมื่อคุณดาวโหลดโปรแกรม Google Authenticator มาแล้วก็ทำการ Scan QR Code ที่ google สร้างขึ้นมา

Google Authenticator App QR

จากนั้นทุกครั้งเมื่อคุณ Login Google จะถาม Code จากโปรแกรม Google Authenticator ก็เปิดโปรแกรมนี้ขึ้นมาแล้ว copy ตัวเลข 6 ตัวที่จะสร้างขึ้นมานำไปใส่ในช่องเท่านี้ก็ Login ได้แล้ว

Security Key

Authentication option นี้เป็นตัวที่อยากแนะนำมากที่สุดเนื่องจาการทำงานของเจ้าตัวนี้พิเศษมากคือจำเป็นจะต้องมี Security Key ที่เป็น Hardware หรือเรียกว่า Titan Security Key ทั้งที่เป็น USB หรือ Booth อยู่ในมือและทำการเสียบเข้าเครื่องคอมพิวเตอร์ หรือกด ยืนยันผ่านตัว Dongle ที่เป็น USB ดังนั้นการยืนยันไม่สามารถทำได้จากทางไกล จำเป็นจะต้องอยู่หน้าเครื่องเลย

Google เปิดตัว Titan Security Key พร้อมรองรับการใช้งานกับ Google Cloud –  TechTalkThai

แต่ทว่าตัว Titan Security Key ก็ไม่ใช่ถูกๆ และก็หาซื้อไม่ได้ง่ายนักในเมืองไทย ต่อมา Google ได้พัฒนาให้ใช้ Smart Phone ที่เราใช้อยู่ฝั่งตัว Security Key เพื่อเปิดใช้ Booth และ Location Service ในการยืนยันตน ซึ่งมันง่ายกว่าไปหาซื้อ Key ให้วุ่นวาย และการจัดเก็บก็ง่ายเพราะเราเองก็จะต้องพกพามือถือไปไหนมาไหนด้วยเสมอๆ ไม่เหมือน USB Key ที่ต้องใส่ในพวงกุญแจ หรือกระเป๋าถือ ก็อาจจะหายก็เป็นได้

การติดตั้ง Security Key บน Android

  • เลือกที่ 2-Step Verification
  • สำหรับผู้ที่ไม่เคยใช้งานเลยจะขึ้นหน้าจอนี้ ให้กดที่ GET STARTED แต่สำหรับผู้ที่เคยใช้งานแล้วให้ข้ามขั้นตอนนี้ไปได้เลย
  • เลือกเครื่อง Android ที่เคย Add Gmail account ของคุณ
  • ใส่หมายเลขโทรศัพท์มือถือของคุณลงไป
  • รอรับ OTP เพื่อยืนยันจากเบอร์ที่ใส่ไว้ข้างต้น
  • กด TURN ON เพิ่อเข้าใช้งาน 2-Step Verification
  • จากนั้นเลือก ADD SECURITY KEY
  • หากคุณใช้ Android ที่มี Gmail Account บนเครื่องอยู่แล้วคุณสามารถที่จะเลือก Android Device ผ่านทางหน้าจอ Choose your security key
Choose your security key

การติดตั้ง Security Key บน iOS

  • แต่หากว่าเป็น iOS จำเป็นจะต้องโหลดโปรแกรมชื่อว่า Google Smart Lock บน iOS เสียก่อน
  • จากนั้นก็กดที่ Manage Accounts
  • จากนั้นก็กดที่ Add another account
  • และใส่ User Name และ Password ของเราลงไป
  • เลือก Security Tab
  • เลือก 2-Step Verification
  • สำหรับผู้ที่ไม่เคยเปิดใช้งานเลยจะเจอหน้าจอนี้ ให้กด GET STARTED ได้เลย
  • เลือก Device ที่เจอแล้วกด CONTINUE
เลือก iOS Device
  • จากนั้นใส่หมายเลขโทรศัพท์มือถือของคุณลงไป
ใส่ OTP
  • รอรับ OTP ที่จะส่งไปที่หมายเลขที่คุณใส่ไว้ข้างต้น แล้วกด NEXT
Confirm OTP
  • เลือก ADD SECURITY KEY
Security Key
  • เลือก iOS Device ของคุณ
Choose your security key
  • เรียบร้อย
Success Security key added

มาทดสอบ Security Key กันเถอะ

เมื่อ setup เรียบร้อยแล้วขั้นตอนต่อไปคือการทดสอบ โดยการทดสอบในครั้งนี้จะต้อง ทดสอบบน Chrom แบบ incognito mode เนื่องจากไม่มีการเก็บ Cookie การ Login ของเราเอาไว้จากนั้นให้พิมพ์ mail.google.com และลอง Login ด้วย User name และ Password ที่เราทำการติดตั้งเมื่อซักครู่นี้

Chrom แบบ incognito mode
  • เมื่อทำการ Login แล้วที่เครื่องคอมพิวเตอร์ของเราจะแสดงหน้าจอการขออนุญาตและคำขออนุญาตจะถูกส่งไปยังเครื่องโทรศัพท์ที่เราเลือกเอาไว้
ขออนุญาต Login เข้าระบบ
ขออนุญาต Login เข้าระบบ
  • ที่หน้าจอมือถือของเราจะขึ้นแบบนี้ เค้าถามเราว่าคุณกำลัง Sign in ใช่หรือไม่ ถ้าใช่เราก็กด Yes
  • เมื่อกด Yes ข้อมูลก็จะถูกส่งไปให้ Google Server ว่าเราอนุญาตให้เข้าระบบได้เป็นที่เรียบร้อยแล้ว

สรุป

การยกระดับความปลอดภัยโดยการใช้ 2FA (2 Factor Authentication) หรือ Google เค้าเรียกว่า 2-Step verification เป็นสิ่งที่ต้องทำและต้องเป็นระดับความปลอดภัยขั้นพื้นฐานของทุก Account ไม่ว่าจะเป็น Google, Facebook, Linkedin และอื่นๆอีกมากมาย เราจำเป็นต้องป้องกันการเข้าถึงข้อมูลส่วนตัว และข้อมูลสำคัญอื่นๆให้มากยิ่งขึ้น ให้นึกถึงซะว่าเราคงไม่ให้รหัส ATM กับใครง่าย User Name กับ Password ก็เช่นเดียวกันเราต้องรักษาให้มีความปลอดภัยสูงสุด ส่วน Option ไหนที่ต้องเลือกบ้างสำหรับ Google Account ผมคิดว่าเลือกหลายๆอย่าง ไม่ว่าจะเป็น Google Prompt, Authentication App, Security Key เพราะว่าถ้าหาก Option อันไหนใช้งานไม่ได้ชั่วคราวเรายังสามารถที่จะเลือกอีก Option มาใช้งานได้เช่นถ้าหากไม่มี Internet บนมือถือเราจะไม่สามารถเลือกยืนยันผ่าน Google Prompt หรือ Security Key ได้ ก็สามารถเลือก Authentication App มาสร้าง Code ให้เราได้

หากสนใจบทความอื่นๆสามารถติดตามได้ที่ บทความที่น่าสนใจ