2FA คืออะไร? คู่มือการยืนยันตัวตนสองขั้นตอน

2FA คืออะไร? การยืนยันตัวตนสองขั้นตอนทำงานอย่างไร ห้าประเภทของ 2FA และวิธีเปิดใช้งานในบัญชีที่สำคัญที่สุดของคุณ

อัปเดตล่าสุด: 5 เมษายน 2569

รหัสผ่านเพียงอย่างเดียวไม่เพียงพอที่จะปกป้องบัญชีออนไลน์ของคุณ การละเมิดข้อมูลเปิดเผยข้อมูลรับรองหลายพันล้านชุดทุกปี และแม้แต่รหัสผ่านที่แข็งแกร่งก็สามารถถูกโจมตีผ่านฟิชชิ่ง keyloggers หรือการโจมตีแบบ brute-force การยืนยันตัวตนสองขั้นตอน (2FA) เพิ่มชั้นการป้องกันที่สอง — แม้ว่าจะมีคนขโมยรหัสผ่านของคุณ พวกเขาก็ไม่สามารถเข้าถึงบัญชีของคุณได้โดยไม่มีปัจจัยที่สอง คู่มือนี้อธิบายว่า 2FA คืออะไร แต่ละวิธีทำงานอย่างไร ประเภทใดปลอดภัยที่สุด และวิธีตั้งค่าในบัญชีที่สำคัญที่สุดของคุณ เป็นหนึ่งในขั้นตอนเดียวที่มีประสิทธิภาพมากที่สุดที่คุณสามารถทำได้เพื่อปกป้องชีวิตดิจิทัลของคุณ

ประเภทของการยืนยันตัวตนสองขั้นตอน

รหัส SMS

รหัสแบบใช้ครั้งเดียวจะถูกส่งไปยังหมายเลขโทรศัพท์ของคุณผ่านข้อความ คุณป้อนรหัสนี้หลังจากรหัสผ่านของคุณเพื่อทำการเข้าสู่ระบบให้เสร็จสมบูรณ์ SMS 2FA เป็นวิธีที่มีให้ใช้กันอย่างแพร่หลายที่สุด — เกือบทุกบริการรองรับและไม่จำเป็นต้องมีแอปหรือฮาร์ดแวร์เพิ่มเติม อย่างไรก็ตาม เป็นรูปแบบที่อ่อนแอที่สุดของ 2FA เนื่องจากช่องโหว่ต่อการโจมตี SIM swap (ที่ผู้โจมตีโน้มน้าวผู้ให้บริการของคุณให้โอนหมายเลขโทรศัพท์ของคุณไปยัง SIM ของพวกเขา) และการใช้ประโยชน์จากโปรโตคอล SS7 ที่สามารถดักจับข้อความได้

ข้อดี: รองรับอย่างกว้างขวาง ไม่ต้องการแอป ทำงานบนโทรศัพท์ใดก็ได้
ข้อเสีย: เปราะบางต่อ SIM swap การดักจับ SS7 และวิศวกรรมสังคมต่อผู้ให้บริการโทรศัพท์

แอปยืนยันตัวตน (TOTP)

แอป Time-based One-Time Password (TOTP) สร้างรหัส 6 หลักใหม่ทุก 30 วินาทีโดยใช้ความลับที่แชร์และเวลาปัจจุบัน แอปยอดนิยมรวมถึง Google Authenticator, Authy, Microsoft Authenticator และ Ente Auth TOTP ปลอดภัยกว่า SMS อย่างมากเนื่องจากรหัสถูกสร้างขึ้นในเครื่องบนอุปกรณ์ของคุณ — ไม่มีช่องทางการส่งสัญญาณให้ดักจับ รหัสทำงานออฟไลน์และไม่ได้ผูกกับหมายเลขโทรศัพท์ของคุณ นี่คือวิธี 2FA ที่แนะนำสำหรับคนส่วนใหญ่ ซึ่งสร้างสมดุลความปลอดภัยที่แข็งแกร่งกับความง่ายในการใช้งาน

ข้อดี: ปลอดภัย ใช้งานออฟไลน์ได้ มีแอปฟรี ไม่ผูกกับหมายเลขโทรศัพท์
ข้อเสีย: การสูญเสียอุปกรณ์โดยไม่มีรหัสสำรองจะล็อกคุณออก เว็บไซต์ฟิชชิ่งยังคงสามารถจับรหัสได้แบบเรียลไทม์

กุญแจรักษาความปลอดภัยฮาร์ดแวร์

อุปกรณ์ทางกายภาพ เช่น YubiKey, Google Titan และ SoloKeys เสียบเข้ากับพอร์ต USB ของคุณหรือแตะผ่าน NFC เพื่อยืนยันตัวตน กุญแจฮาร์ดแวร์ใช้มาตรฐาน FIDO2/WebAuthn ซึ่งต้านทานฟิชชิ่งโดยการออกแบบ — กุญแจตรวจสอบโดเมนของเว็บไซต์ด้วยการเข้ารหัสก่อนการยืนยันตัวตน ทำให้เว็บไซต์ฟิชชิ่งไม่สามารถดักจับได้ Google กำหนดให้พนักงานทุกคนใช้กุญแจฮาร์ดแวร์และรายงานว่ามีการโจมตีฟิชชิ่งที่สำเร็จเป็นศูนย์ตั้งแต่ดำเนินการ กุญแจมีราคา $25-70 และเป็นวิธี 2FA ที่ปลอดภัยที่สุดที่มีอยู่

ข้อดี: ความปลอดภัยที่แข็งแกร่งที่สุด ต้านทานฟิชชิ่ง ไม่ต้องใช้แบตเตอรี่ ทำงานออฟไลน์ ทนทาน
ข้อเสีย: ราคา $25-70 อาจสูญหายหรือลืม ไม่ใช่ทุกบริการที่รองรับ

ไบโอเมตริก

เครื่องสแกนลายนิ้วมือ (Touch ID), การจดจำใบหน้า (Face ID) และเครื่องสแกนม่านตาใช้ลักษณะทางกายภาพของคุณเป็นปัจจัยการยืนยันตัวตน ไบโอเมตริกสะดวก — คุณมีติดตัวเสมอและไม่สามารถลืมได้ พวกมันทำงานเป็นปัจจัยที่สองพร้อมรหัสผ่านในอุปกรณ์และบริการมากมาย อย่างไรก็ตาม ไบโอเมตริกไม่สามารถเปลี่ยนได้หากถูกบุกรุก (ต่างจากรหัสผ่าน) และอาจถูกบังคับโดยการบังคับใช้กฎหมายในเขตอำนาจศาลหลายแห่ง คุณภาพแตกต่างกันอย่างมากระหว่างอุปกรณ์

ข้อดี: สะดวก พร้อมใช้งานเสมอ การยืนยันตัวตนรวดเร็ว ทำซ้ำได้ยาก
ข้อเสีย: เปลี่ยนไม่ได้หากถูกบุกรุก อาจถูกบังคับตามกฎหมาย คุณภาพแตกต่างกันตามอุปกรณ์

Passkey

Passkey เป็นมาตรฐานการยืนยันตัวตนล่าสุด ออกแบบมาเพื่อแทนที่รหัสผ่านโดยสมบูรณ์ สร้างบน FIDO2/WebAuthn passkey ใช้การเข้ารหัสด้วยกุญแจสาธารณะ — อุปกรณ์ของคุณเก็บกุญแจส่วนตัวและบริการเก็บกุญแจสาธารณะที่สอดคล้องกัน การยืนยันตัวตนเกิดขึ้นผ่านไบโอเมตริกหรือ PIN ของอุปกรณ์ของคุณ โดยไม่มีรหัสผ่านให้พิมพ์ ฟิช หรือขโมย Apple, Google และ Microsoft ได้รวมการสนับสนุน passkey เข้ากับระบบปฏิบัติการของพวกเขา Passkey ซิงค์ข้ามอุปกรณ์ผ่าน iCloud Keychain, Google Password Manager หรือผู้ให้บริการอื่น โดยรวมความปลอดภัยของกุญแจฮาร์ดแวร์กับความสะดวกของไบโอเมตริก

ข้อดี: ต้านทานฟิชชิ่ง ไม่ต้องจำรหัสผ่าน ซิงค์ข้ามอุปกรณ์ รวดเร็ว
ข้อเสีย: ค่อนข้างใหม่ ยังไม่ได้รับการสนับสนุนทั่วไป ข้อกังวลเกี่ยวกับการล็อกแพลตฟอร์มด้วย passkey ที่ซิงค์

แนวปฏิบัติที่ดีที่สุดของ 2FA

เปิดใช้งาน 2FA ในบัญชีอีเมลของคุณก่อน — เป็นกุญแจหลักสำหรับบัญชีอื่นๆ ทั้งหมดของคุณ หากมีคนทำลายอีเมลของคุณ พวกเขาสามารถรีเซ็ตรหัสผ่านในทุกบริการที่เชื่อมโยงกับมัน อีเมลของคุณเป็นบัญชีเดียวที่สำคัญที่สุดที่จะปกป้องด้วย 2FA
ใช้แอปยืนยันตัวตนแทน SMS เมื่อใดก็ตามที่เป็นไปได้ แอป TOTP มีภูมิคุ้มกันต่อการโจมตี SIM swap และ SS7 หากบริการเสนอเพียง 2FA แบบ SMS ให้ใช้อยู่ดี — SMS 2FA ยังคงดีกว่าไม่มี 2FA เลยอย่างมาก
เก็บรหัสสำรองอย่างปลอดภัยและแยกต่างหาก เก็บไว้ในตัวจัดการรหัสผ่าน (อันที่แตกต่างจากที่ป้องกันโดย 2FA) พิมพ์และเก็บไว้ในตู้เซฟ หรือเขียนลงในกระดาษที่เก็บไว้อย่างปลอดภัย อย่าเก็บรหัสสำรองในบันทึกที่ไม่ได้เข้ารหัสในอุปกรณ์เดียวกับตัวยืนยันตัวตนของคุณ
พิจารณากุญแจรักษาความปลอดภัยฮาร์ดแวร์ สำหรับบัญชีที่สำคัญที่สุดของคุณ — อีเมล ธนาคาร คลาวด์สตอเรจ และตัวจัดการรหัสผ่าน YubiKey 5 NFC ($50) ทำงานกับ USB-A, USB-C และ NFC ครอบคลุมอุปกรณ์เกือบทุกชนิด ลงทะเบียนกุญแจสองอันต่อบัญชีเพื่อให้มีการสำรอง
ตรวจสอบเป็นประจำว่าบัญชีใดที่เปิดใช้งาน 2FA ใช้ตัวจัดการรหัสผ่านในการติดตาม ลำดับความสำคัญ: อีเมล บริการธนาคารและการเงิน คลาวด์สตอเรจ โซเชียลมีเดีย เว็บไซต์ช้อปปิ้งที่มีวิธีการชำระเงินที่บันทึกไว้ และบัญชีงานหรืออาชีพใดๆ

วิธีตั้งค่า 2FA

การตั้งค่า 2FA ใช้เวลาน้อยกว่าห้านาทีต่อบัญชี นี่คือกระบวนการสำหรับ 2FA แบบใช้แอปยืนยันตัวตน ซึ่งเป็นวิธีที่แนะนำสำหรับคนส่วนใหญ่:

เปิดการตั้งค่าความปลอดภัย:ไปที่การตั้งค่าความปลอดภัยของบัญชีของคุณ มองหา "Two-Factor Authentication," "2-Step Verification," หรือ "Login Security." ใน Google ไปที่ myaccount.google.com > Security > 2-Step Verification ใน Apple ไปที่ Settings > [Your Name] > Sign-In & Security
เลือกวิธี 2FA:เลือกวิธี 2FA ของคุณ เลือก "Authenticator App" เพื่อสมดุลที่ดีที่สุดระหว่างความปลอดภัยและความสะดวก ติดตั้งแอป TOTP หากคุณยังไม่มี — Google Authenticator, Authy หรือ Ente Auth ล้วนเป็นตัวเลือกที่ดี Authy และ Ente Auth เสนอการสำรองข้อมูลรหัสของคุณบนคลาวด์ที่เข้ารหัสไว้
สแกน QR code:สแกน QR code ที่แสดงบนหน้าจอด้วยแอปยืนยันตัวตนของคุณ แอปจะสร้างรหัส 6 หลักที่รีเฟรชทุก 30 วินาที ป้อนรหัสปัจจุบันเพื่อยืนยันว่าการตั้งค่าทำงานอย่างถูกต้อง
บันทึกรหัสสำรอง:บันทึกรหัสสำรองของคุณทันที บริการส่วนใหญ่ให้รหัสกู้คืนแบบใช้ครั้งเดียวที่ช่วยให้คุณกลับมาเข้าถึงได้หากสูญเสียอุปกรณ์ยืนยันตัวตน เก็บไว้ในตัวจัดการรหัสผ่าน พิมพ์ออกมา หรือเขียนลงและเก็บไว้ในที่ปลอดภัยแยกจากอุปกรณ์ของคุณ หากไม่มีรหัสสำรอง การสูญเสียโทรศัพท์อาจล็อกคุณออกจากบัญชีของคุณอย่างถาวร

คำถามที่พบบ่อย

นี่คือเหตุผลที่รหัสสำรองมีความสำคัญ เมื่อคุณตั้งค่า 2FA บริการส่วนใหญ่จะให้รหัสกู้คืน — รหัสแบบใช้ครั้งเดียวที่ข้าม 2FA ใช้หนึ่งรหัสเพื่อกลับมาเข้าถึง จากนั้นตั้งค่า 2FA ใหม่บนอุปกรณ์ใหม่ของคุณ หากคุณใช้ Authy หรือ Ente Auth รหัสของคุณจะถูกสำรองไปยังคลาวด์ที่เข้ารหัสและสามารถกู้คืนไปยังอุปกรณ์ใหม่ได้ Google Authenticator ตอนนี้รองรับการสำรองข้อมูลบนคลาวด์เช่นกัน หากคุณไม่มีรหัสสำรองและไม่มีวิธีการกู้คืน คุณจะต้องผ่านกระบวนการกู้คืนบัญชีของบริการ ซึ่งอาจใช้เวลาหลายวันหรือหลายสัปดาห์และอาจต้องมีการยืนยันตัวตน

แน่นอนใช่ แม้จะมีช่องโหว่ต่อการโจมตี SIM swap และ SS7 แต่ SMS 2FA บล็อกการโจมตีอัตโนมัติส่วนใหญ่ การวิจัยของ Google แสดงให้เห็นว่ามันหยุด 100% ของบอตอัตโนมัติและ 96% ของฟิชชิ่งจำนวนมาก โมเดลภัยคุกคามที่เป็นจริงสำหรับคนส่วนใหญ่ไม่รวม SIM swap แบบเจาะจง — นั่นเป็นความเสี่ยงหลักสำหรับเป้าหมายที่มีมูลค่าสูง เช่น ผู้ถือคริปโตและบุคคลสาธารณะ หากบริการเสนอเพียง SMS 2FA ให้เปิดใช้งาน 2FA ใดๆ ก็ดีกว่าไม่มี 2FA อย่างมาก

ไม่มีวิธี 2FA ใดที่ปลอดภัย 100% แต่ความยากลำบากแตกต่างกันมาก รหัส SMS สามารถดักจับได้ผ่าน SIM swap รหัส TOTP สามารถถูกฟิชแบบเรียลไทม์ด้วยการโจมตีที่ซับซ้อนซึ่งส่งรหัสไปยังหน้าเข้าสู่ระบบจริง อย่างไรก็ตาม กุญแจรักษาความปลอดภัยฮาร์ดแวร์ที่ใช้ FIDO2 มีการต้านทานฟิชชิ่งโดยการออกแบบ — กุญแจตรวจสอบโดเมนของเว็บไซต์ด้วยการเข้ารหัสก่อนการยืนยันตัวตน ทำให้เว็บไซต์ฟิชชิ่งไม่สามารถดักจับได้ Passkey สืบทอดการป้องกันเดียวกัน สำหรับคนส่วนใหญ่ 2FA ที่ใช้ TOTP ให้การป้องกันที่มากเกินพอต่อภัยคุกคามที่เป็นจริง

อุดมคติคือใช่ แต่ให้จัดลำดับความสำคัญเชิงกลยุทธ์ บัญชีอีเมลของคุณสำคัญที่สุด — เป็นกลไกการกู้คืนสำหรับทุกอย่างอื่น จากนั้น เปิดใช้งาน 2FA บนบริการธนาคารและการเงิน คลาวด์สตอเรจ (Google Drive, iCloud, Dropbox) โซเชียลมีเดีย บัญชีใดๆ ที่มีข้อมูลการชำระเงินที่บันทึกไว้ และตัวจัดการรหัสผ่านของคุณ บัญชีที่มีความสำคัญต่ำโดยไม่มีข้อมูลส่วนบุคคลคุณสามารถข้ามได้ แต่เป้าหมายควรเป็น 2FA ทุกที่

กุญแจรักษาความปลอดภัยฮาร์ดแวร์ (YubiKey, Google Titan) ที่ใช้มาตรฐาน FIDO2/WebAuthn เป็นรูปแบบ 2FA ที่ปลอดภัยที่สุดที่มีอยู่ พวกเขามีการต้านทานฟิชชิ่งโดยการออกแบบ ต้องการการครอบครองทางกายภาพ และไม่มีรหัสให้ดักจับหรือส่งต่อ Passkey เสนอความปลอดภัยที่คล้ายกันพร้อมความสะดวกเพิ่มเติมของการซิงค์บนคลาวด์ แอปยืนยันตัวตน TOTP เป็นตัวเลือกที่ดีที่สุดถัดไป — ปลอดภัยกว่า SMS อย่างมาก SMS เป็น 2FA ที่อ่อนแอที่สุด แต่ยังคงดีกว่าการยืนยันตัวตนด้วยรหัสผ่านเพียงอย่างเดียวมาก

ใช่ นั่นคือเจตนาในการออกแบบของพวกเขา Passkey รวมรหัสผ่านและปัจจัยที่สองเป็นขั้นตอนการยืนยันตัวตนที่ต้านทานฟิชชิ่งเพียงขั้นตอนเดียว แทนที่จะพิมพ์รหัสผ่านแล้วป้อนรหัส คุณเพียงแค่ยืนยันตัวตนด้วยไบโอเมตริกหรือ PIN ของอุปกรณ์ของคุณ การเข้ารหัส FIDO2 พื้นฐานให้ความปลอดภัยที่แข็งแกร่งกว่าการรวมกันของรหัสผ่าน + TOTP อย่างไรก็ตาม การยอมรับ passkey ยังคงเติบโต — ไม่ใช่ทุกบริการที่รองรับ ในช่วงเปลี่ยนผ่าน ให้ใช้ 2FA แบบดั้งเดิม (แอปยืนยันตัวตนหรือกุญแจฮาร์ดแวร์) ในบริการที่ยังไม่รองรับ passkey ต่อไป

2FA คืออะไร? คู่มือการยืนยันตัวตนสองขั้นตอน

ประเภทของการยืนยันตัวตนสองขั้นตอน

รหัส SMS

แอปยืนยันตัวตน (TOTP)

กุญแจรักษาความปลอดภัยฮาร์ดแวร์

ไบโอเมตริก

Passkey

แนวปฏิบัติที่ดีที่สุดของ 2FA

วิธีตั้งค่า 2FA

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นถ้าฉันสูญเสียโทรศัพท์ที่มีแอปยืนยันตัวตน?

2FA แบบ SMS ดีกว่าไม่มีเลยหรือไม่?

2FA ถูกแฮ็กได้หรือไม่?

ฉันควรใช้ 2FA ในทุกบัญชีหรือไม่?

รูปแบบ 2FA ที่ปลอดภัยที่สุดคืออะไร?

Passkey แทนที่ 2FA โดยสิ้นเชิงหรือไม่?