ชีวิตคนเราคงผูกกับบัญชี Gmail และ Google Account มากขึ้นเรื่อยๆ เพราะเวลากรอกอีเมลในบัญชีของบริการอื่นๆ (เพื่อไว้รีเซ็ตรหัสผ่าน) คนแถวนี้คงใช้ Gmail กัน ดังนั้นถ้า Gmail หลุดหรือโดนแฮ็กทีคงเป็นเรื่องใหญ่ของชีวิต
ถึงแม้กูเกิลจะมีระบบรักษาความปลอดภัยช่วยป้องกันคนอื่นมาแฮ็กบัญชีอยู่บ้าง เช่น แจ้งเตือนในกรณีมีการล็อกอินจากสถานที่แปลกๆ ที่ไม่คุ้นเคย แต่เพื่อความปลอดภัยเต็มขั้น วิธีที่เหมาะสมกว่าคือการเปิดใช้ระบบล็อกอินสองชั้น (2-Step Verification) แบบเดียวกับบริการธนาคารออนไลน์ที่ต้องยืนยันตัวตนด้วยรหัสผ่านและ OTP
บริการ 2-Step Verification ของกูเกิลจะค่อนข้างซับซ้อนเล็กน้อย บทความนี้จึงนำเสนอ howto ของการเปิดใช้ 2-Step Verification สำหรับบัญชีกูเกิลครับ
เปิดใช้ 2-Step ครั้งแรก
แรกสุดเลยให้เราเข้าไปยังหน้าอธิบาย 2-Step Verification ก่อน จะมีคำอธิบายดังภาพ (หน้าตาอาจต่างไปตามกาลเวลา) แต่ที่สำคัญให้กดปุ่ม Start Setup หรือ Get Started เพื่อเริ่มกระบวนการเปิดใช้ฟีเจอร์ความปลอดภัยนี้
หรือถ้าเราอยู่ในหน้า Settings ของ Google Account ก็เข้าไปที่ Security --> Password จะเห็นตัวเลือกให้ Setup 2-step verification กดแล้วก็จะมาเจอหน้าเดียวกัน
ครั้งแรกที่เราเปิดใช้ 2-step เราจะต้องยืนยันตัวตนด้วย SMS OTP ก่อน ก็กรอกเบอร์มือถือของเราลงไปครับ (เลือกประเทศเป็นธงไทย แล้วใส่เบอร์ 08x ได้เลย ไม่ต้องใส่รหัสประเทศ)
เมื่อได้รับโค้ด 6 หลักจาก SMS แล้วก็กรอกคืนไปในหน้าเว็บว่าเป็นตัวเราจริงๆ อันนี้ตรงไปตรงมา
ขั้นที่สาม กูเกิลจะถามว่าคอมพิวเตอร์ที่เราใช้อยู่ ณ ตอนนั้นเป็นคอมพิวเตอร์ที่เชื่อถือได้หรือไหม ถ้าเป็นคอมพิวเตอร์ของเราเอง ไม่ใช้งานร่วมกับใคร สามารถเลือกให้ Trust this computer ได้ เพื่อว่าเราจะได้ไม่ต้องยืนยันตัวตนสองชั้นให้รำคาญบนคอมพิวเตอร์เครื่องนี้
แต่ถ้าใครใช้คอมที่อื่น (เช่น ร้านเน็ต มหาลัย) ก็เอาติ๊กออกนะครับเพื่อความปลอดภัยที่สูงขึ้นของตัวคุณเอง
นอกจากนี้ กูเกิลอาจให้เราใส่เบอร์โทรสำรอง กรณีว่าเบอร์โทรหลักเรามีปัญหา (เช่น มือถือถูกขโมย) เพื่อเป็นทางเลือกยามฉุกเฉินไว้ได้ เราอาจใส่เบอร์อื่น (ถ้ามี) หรือเบอร์ของคนสนิทได้ครับ (ใส่ทีหลังได้ถ้าขี้เกียจ)
[Optional] อะไรคือ App-specific Password
ในบางครั้ง กูเกิลอาจถามเราว่าคุณต้องการจะ Reconnect แอพเก่าหรือไม่ อันนี้จะชวนให้งงเล็กน้อย คำอธิบายมีดังนี้ครับ
บางครั้งบางกรณี เราอาจใช้บัญชี Google กับบริการนอกค่ายบางตัว เช่น Microsoft Outlook, แอพ Mail บน iPad, แอพ Mail.app บนแมค เพื่อดึงข้อมูลอีเมลหรือปฏิทินจากบัญชี Google อีกทีหนึ่ง
บริการหรือโปรแกรมนอกค่ายพวกนี้มักไม่รองรับ 2-step แบบใส่โค้ด 6 ตัวโดยตรง ทางออกของกูเกิลคือการให้เราตั้งรหัสผ่านอันที่สอง ที่เรียกว่า app-specific password นั่นเอง (ถ้าเราไม่ได้ใช้แอพดังกล่าว ก็ไม่ต้องต้องก็ได้)
รหัสผ่านนี้จะใช้ครั้งแรกครั้งเดียว หลังจากที่เราเปลี่ยนมาใช้ระบบ 2-step แล้ว แอพจะบอกว่ารหัสผ่านเก่าผิดนะ ให้เราใส่รหัสผ่านอันใหม่นี้ลงไปเพื่อยืนยันตัวตนว่าเรายังเป็นคนเดิม
ขั้นตอนคือกรอกชื่อบริการที่เราใช้งาน (เอาไว้ให้เราจำได้เอง) แล้วกด Generate Password ดังภาพ
กูเกิลจะสุ่มรหัสผ่านมาให้ เราก็มีหน้าที่เอารหัสชุดนี้ไปกรอกในแอพดังกล่าวครับ (ถ้าไม่ขอตอนแรก สามารถไปขอทีหลังได้นะ)
ตั้งค่า 2-Step Verification
เมื่อเราตั้งค่า 2-Step Verification ครั้งแรกสุดเรียบร้อยแล้ว เราจะพบกับหน้าจอตั้งค่าดังภาพ (หน้านี้สามารถเข้าได้จากลิงก์ 2-Step Verification )
หน้าจอนี้มี 3 แท็บด้วยกัน
- Verification codes คือวิธีการยืนยันตัวตนของเราเวลาล็อกอินบริการต่างๆ ของกูเกิล
- App-specific passwords กล่าวไปแล้วในหัวข้อที่แล้ว
- Registered computers คือการเพิ่มหรือลบคอมพิวเตอร์ที่เราเชื่อใจ (ตามที่กล่าวไปแล้ว)
มาดูหน้าจอแรกกันก่อนนะครับ นี่คือประเด็นหลักที่เราต้องสนใจ เพราะเป็นการกำหนดว่าเราจะล็อกอินสองชั้นได้อย่างไร
ดูตรงช่อง Primary วิธีการยืนยันตัวตนของเราสามารถมีได้ 2 แบบหลักๆ คือ
- ยืนยันผ่าน SMS ตามเบอร์โทรศัพท์ที่กรอกไว้ อันนี้ตรงไปตรงมาเหมือนกับการยืนยัน OTP ของธนาคารออนไลน์ในบ้านเรา คือล็อกอินตามปกติ ถ้ากูเกิลไม่เชื่อเราว่าเป็นตัวจริง (โดยพิจารณาจากปัจจัยต่างๆ เช่น สถานที่ คอมที่ใช้ หรือถ้ากรอกรหัสผ่านผิดหลายรอบ) ก็จะส่งโค้ดมาทาง SMS ให้เรากรอกยืนยันตัวตน
- การส่ง SMS บางครั้งอาจไม่สะดวกนัก กูเกิลมีทางเลือกคือ แอพที่ติดตั้งในสมาร์ทโฟนของเรา โดยมันจะคอยสุ่มรหัสส่วนตัวของเราให้ไปกรอกในหน้าเว็บของกูเกิลแทนการรับโค้ด OTP
เราไม่สามารถใช้งานทั้งสองวิธีการได้พร้อมกัน ต้องเลือกทางใดทางหนึ่ง ซึ่งเท่าที่ใช้งานมาผมพบว่าการใช้แอพนั้นสะดวกกว่ามาก ดังนั้นแนะนำให้กด Switch to app เพื่อเปลี่ยนวิธีการยืนยันตัวตนเป็นแอพแทนครับ
แอพ Google Authenticator
แอพช่วยสุ่มโค้ดของกูเกิลมีชื่อว่า Google Authenticatorปัจจุบันมีให้ดาวน์โหลดบน 3 แพลตฟอร์มคือ Android, iOS, BlackBerry โหลดได้จาก Store ตามปกติ
หมายเหตุ:สำหรับคนที่ใช้แพลตฟอร์มอื่นๆ สามารถใช้งานแอพของนักพัฒนาภายนอกแทนได้ (ต้องระวังเรื่องความปลอดภัยของตัวแอพกันเองด้วย) รายชื่อดูได้จาก Wikipedia
เมื่อเราเลือกแพลตฟอร์มที่ต้องการใช้งานแอพแล้ว กูเกิลจะขึ้นลิงก์ให้ดาวน์โหลดแอพ และขึ้น Barcode ให้เรา
เราต้องดาวน์โหลดแอพก่อน เมื่อดาวน์โหลดและติดตั้งเสร็จ เปิดแอพขึ้นมาครั้งแรกมันจะถามหา Barcode เราก็เอากล้อง (ในตัวแอพ) ไปส่อง Barcode อันนี้ จะได้โค้ดยืนยันตัวตนมากรอกในหน้าเว็บ ตามภาพ
การใช้งานจริง ยืนยันตัวตนด้วยแอพอย่างไร
ถ้าเราล็อกอิน Google จากหน้าใดๆ ก็ตาม ป้อนรหัสผ่านแล้วกูเกิลเกิดไม่เชื่อใจเรา เราจะพบกับหน้าจอให้ใส่โค้ดยืนยันตัวตนดังภาพ
สิ่งที่เราต้องทำคือลุกไปหยิบมือถือ เปิดแอพ Google Authenticator ขึ้นมา แล้วใส่โค้ด 6 หลัก (ที่จะเปลี่ยนไปเรื่อยๆ) แค่นี้ก็เรียบร้อย
การกำหนดเบอร์สำรอง-รหัสผ่านสำรอง
ในหน้าจอหลักของเว็บ 2-Step Verification กูเกิลยังมี "ทางเลือกสำรอง" (Backup Options) ให้เราอีก 2 ทาง กรณีที่เราไม่สามารถล็อกอินได้ทั้งผ่าน SMS หรือแอพ
วิธีแรกคือให้ใส่เบอร์โทรสำรอง ตามที่กล่าวไปแล้วข้างต้น คงไม่ต้องกล่าวซ้ำอีกเช่นกันนะครับ
วิธีที่สองคือ กูเกิลจะสุ่มรหัสผ่านมาให้เรา (แบบเดียวกับที่จะได้จากโค้ดหรือแอพ) มาทั้งหมด 10 ชุด ให้เรา print หรือจดแล้วพกติดตัวไว้ (เช่น ซุกในกระเป๋าเงิน) ถ้ามีปัญหาล็อกอินไม่ผ่าน (เช่น มือถือหาย ติดต่อใครไม่ได้) จะได้สามารถควักขึ้นมาเพื่อเข้าใช้บริการได้
รหัสสำรองเหล่านี้ใช้งานได้ครั้งเดียวเท่านั้นนะครับ เอาไว้สำหรับกรณีฉุกเฉินจริงๆ
หน้าจออื่นๆ
ส่วนอีก 2 แท็บที่เหลือ (ซึ่งเป็นความสามารถเสริม) ก็มีรายละเอียดตามนี้ครับ
แท็บ App-specific passwords
มีรายละเอียดบอกว่ามันเอาไว้ทำอะไรอย่างไร พร้อมปุ่มให้กด Manage รหัสผ่านชุดนี้ กดแล้วก็จะเข้าหน้าจอเดียวกับหัวข้อข้างบน คงไม่ต้องอธิบายซ้ำนะครับ
แท็บ Registered Computers
จะบอกว่าคอมพิวเตอร์เครื่องนี้ถือเป็นคอมที่เราเชื่อถือได้หรือไม่ และจะสั่งถอนความเชื่อถือของมันหรือเปล่า รวมทั้งสามารถดูรายชื่อคอมพิวเตอร์ที่เชื่อถือได้เครื่องอื่นๆ ด้วย
สรุป
การเปิดใช้ระบบล็อกอิน 2 ชั้นของกูเกิลจะชวนสับสนอยู่บ้างในครั้งแรก แต่ถ้าตั้งค่าเรียบร้อยแล้วก็ไม่มีอะไรยาก เพราะเราก็แค่หยิบมือถือขึ้นมาเปิดแอพยืนยันตัวตน (นานๆ ครั้งทำที เพราะกูเกิลจะจำได้ว่าเราเป็นคนเดิม ถ้าล็อกอินจากคอมเครื่องเดิม สถานที่เดิม) แต่ความปลอดภัยที่เพิ่มขึ้นนั้นมีสูงมาก
เมื่อก่อนนี้ แอพต่างๆ ของกูเกิลเองยังไม่ค่อยรองรับระบบการล็อกอิน 2 ชั้นเท่าไรนัก การใช้งานจะยุ่งยากกว่านี้มาก แต่ปัจจุบันแอพเกือบทุกตัวของกูเกิลเอง (เท่าที่ทดสอบมา) ใช้งานได้ทั้งหมด ดังนั้นก็ขอแนะนำให้ทุกคนเปิดใช้งานฟีเจอร์นี้เพื่อความปลอดภัยที่ดีขึ้นครับ
คุณพระ เยอะมาก ยากทั้งเรา ยากทั้งโจร
Windows phone ใช้แอพของ Microsoft ที่ชื่อ Authenticator ได้ครับ (ผมใช้งานอยู่)
เสริมนิด Backup Options อีกทางนะครับ ถ้าอยากให้มีเครื่องที่สร้างรหัสได้อีกเครื่องเป็นเครื่องสำรอง
สามารถเอามือถือเครื่องสำรอง มาลง Google Authenticator แล้วถ่ายรูป Barcode ได้เลยครับ แล้วก็สั่ง Settings > Time correction for codes เพื่อซิงค์เวลา เท่านี้ เครื่องสำรองนี้ก็สามารถสร้างรหัสผ่านได้เหมือนกันกับเครื่องหลักเลยครับ
แต่ก็มีความเสี่ยงอยู่บ้าง เพราะมีคนรู้รหัสผ่านเราแล้วและได้มือถือสำรองนี้ไป ก็จะสามารถล็อกอินได้ทันทีครับ
คือ ผมเคยใช้วิธีพิมพ์รหัสผ่านฉุกเฉินไว้ในกระเป๋าเงิน แต่อาจจะเก็บไม่ดี มันเน่าง่ายไปหน่อย
ผมก็ใช้สองเครื่องครับ กันเหนียว
ผมใช้ Authy อยู่อันนี้ก็ใช้ดีครับ มีรหัสล็อคอีกชั้นก็เพื่อนที่มาของยืมโทรศัพท์เล่นบ่อยๆ แล้วจำ pattern ได้ แล้วแอบเอารหัสผ่านไปเปิดเมล์ได้ + Cloudflare ก็ใช้ Authy ครับ
เปิดแล๊ววว ว่าแต่เมื่อไหร่ Blognone จะมี 2step มั่งล่ะครับ #ห๊ะ
@ Virusfowl
I'm not a dev. not yet a user.
ขอบคุณมมกครับ จะได้เอาไว้ใช้ให้คนที่อยากทำ ได้ลองอ่านดู ขี้เกียขอธิบายเอง