แนะสร้างบัญชี Google สำหรับใช้ล็อกอินโดยเฉพาะ - เปิดใช้ 2FA
.
ฟีเจอร์ “Sign in with Google” ของ Google เคยได้รับความนิยมอย่างมากในช่วงปลายทศวรรษ 2000 ถึงต้นทศวรรษ 2010 เนื่องจากช่วยให้ผู้ใช้งานสามารถเข้าสู่ระบบเว็บไซต์หรือแอปพลิเคชันต่าง ๆ ได้อย่างรวดเร็วโดยไม่ต้องสร้างบัญชีใหม่
.
อย่างไรก็ตาม ริตา เอล คูรี บรรณาธิการอาวุโสสื่อไอที Android Authority ออกมาเตือนว่า การพึ่งพาบัญชี Google เพียงบัญชีเดียวในการเข้าถึงบริการจำนวนมาก อาจก่อให้เกิดความเสี่ยงร้ายแรงในยุคปัจจุบัน
.
ริตา ให้ข้อมูลว่า หนึ่งในความเสี่ยงสำคัญคือการเกิด "จุดล้มเหลวเดียว" หรือ Single point of failure ซึ่งหมายความว่า หากบัญชี Google ถูกแฮก ถูกฟิชชิง ถูกล็อก หรือถูกระงับ ผู้ใช้อาจสูญเสียการเข้าถึงบริการทั้งหมดที่เชื่อมโยงไว้ทันที ไม่ว่าจะเป็นอีเมล ไฟล์ งานส่วนตัว หรือบริการสำคัญอื่น ๆ
.
นอกจากนี้ ยังมีภัยคุกคามรูปแบบใหม่อย่างการโจมตีแบบ Adversary-in-the-Middle (AiTM) ซึ่งสามารถหลอกผู้ใช้ผ่านหน้าเข้าสู่ระบบปลอม โดยใช้เทคนิค Reverse Proxy จำลองหน้า Gmail หรือระบบล็อกอินของ Google แบบเรียลไทม์
.
ซึ่งเมื่อผู้ใช้กรอกข้อมูลและยืนยันตัวตนผ่าน 2FA ผู้โจมตีสามารถดักจับ Session token ที่ถูกส่งกลับมา และนำไปใช้ล็อกอินบัญชีได้โดยไม่ต้องรู้รหัสผ่าน ทำให้ระบบป้องกันแบบเดิมแทบไม่เพียงพอ
.
อีกประเด็นที่ถูกตั้งคำถามคือ เรื่องความเป็นส่วนตัว โดยการใช้บัญชี Google เชื่อมต่อบริการต่าง ๆ ทำให้บริษัทสามารถรวบรวมข้อมูลพฤติกรรมผู้ใช้ได้มากขึ้น เช่น แอปฯ ที่ใช้ ความถี่ในการใช้งาน และบริบทการใช้งาน ซึ่งอาจถูกนำไปวิเคราะห์เชิงพฤติกรรม แม้จะอยู่ในรูปแบบข้อมูลรวม หรือ Anonymized
.
ริตา แนะนำว่า ผู้ใช้งานควรหลีกเลี่ยงการใช้ “Continue with Google” กับบริการสำคัญ และหันมาใช้บัญชีแยกสำหรับแต่ละบริการแทน แม้จะเพิ่มความยุ่งยาก แต่ช่วยกระจายความเสี่ยงได้ดีกว่า
.
แนวทางที่แนะนำเพิ่มเติม ได้แก่ การใช้โปรแกรมจัดการรหัสผ่าน (Password Manager) เช่น 1Password หรือ Bitwarden รวมถึงการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ในทุกบริการที่รองรับ
.
ทั้งนี้ ผู้ใช้งานบางส่วนยังพิจารณาใช้เทคโนโลยี Passkeys เป็นทางเลือกใหม่ แต่ยังคงมีข้อกังวลเรื่องการรวมการเข้าถึงไว้กับผู้ให้บริการเพียงรายเดียว
ที่มา: Android Authority
สื่อไอทีเตือน ล็อกอินผ่าน Google ทุกแพลตฟอร์ม แม้สะดวกแต่เสี่ยงเปิดช่องถูกแฮก-ข้อมูลรั่ว
.
ฟีเจอร์ “Sign in with Google” ของ Google เคยได้รับความนิยมอย่างมากในช่วงปลายทศวรรษ 2000 ถึงต้นทศวรรษ 2010 เนื่องจากช่วยให้ผู้ใช้งานสามารถเข้าสู่ระบบเว็บไซต์หรือแอปพลิเคชันต่าง ๆ ได้อย่างรวดเร็วโดยไม่ต้องสร้างบัญชีใหม่
.
อย่างไรก็ตาม ริตา เอล คูรี บรรณาธิการอาวุโสสื่อไอที Android Authority ออกมาเตือนว่า การพึ่งพาบัญชี Google เพียงบัญชีเดียวในการเข้าถึงบริการจำนวนมาก อาจก่อให้เกิดความเสี่ยงร้ายแรงในยุคปัจจุบัน
.
ริตา ให้ข้อมูลว่า หนึ่งในความเสี่ยงสำคัญคือการเกิด "จุดล้มเหลวเดียว" หรือ Single point of failure ซึ่งหมายความว่า หากบัญชี Google ถูกแฮก ถูกฟิชชิง ถูกล็อก หรือถูกระงับ ผู้ใช้อาจสูญเสียการเข้าถึงบริการทั้งหมดที่เชื่อมโยงไว้ทันที ไม่ว่าจะเป็นอีเมล ไฟล์ งานส่วนตัว หรือบริการสำคัญอื่น ๆ
.
นอกจากนี้ ยังมีภัยคุกคามรูปแบบใหม่อย่างการโจมตีแบบ Adversary-in-the-Middle (AiTM) ซึ่งสามารถหลอกผู้ใช้ผ่านหน้าเข้าสู่ระบบปลอม โดยใช้เทคนิค Reverse Proxy จำลองหน้า Gmail หรือระบบล็อกอินของ Google แบบเรียลไทม์
.
ซึ่งเมื่อผู้ใช้กรอกข้อมูลและยืนยันตัวตนผ่าน 2FA ผู้โจมตีสามารถดักจับ Session token ที่ถูกส่งกลับมา และนำไปใช้ล็อกอินบัญชีได้โดยไม่ต้องรู้รหัสผ่าน ทำให้ระบบป้องกันแบบเดิมแทบไม่เพียงพอ
.
อีกประเด็นที่ถูกตั้งคำถามคือ เรื่องความเป็นส่วนตัว โดยการใช้บัญชี Google เชื่อมต่อบริการต่าง ๆ ทำให้บริษัทสามารถรวบรวมข้อมูลพฤติกรรมผู้ใช้ได้มากขึ้น เช่น แอปฯ ที่ใช้ ความถี่ในการใช้งาน และบริบทการใช้งาน ซึ่งอาจถูกนำไปวิเคราะห์เชิงพฤติกรรม แม้จะอยู่ในรูปแบบข้อมูลรวม หรือ Anonymized
.
ริตา แนะนำว่า ผู้ใช้งานควรหลีกเลี่ยงการใช้ “Continue with Google” กับบริการสำคัญ และหันมาใช้บัญชีแยกสำหรับแต่ละบริการแทน แม้จะเพิ่มความยุ่งยาก แต่ช่วยกระจายความเสี่ยงได้ดีกว่า
.
แนวทางที่แนะนำเพิ่มเติม ได้แก่ การใช้โปรแกรมจัดการรหัสผ่าน (Password Manager) เช่น 1Password หรือ Bitwarden รวมถึงการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) ในทุกบริการที่รองรับ
.
ทั้งนี้ ผู้ใช้งานบางส่วนยังพิจารณาใช้เทคโนโลยี Passkeys เป็นทางเลือกใหม่ แต่ยังคงมีข้อกังวลเรื่องการรวมการเข้าถึงไว้กับผู้ให้บริการเพียงรายเดียว
ที่มา: Android Authority