การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง (อังกฤษ: multi-factor authentication ตัวย่อ MFA เอ็มเอ็ฟเอ), การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (อังกฤษ: two-factor authentication ตัวย่อ 2FA) และคำทำนองเดียวกันอื่น ๆ เป็นการพิสูจน์ตัวผู้ใช้ทางอิเล็กทรอนิกส์เพื่อลงชื่อเข้าใช้บัญชีทางเว็บไซต์หรือทางแอป ซึ่งผู้ใช้ต้องให้หลักฐานหรือปัจจัยสองอย่างหรือยิ่งกว่าแก่กลไกการพิสูจน์ตัวผู้ใช้ เอ็มเอ็ฟเอจะช่วยรักษาความปลอดภัยของข้อมูลส่วนตัว ซึ่งอาจรวมข้อมูลที่ระบุตัวบุคคลได้หรือทรัพย์สินทางการเงิน ไม่ให้บุคคลที่สามเข้าถึงได้ เปรียบเทียบกับเมื่อใช้ปัจจัยเดียว เช่น รหัสผ่าน ที่อาจจะป้องกันไม่ได้
แอปออเทนทิเคเตอร์จากบริษัท/บุคคลที่สามมักใช้เป็นปัจจัยที่สองเพื่อพิสูจน์ตัวจริง แอปปกติจะแสดงเลขสุ่มที่เปลี่ยนไปเรื่อย ๆ ที่ผู้ใช้จะลงบันทึกในระบบเพื่อพิสูจน์ตน
ปัจจัยต่าง ๆ
การพิสูจน์ตัวผู้ใช้จะเริ่มเมื่อพยายามจะลงชื่อเข้าใช้บัญชีคอมพิวเตอร์ (เช่น เครือข่ายคอมพิวเตอร์ อุปกรณ์ หรือแอป) ซึ่งอาจกำหนดให้ระบุข้อมูลบุคคลที่บริการนั้นรู้จัก บวกกับข้อมูลพิสูจน์ว่าเป็นผู้ใช้นั้นจริง ๆ ข้อมูลพิสูจน์ธรรมดาจะมีแค่ปัจจัยเดียว ซึ่งทั่วไปก็คือรหัสผ่าน แต่เพื่อเพิ่มความปลอดภัย บริการนั้นอาจบังคับให้มีปัจจัยยิ่งกว่าหนึ่งอย่าง เพื่อพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง หรือด้วยสองอย่างถ้าต้องให้หลักฐานสองอย่าง
การใช้ปัจจัยหลายอย่างเพื่อพิสูจนตัวมีแนวคิดว่า ผู้ไม่ได้รับอนุญาตไม่น่าจะแสดงปัจจัยต่าง ๆ ที่ใช้เพื่อลงชื่อเข้าบัญชีได้ เพราะถึงแม้จะมีปัจจัยหนึ่งอย่าง แต่ถ้าไม่มีปัจจัยที่เหลือ ก็ยังไม่สามารถเข้าบัญชีที่ป้องกันความปลอดภัยด้วยวิธีนี้ได้ ปัจจัยที่ใช้อาจรวม
- สิ่งที่ผู้ใช้มี คือสิ่งของที่ผู้ใช้มี เช่น โทเค็นความปลอดภัย (security token เช่น ยูเอสบีแฟลชไดรฟ์) บัตรเอทีเอ็ม หรือกุญแจความปลอดภัย (security hardware key)
- สิ่งที่ผู้ใช้รู้ คืออะไรบางอย่างที่ผู้ใช้เท่านั้นรู้ เช่น รหัสผ่าน, รหัส PIN
- สิ่งที่ผู้ใช้เป็น คือลักษณะทางชีวมิติของผู้ใช้ เช่น ลายนิ้วมือ ลายม่านตา เสียงพูด ลักษณะการพิมพ์คีย์บอร์ด
ตัวอย่างของการพิสูจน์ผู้ใช้ด้วยปัจจัยสองอย่างก็คือการถอนเงินจากตู้เอทีเอ็ม ต่อเมื่อมีทั้งบัตรเอทีเอ็มที่ถูกต้อง (สิ่งที่ผู้ใช้มี) และรหัส PIN (สิ่งที่ผู้ใช้รู้) จึงจะสามารถทำธุรกรรมได้ ตัวอย่างอื่น ๆ ที่บูรณาการความปลอดภัยการใช้รหัสผ่านก็คือ รหัสผ่านใช้ครั้งเดียว (OTP, one-time password) หรือเลขรหัสที่แอปออเทนทิเคเทอร์ได้รับหรือระบุ (เช่นที่พบในโทเค็นความปลอดภัยหรือสมาร์ทโฟน) ซึ่งเป็นวัตถุที่ผู้ใช้เท่านั้นมี
ส่วนแอปออเทนทิเคเทอร์ของบริษัท/บุคคลที่สามปกติจะแสดงเลขรหัสสุ่มที่เปลี่ยนไปเรื่อย ๆ โดยไม่ได้ส่งมาทางข้อความเอสเอ็มเอสหรือวิธีอื่น ๆ และผู้ใช้สามารถลงบันทึกเลขนั้นเพื่อพิสูจน์ตัวได้ ข้อดียิ่งของแอปชนิดนี้ก็คือทำงานได้โดยไม่ต้องมีอินเทอร์เน็ต ตัวอย่างแอปรวมทั้ง Google Authenticator, Authy และ Microsoft Authenticator ตัวจัดการรหัสผ่านบางแอป เช่น บิตวอร์เดน ก็มีบริการนี้เช่นกัน
สิ่งที่รู้
สิ่งที่รู้ก็สามารถเป็นปัจจัยเพื่อพิสูจน์ผู้ใช้เช่นกัน คือต้องรู้ความลับอะไรบางอย่างเป็นการพิสูจน์
รหัสผ่านเป็นคำลับหรือเป็นชุดอักษรที่ใช้พิสูจน์ตัวจริงได้ นี่เป็นปัจจัยพิสูจน์ตนที่มีใช้อย่างสามัญที่สุด การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างอาจใช้รหัสลับเป็นปัจจัยอย่างหนึ่งเพื่อพิสูจน์ รหัสผ่านแบบยาวรูปแบบหนึ่งก็คือการใช้คำหลาย ๆ คำหรือพาสเฟรซ หรือรูปแบบสั้นอย่างหนึ่งก็คือรหัสเป็นเลขล้วนเช่น รหัส PIN ซึ่งใช้กับเครื่องเอทีเอ็ม ทั่วไปแล้ว ผู้ใช้จะต้องจำรหัสผ่าน แต่ก็อาจเขียนไว้ในกระดาษหรือไฟล์ที่ซ่อนไว้
สิ่งที่มี
ปัจจัยคือสิ่งที่ผู้ใช้มี ได้ใช้เป็นเครื่องพิสูจน์ตนเป็นศตวรรษ ๆ แล้ว ในรูปแบบของลูกกุญแจที่ใช้ไขตัวกุญแจ หลักก็คือลูกกุญแจจะมีความลับร่วมกันกับตัวกุญแจ เป็นหลักเดียวกันที่ใช้พิสูจน์ตัวผู้ใช้ในระบบคอมพิวเตอร์ โทเค็นความปลอดภัย (security token ในภาพ) เป็นตัวอย่างปัจจัยคือสิ่งที่มี
โทเค็นแบบไม่เชื่อม (disconnected token) เป็นโทเค็นความปลอดภัยที่ไม่ต่อกับระบบรับบริการ ปกติจะมีจอในตัวเพื่อแสดงเลขสรหัสพิสูจน์ผู้ใช้ที่สร้างขึ้น โดยผู้ใช้จะลงบันทึกรหัสในระบบรับบริการ โทเค็นชนิดนี้มักแสดง OTP คือรหัสผ่านที่ใช้ได้ครั้งเดียว
โทเค็นแบบเชื่อม (connected token) เป็นอุปกรณ์ที่ต้องต่อกับคอมพิวเตอร์เมื่อใช้การ โดยโทเค็นจะเป็นตัวส่งข้อมูลเอง ผู้ใช้ไม่ต้องลงบันทึกรหัสใด ๆ มีโทเค็นรูปแบบอื่น ๆ อีกรวมทั้ง โทเค็นยูเอสบี สมาร์ตการ์ด และแบบคลื่นวิทยุ เริ่มตั้งแต่ปี 2015 เว็บบราวเซอร์หลัก ๆ ได้เริ่มสนับสนุนมาตรฐานโทเค็น WebAuthn ซึ่งโปรโหมตโดยสมาคมไฟโดอัลไลอานซ์ (FIDO Alliance) และเวิลด์ไวด์เว็บคอนซอร์เทียม (W3C)
อนึ่ง โทเค็นแบบซอฟต์แวร์ ก็ใช้พิสูจน์ตัวผู้ใช้ด้วยปัจจัย 2 อย่างได้เหมือนกัน โดยข้อมูลลับที่ใช้สร้างโทเค็นจะเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์ทั่วไป เช่น คอมพิวเตอร์แบบตั้งโต๊ะ แล็ปท็อป โทรศัพท์เคลื่อนที่ หรือสมาร์ทโฟน ดังนั้น อาจถูกก๊อปเอาไปได้ นี่เทียบกับโทเค็นแบบฮาร์ดแวร์ซึ่งเก็บความลับไว้ในอุปกรณ์โดยเฉพาะ ๆ และดังนั้น จึงก๊อปข้อมูลลับเอาไปไม่ได้ ยกเว้นจะเปิดทำลายอุปกรณ์เพื่อก๊อปข้อมูล
การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างก็ใช้รักษาความปลอดภัยทั่วไปได้เช่นกัน ซึ่งปกติมักเอาสิ่งที่ผู้ใช้มี เช่น การ์ดกุญแจ และสิ่งที่ผู้ใช้เป็น เช่น ลักษณะใบหน้า หรือม่านตา ตัวอย่างการใช้อย่างหนึ่งก็คือเอาไว้เปิดประตูที่ล็อกไม่ให้คนอื่นเข้า
สิ่งที่เป็น
ปัจจัยนี้เป็นสิ่งที่ผู้ใช้มีหรือเป็นตามธรรมชาติ ซึ่งปกติก็คือลักษณะทางชีวมิติรวมทั้งลายนิ้วมือ ใบหน้า เสียงพูด หรือลายม่านตา พฤติกรรมที่มีลักษณะเฉพาะ ๆ เช่น ลักษณะการพิมพ์คีย์บอร์ด ก็อาจใช้ได้เหมือนกัน
ตำแหน่งที่ตั้ง
ตำแหน่งที่อยู่ของผู้ใช้ปัจจุบัน ก็ใช้เป็นปัจจัยพิสูจน์ตัวจริงเพิ่มขึ้นเรื่อย ๆ เช่น เมื่อกำลังใช้เครือข่ายคอมพิวเตอร์ของบริษัทอยู่ ผู้ใช้อาจสามารถลงชื่อเข้าใช้ด้วยเพียงแค่รหัส PIN แต่ถ้าใช้เครือข่ายอื่นอยู่ ก็อาจต้องใส่โค๊ดจากโทเค็นซอฟต์แวร์เพิ่มขึ้นอีกด้วย นี่อาจเป็นส่วนของมาตรฐานที่บริษัท/องค์กรต้องประพฤติตามในการเข้าถึงทรัพยากรต่าง ๆ ที่ควบคุมการเข้าถึง[]
โทรศัพท์เคลื่อนที่
การพิสูจน์ตัวผู้ใช้ด้วยข้อความโทรศัพท์เริ่มขึ้นตั้งแต่ปี 1996 เมื่อบริษัทเอทีแอนด์ทีระบุระบบที่อนุญาตให้ทำธุรกรรมโดยอาศัยโค๊ดที่ส่งไปยังวิทยุติดตามตัว
ระบบพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างมักจะอนุญาตให้ใช้โทรศัพท์เคลื่อนที่เป็นปัจจัยด้วย วิธีที่ใช้รวมการส่งคำขออนุญาตด้วยแอป (push-based) การส่งรหัสคิวอาร์ การใช้รหัสที่ใช้ครั้งเดียว (OTP ซึ่งใช้ได้อย่างจำกัดเวลา) และการส่งโค๊ดทางข้อความเอสเอ็มเอส
การใช้โทรศัพท์เป็นปัจจัยมีปัญหาความปลอดภัย เพราะข้อมูลที่กำหนดเบอร์โทรศัพท์ก็สามารถก๊อปได้ ข้อความเอสเอ็มเอสจึงอาจจัดให้ส่งไปที่โทรศัพท์อื่นได้ แอปที่ใช้รับรหัสก็สามารถมีได้ในอุปกรณ์อื่น ๆ ช่างที่ซ่อมโทรศัพท์ก็สามารถเข้าดูข้อความในโทรศัพท์ได้ ดังนั้น รวม ๆ แล้ว โทรศัพท์จึงยังไม่ค่อยปลอดภัย เพราะไม่ใช่อะไรที่ผู้ใช้เท่านั้นมี
นี่เทียบกับข้อเสียของการพิสูจน์ตัวผู้ใช้โดยสิ่งที่มีโดยเฉพาะ ๆ ซึ่งก็คือ ผู้ใช้ต้องถือเอาโทเค็นที่เป็นวัตถุไปด้วยอยู่ตลอดเวลา ไม่ว่าจะเป็นอุปกรณ์ยูเอสบี บัตรธนาคาร หรือกุญแจอะไรบางอย่าง ซึ่งก็อาจหายหรือถูกขโมยได้ อนึ่ง องค์กรหลายแห่งห้ามการถืออุปกรณ์อิเล็กทรอนิกส์หรืออุปกรณ์ยูเอสบีเข้าหรือออกจากอาคารเพราะกลัวมัลแวร์หรือถูกขโมยข้อมูล เหมือนกับที่เครื่องมืออุปกรณ์อันสำคัญที่สุดจะไม่มีช่องยูเอสบี อีกอย่างหนึ่ง โทเค็นฮาร์ดแวร์แบบเฉพาะ ๆ ยังขยายใช้ได้ไม่ง่าย เพราะปกติจะต้องใช้โทเค็นอันหนึ่งต่อบัญชีต่อระบบ การแจกและการต้องเปลี่ยนโทเค็นแบบนี้ยังมีค่าใช้จ่ายเพิ่ม ดังนั้น ความขัดแย้งระหว่างการใช้ง่ายกับความปลอดภัยจึงเป็นปัญหาที่เลี่ยงไม่ได้
การพิสูจน์ตัวจริงด้วยปัจจัยที่สองโดยใช้โทรศัพท์เคลื่อนที่หรือสมาร์ทโฟน เป็นทางเลือกของการใช้อุปกรณ์เฉพาะอย่าง เพื่อจะพิสูจน์ตน ผู้ใช้สามารถใช้ข้อมูลลับส่วนตัวสำหรับอุปกรณ์นั้น (เป็นสิ่งที่ผู้ใช้เท่านั้นรู้) บวกกับรหัสใช้ครั้งเดียวที่สร้างขึ้นเรื่อย ๆ โดยปกติเป็นเลขรหัส 4-6 ตัว เลขรหัสอาจส่งไปที่โทรศัพท์ ผ่านข้อความเอสเอ็มเอส หรืออาจสร้างขึ้นโดยแอปที่สร้างรหัสใช้ครั้งเดียว ข้อดีก็คือไม่ต้องมีอุปกรณ์โทเค็นโดยเฉพาะ ๆ เพราะผู้ใช้ปกติก็มีมือถือติดตัวอยู่แล้ว
แม้การพิสูจน์ด้วยเอสเอ็มเอสจะเป็นที่นิยม แต่ก็มักจะถูกวิจารณ์ในด้านปัญหาความปลอดภัย ในเดือนกรกฎาคม 2016 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้ร่างแนวทางปฏิบัติที่เสนอให้เลิกใช้ข้อความเอสเอ็มเอสเป็นเครื่องพิสูจน์ตัวจริง แต่อีกปีต่อมา สถาบันก็กลับระบุเป็นวิธีพิสูจน์ตนได้เหมือนเดิม
บริษัทกูเกิลในปี 2016 และบริษัทแอปเปิลในปี 2017 ได้เริ่มให้ผู้ใช้พิสูจน์ตนด้วยข้อความเตือนแบบ push notification โดยใช้เป็นทางเลือกอย่างหนึ่งของปัจจัยที่สอง
ความปลอดภัยของโทเค็นที่อาศัยโทรศัพท์เคลื่อนที่จะขึ้นอยู่กับการรักษาความปลอดภัยของผู้ใช้โทรศัพท์ โดยยังรั่วได้ง่ายเนื่องกับการดักฟังหรือการลอกซิมที่องค์กรความมั่นคงของชาติต่าง ๆ อาจจะทำ
- ข้อดี
- ไม่ต้องมีอุปกรณ์ต่างหาก ๆ เพราะใช้มือถือที่ติดตัวผู้ใช้อยู่ตลอด
- เพราะรหัสเปลี่ยนไปเรื่อย ๆ จึงปลอดภัยกว่าข้อมูลนิ่งที่นำไปลงชื่อใช้
- เพราะรหัสเปลี่ยนไปเรื่อย ๆ รหัสที่สร้างขึ้นแต่ผู้ใช้ไม่ได้รับเพราะปัญหาการส่งการรับ จะไม่ขัดการลงชื่อใช้ในครั้งต่อ ๆ ไป
- ข้อเสีย
- ผู้ใช้ยังไม่พ้นปัญหาฟิชชิง เพราะคนร้ายอาจส่งข้อความเอสเอ็มเอสอันมีลิงก์ไปยังผู้ใช้โดยลิงก์ไปยังเว็บไซต์ที่ปลอมได้เหมือนจริง แล้วหลอกเอาชื่อผู้ใช้ รหัสผ่าน และโค๊ดพิสูจน์ตนจากผู้ใช้
- มือถือก็ไม่ใช่จะใช้ได้อยู่ตลอดเวลา เพราะหายได้ ถูกขโมยได้ แบตหมด หรืออาจเสีย
- แม้จะนิยมขึ้นเรื่อย ๆ ผู้ใช้บางคนก็ยังอาจไม่มีมือถือ และอาจโมโหว่าถูกบังคับให้ใช้เพื่อจะเข้าถึงบริการบางอย่างที่มีให้ใช้ในคอมพิวเตอร์ของตน
- สัญญาณมือถือก็ไม่ใช่จะมีทุกที่ เพราะมีพื้นที่นอกเมืองที่ไม่มีสัญญาณ
- การลอกซิม (SIM cloning) อาจทำให้แฮ็กเกอร์ใช้โทรศัพท์มือถือที่ถูกก๊อปได้ อนึ่ง คนร้ายอาจหลอกพนักงานบริษัทมือถือให้ส่งซิมที่เหมือนกับซิมของลูกค้าไปให้ได้
- ข้อความเอสเอ็มเอสที่ส่งไปยังโทรศัพท์ไม่ได้เข้ารหัสลับและยังสามารถถูกดักฟังโดยอุปกรณ์ที่เรียกว่า IMSI-catcher ดังนั้น บุคคลอื่นจึงอาจขโมยแล้วใช้โทเค็นได้
- สมาร์ทโฟนปัจจุบันใช้รับทั้งอีเมลและข้อความเอสเอ็มเอส ถ้าโทรศัพท์หายหรือถูกขโมยโดยไม่มีรหัสผ่านหรือการป้องกันด้วยลักษณะทางชีวมิติเช่นลายนิ้วมือ บัญชีทุกบัญชีที่ใช้อีเมลเป็นชื่อผู้ใช้และมีโทรศัพท์เป็นปัจจัยพิสูจน์อย่างที่สองก็จะถูกแฮ็กได้ทั้งหมด
- ในบางพื้นที่ บริษัทมือถืออาจคิดค่าใช้จ่ายเพื่อรับข้อความเอสเอ็มเอส
กฎหมายและกฎบังคับ
มาตรฐานความปลอดภัยข้อมูลของสมาคมอุตสาหกรรมบัตรจ่ายเงิน (Payment Card Industry Data Security Standard) บังคับว่า บุคคลผู้จะเข้าถึงข้อมูลบัตรจ่ายเงินจากเครือข่ายนอกระบบ จะต้องพิสูจน์ตัวด้วยปัจจัยหลายอย่าง แต่ถ้าเข้าถึงข้อมูลโดยความเป็นแอดมิน ก็จะต้องใช้ปัจจัยหลายอย่างเพื่อพิสูจน์ตนทุกครั้งแม้จะใช้เครือข่ายในระบบ
สหภาพยุโรป
คำสั่งการบริการจ่ายเงิน (Payment Services Directive) ของสหภาพยุโรปที่มีผลเป็นกฎหมายในปลายปี 2019 บังคับให้ผู้ใช้ต้องพิสูจน์ตนด้วยปัจจัยหลายอย่างสำหรับการจ่ายเงินทางอิเล็กทรอนิกส์ในเขตเศรษฐกิจยุโรป
อินเดีย
ในประเทศอินเดีย ธนาคารทุนสำรองอินเดียบังคับให้ใช้การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยสองอย่าง (2FA) สำหรับธุรกรรมออนไลน์ที่ใช้บัตรจ่ายเงินโดยต้องเพิ่มรหัสผ่านหรือเพิ่มรหัสใช้ครั้งเดียวที่ส่งไปทางเอสเอ็มเอส แม้จะเลิกบังคับใช้ในปี 2016 สำหรับการจ่ายเงินไม่เกิน 2,000 รูปีอินเดีย เมื่อการเลิกใช้ธนบัตรบางมูลค่าได้สร้างปัญหาทางเศรษฐกิจ บริษัทต่าง ๆ เช่น อูเบอร์ ก็ถูกบังคับให้เปลี่ยนระบบจัดการทางการเงินเพื่อทำตามกฎแม้บริษัทจะเชื่อว่ามีผลเสียต่อผู้บริโภคและต่อธุรกิจ
สหรัฐ
มีคำสั่งประธานาธิบดีสหรัฐในปี 2018 ซึ่งกำหนดการใช้วิธีพิสูจน์ตนสำหรับเจ้าหน้าที่ทั้งแบบบรรจุและแบบชั่วคราวของรัฐบาลกลาง
มาตรฐานสำหรับการเข้าถึงระบบเทคโนโลยีสารสนเทศที่สำคัญของรัฐบาลกลางสหรัฐ บังคับให้ใช้การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง เช่น เมื่อลงชื่อเข้าใช้อุปกรณ์เครือข่ายเพื่อทำกิจของแอดมิน และเมื่อใช้คอมพิวเตอร์ที่ลงชื่อเข้าใช้แบบมีสิทธิพิเศษ
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้เผยแพร่เอกสาร "Special Publication 800-63-3" ที่ระบุการพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) แล้วแนะนำการใช้ในธุรกรรมที่ต้องมีความปลอดภัยในระดับต่าง ๆ
ในปี 2005 คณะกรรมการตรวจสอบสถาบันการเงินของรัฐบาลกลาง (FFIEC) ได้แนะนำสถาบันทางการเงินให้ประเมินความปลอดภัยตามความเสี่ยง ให้เช็คโปรแกรมสำรวจความเข้าใจของลูกค้า แล้วใช้วิธีพิสูจน์ลูกค้าที่ลงชื่อเข้าใช้บริการทางการเงินทางไกลให้ได้ความแน่นอน โดยแนะนำอย่างเป็นทางการให้ใช้วิธีพิสูจน์ตัวผู้ใช้ด้วยปัจจัยยิ่งกว่าหนึ่งอย่าง (คือสิ่งที่ผู้ใช้รู้ มี หรือเป็น) เพราะการเผยแพร่นี้ บริษัทที่ให้บริการพิสูจน์ตัวจริงเป็นจำนวนมากจึงเริ่มมีวิธีการพิสูจน์ตัวผู้ใช้โดยใช้คำถาม หรือภาพลับ หรือความรู้อะไร ๆ อย่างอื่นโดยอ้างว่า เป็นวิธีพิสูจน์ตัวด้วย "ปัจจัยหลายอย่าง" เพราะความสับสนเช่นนี้ และการนำวิธีดังที่ว่าไปใช้อย่างกว้างขวาง ปีต่อมาองค์กรจึงเผยแพร่แนวทางเสริม ซึ่งระบุว่า โดยนิยามแล้ว ระบบพิสูจน์ตัวด้วยปัจจัยหลายอย่าง "ของแท้" จะต้องใช้ปัจจัยสามชนิดที่ได้กำหนดแล้ว (คือสิ่งที่ผู้ใช้รู้ ที่มี หรือที่เป็น) ร่วมกัน ไม่ใช่การใช้ปัจจัยชนิดเดียวหลายรูปแบบหรือหลายครั้ง
ความปลอดภัย
ตามผู้สนับสนุน การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างสามารถลดจำนวนการปลอมบุคคลและการฉ้อฉลทางออนไลน์อื่น ๆ เพราะรหัสผ่านของเหยื่ออย่างเดียวไม่พอให้ผู้ร้ายสามารถเชิดบัญชีไปได้ แต่วิธีการพิสูจน์ตัวจริงเช่นนี้หลายอย่างก็ยังมีปัญหาด้านฟิชชิง หรือการโจมตีแบบอื่น ๆ รวมทั้งม้าโทรจันที่เป็นมัลแวร์ในบราวเซอร์ และการแทรกตัวระหว่างกลางแบบ man-in-the-middle attack การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) สำหรับเว็บแอปมีปัญหาด้านฟิชชิงเป็นพิเศษ โดยเฉพาะเมื่อส่งโค๊ดทางเอสเอ็มเอสหรืออีเมล ดังนั้น ผู้เชี่ยวชาญจึงแนะนำไม่ให้ผู้ใช้แชร์โค๊ดที่ได้รับกับใคร ๆ โดยผู้ให้บริการยังอาจระบุข้อความไม่ให้แชร์โค๊ดไว้ในอีเมลและเอสเอ็มเอสที่ส่งโค๊ดด้วย
การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างอาจไม่ได้ผล ต่อวิธีการฉ้อฉลที่ใช้ในปัจจุบันรวมทั้งเครื่องสกิมเมอร์ที่ตู้เอทีเอ็ม ฟิชชิง และมัลแวร์
ในปี 2017 บริษัทมือถือเยอรมัน O2 Telefónica รายงานว่าคนร้ายได้ใช้จุดอ่อนของโพรโทรคอลระบบโทรศัพท์ SS7 เพื่อหลีกเลี่ยงวิธีการพิสูจน์ตัวด้วยปัจจัยสองอย่างซึ่งใช้ข้อความเอสเอ็มเอส แล้วถอนเงินบัญชีธนาคารของผู้ใช้ได้ โดยต้องมีการตั้งมัลแวร์ม้าโทรจันบนคอมพ์ของผู้ใช้เพื่อขโมยข้อมูลเข้าบัญชีธนาคารและเบอร์โทรศัพท์ของผู้ใช้ไว้ก่อน แล้วซื้อบริการจากผู้ให้บริการโทรศัพท์ปลอม เปลี่ยนให้ส่งข้อความไปยังมือถือของตน ในที่สุดแล้ว ก็จะลงชื่อเข้าใช้บัญชีธนาคารของผู้ใช้ทางออน์ไลน์ได้ แล้วโอนเงินไปยังบัญชีของตน เพราะรหัสใช้ครั้งเดียวได้ส่งไปยังมือถือของคนร้าย จึงสามารถลงชื่อเข้าบัญชีและโอนเงินได้
ปัญหาเบื่อเอ็มเอฟเอ
กลวิธีหนึ่งในการแฮ็กระบบเอ็มเอฟเอที่เพิ่มขึ้นเรื่อย ๆ ในปัจจุบันก็คือ การส่งคำขอให้ยอมรับการพิสูจน์ตัวจริงไปอย่างซ้ำ ๆ จนกระทั่งผู้ใช้เบื่อจนยอมรับ
การทำให้เกิดผล
ระบบเอ็มเอฟเอบางอย่างบังคับให้ผู้ใช้ต้องมีซอฟต์แวร์รับบริการเพื่อให้ใช้การได้ บางระบบมีซอฟต์แวร์ติดตั้งต่าง ๆ กันสำหรับการลงชื่อเข้าใช้เครือข่าย เข้าใช้เว็บ และใช้เครือข่ายส่วนตัวเสมือน สำหรับผลิตภัณฑ์เช่นนี้ จึงอาจต้องติดตั้งซอฟต์แวร์ถึง 4-5 ระบบบนคอมพิวเตอร์แบบตั้งโต๊ะ เพื่อให้ใช้โทเค็นความปลอดภัยหรือสมาร์ตการ์ดได้ จึงเป็นซอฟต์แวร์ 4-5 อย่างที่ต้องติดตามรุ่นต่าง ๆ และที่ต้องเช็คดูว่ามีปัญหากับซอฟต์แวร์ที่จำเป็นอื่น ๆ ด้วยหรือเปล่า แต่ถ้าสามารถเข้าถึงสิ่งที่ต้องทำโดยผ่านหน้าเว็บเท่านั้น ก็อาจต้องมีแอปที่ว่าอย่างเดียวเท่านั้น หรือถ้าใช้เทคโนโลยีพิสูจน์ตัวอื่น ๆ เช่น โทเค็นฮาร์ดแวร์ ผู้ใช้ก็อาจไม่ต้องติดตั้งซอฟต์แวร์ใด ๆ เลย
มีข้อเสียในระบบเอ็มเอฟเอหลายอย่างที่ทำให้ไม่มีการติดตั้งแล้วใช้อย่างแพร่หลาย ผู้ใช้บางส่วนอาจมีปัญหาการเก็บโทเค็นฮาร์ดแวร์หรืออุปกรณ์ยูเอสบี บางส่วนอาจไม่สามารถติดตั้งระบบบริการด้วยตนเอง โดยทั่วไปแล้ว จะต้องลงทุนเพื่อทำให้เกิดผล และมีค่าใช้จ่ายเพื่อทะนุบำรุง ระบบที่ใช้โทเค็นฮาร์ดแวร์โดยมากเป็นกรรมสิทธิ์ของบริษัทผู้ผลิต ซึ่งอาจคิดค่าธรรมเนียมต่อผู้ใช้ทุกปี การกระจายให้ใช้โทเค็นฮาร์ดแวร์ยังลำบากทางโลจิสติกส์อีกด้วย เพราะโทเค็นฮาร์ดแวร์อาจเสียหาย การแจกจ่ายโทเค็นในอุตสาหกรรมใหญ่ ๆ เช่น ธนาคาร หรือบริษัทใหญ่ ๆ ก็จะต้องบริหารอย่างเข้มงวด นอกจากค่าใช้จ่ายเพื่อกระจายให้ใช้ ยังมีค่าใช้จ่ายเพื่อช่วยเหลือผู้ใช้อีกด้วย
งานวิจัยเกี่ยวกับการนำเทคโนโลยีนี้ไปใช้ พบว่า องค์กรประเภทต่าง ๆ ยอมรับเทคโนโลยีเอ็มเอฟเอต่าง ๆ ได้ไม่เหมือนกัน ตัวอย่างเช่น รัฐบาลกลางสหรัฐมักใช้ระบบโทเค็นฮาร์ดแวร์ที่ซับซ้อนซึ่งก็เป็นระบบที่รับรองด้วยการเข้ารหัสแบบกุญแจอสมมาตร และเช่นธนาคารซึ่งมักนิยมระบบเอ็มเอฟเอที่ใช้ง่ายกว่าและมีค่าใช้จ่ายน้อยกว่า เช่น ใช้แอปที่ติดตั้งในสมาร์ทโฟนของลูกค้าเอง แต่ถึงจะต่างกันอย่างนี้ เมื่อติดตั้งและใช้ระบบแล้ว ก็จะกลายเป็นปกติ โดยผู้ใช้เองก็จะรู้สึกคุ้นกับระบบแล้วยอมรับได้ว่าเป็นเรื่องธรรมดาเพื่อให้ลงชื่อเข้าใช้บัญชีที่จำเป็นได้
แม้จะดูเหมือนว่า ระบบเอ็มเอฟเอจะให้ความปลอดภัยได้อย่างบริบูรณ์ นักวิจารณ์ก็ยังระบุว่า ถ้าไม่ทำให้เกิดผลหรือติดตั้งอย่างสมบูรณ์ ก็ยังถูกแฮ็กได้
สิทธิบัตร
ในปี 2013 นักประกอบการชาวฟินแลนด์-เยอรมัน คิม ด็อตคอม อ้างว่าได้ประดิษฐ์การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่างตามสิทธิบัตรที่จดในปี 2000 แล้วจึงสามารถขู่ฟ้องศาลผู้บริการเว็บรายใหญ่ ๆ ได้ทั้งหมดเป็นระยะเวลาสั้น ๆ แต่ต่อมาสำนักงานสิทธิบัตรยุโรปได้ยกเลิกสิทธิบัตรนี้ เพราะบริษัทเอทีแอนด์ทีได้จดสิทธิบัตรเยี่ยงนี้ตั้งแต่ปี 1998 แล้ว
ดูเพิ่ม
- เว็บออเทน เป็นโพรโทรคอลการให้บริการพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง
เชิงอรรถและอ้างอิง
- "authentication", Longdo Dict, อังกฤษ-ไทย: ศัพท์บัญญัติราชบัณฑิตยสถาน, สืบค้นเมื่อ 2023-09-29,
การพิสูจน์ตัวจริง [คอมพิวเตอร์ ๑๙ มิ.ย. ๒๕๔๔]
- "Two-factor authentication: What you need to know (FAQ) - CNET". CNET. สืบค้นเมื่อ 2015-10-31.
- Jacomme, Charlie; Kremer, Steve (2021-02-01). "An Extensive Formal Analysis of Multi-factor Authentication Protocols". ACM Transactions on Privacy and Security (ภาษาอังกฤษ). New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566. S2CID 231791299.
- kaitlin.boeckl@nist.gov (2016-06-28). "Back to basics: Multi-factor authentication (MFA)". NIST (ภาษาอังกฤษ). คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2021-04-06. สืบค้นเมื่อ 2021-04-06.
- "Bitwarden Review". PCMag. 2022-03-15. เก็บจากแหล่งเดิมเมื่อ 2022-08-18.
- "Configuring One-Time Passwords". www.sonicwall.com. Sonic Wall. สืบค้นเมื่อ 2022-01-19.
- van Tilborg, Henk C.A.; Jajodia, Sushil, บ.ก. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN .
- Cao, Liling; Ge, Wancheng (2015-03-10). "Analysis and improvement of a multi-factor biometric authentication scheme: Analysis and improvement of a MFBA scheme". Security and Communication Networks (ภาษาอังกฤษ). 8 (4): 617–625. doi:10.1002/sec.1010.
- "Does Kim Dotcom have original 'two-factor' login patent?". the Guardian (ภาษาอังกฤษ). 2013-05-23. สืบค้นเมื่อ 2022-11-02.
- EP 0745961, "Transaction authorization and alert system", issued 1996-12-04
- Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. สืบค้นเมื่อ 2018-03-23.
- Greenberg, Andy (2016-06-26). "So Hey You Should Stop Using Texts For Two-factor Authentication". Wired. สืบค้นเมื่อ 2018-05-12.
- "NIST is No Longer Recommending Two-Factor Authentication Using SMS". Schneier on Security. 2016-08-03. สืบค้นเมื่อ 2017-11-30.
- "Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"". 2017-07-06. สืบค้นเมื่อ 2019-05-21.
- Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. สืบค้นเมื่อ 2017-09-11.
- Miller, Chance (2017-02-25). "Apple prompting iOS 10.3". 9to5 Mac. สืบค้นเมื่อ 2017-09-11.
- "How Russia Works on Intercepting Messaging Apps - bellingcat". bellingcat (ภาษาอังกฤษแบบอเมริกัน). 2016-04-30. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2016-04-30. สืบค้นเมื่อ 2016-04-30.
- Kan, Michael (2019-03-07). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Mag. สืบค้นเมื่อ 2019-09-09.
- Nichols, Shaun (2017-07-10). "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'". The Register. สืบค้นเมื่อ 2017-07-11.
- Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 IEEE Symposium on Computers and Communications. pp. 700–705. :1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN . S2CID 5066992.
- "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. สืบค้นเมื่อ 2016-07-25.
- Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (ภาษาอังกฤษ), 2018-03-13, สืบค้นเมื่อ 2021-04-06
- Agarwal, Surabhi (2016-12-07). "Payment firms applaud RBI's move to waive off two-factor authentication for small value transactions". The Economic Times. สืบค้นเมื่อ 2020-06-28.
- Nair, Vishwanath (2016-12-06). "RBI eases two-factor authentication for online card transactions up to Rs2,000". Livemint (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-06-28.
- "Uber now complies with India's two-factor authentication requirement, calls it unnecessary and burdensome". VentureBeat (ภาษาอังกฤษแบบอเมริกัน). 2014-11-30. สืบค้นเมื่อ 2021-09-05.
- "Homeland Security Presidential Directive 12". Department of Homeland Security. 2008-08-01. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2012-09-16.
- "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
- "SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
- "Digital Identity Guidelines". NIST Special Publication 800-63-3. NIST. 2017-06-22. สืบค้นเมื่อ 2018-02-02.
- "FFIEC Press Release". 2005-10-12. สืบค้นเมื่อ 2011-05-13.
- "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). FFIEC. 2006-08-15. เก็บ (PDF)จากแหล่งเดิมเมื่อ 2012-11-15.
- Krebs, Brian (2006-07-10). "Security Fix - Citibank Phish Spoofs 2-Factor Authentication". Washington Post. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2016-08-13. สืบค้นเมื่อ 2016-09-20.
- Schneier, Bruce (March 2005). "The Failure of Two-Factor Authentication". Schneier on Security. สืบค้นเมื่อ 2016-09-20.
- Perekalin, Alex (May 2018). "Why you shouldn't ever send verification codes to anyone". Kaspersky. สืบค้นเมื่อ 2020-10-17.
- Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication". Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. S2CID 10821943.
- Shankland, Stephen. "Two-factor authentication? Not as secure as you'd expect when logging into email or your bank". CNET (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-09-27.
- "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. สืบค้นเมื่อ 2015-10-23.
- Khandelwal, Swati. "Real-World SS7 Attack - Hackers Are Stealing Money From Bank Accounts". The Hacker News (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2017-05-05.
- "MFA Fatigue: Hackers' new favorite tactic in high-profile breaches". BleepingComputer (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2023-08-12.
- Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influences on the Adoption of Multifactor Authentication" (ภาษาอังกฤษ).
- Grimes, Roger A. (2020-09-28). Hacking Multifactor Authentication. Hoboken: John Wiley & Sons. ISBN .
- US 6078908, Schmitz, Kim, "Method for authorizing in data transmission systems"
- Brodkin, Jon (2013-05-23). "Kim Dotcom claims he invented two-factor authentication—but he wasn't first". Ars Technica. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2019-07-09. สืบค้นเมื่อ 2019-07-25.
- US 5708422, Blonder, et al., "Transaction authorization and alert system"
แหล่งข้อมูลอื่น
- Brandom, Russell (2017-07-10). "Two-factor authentication is a mess". The Verge. สืบค้นเมื่อ 2017-07-10.
- Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
- Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
- Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)
wikipedia, แบบไทย, วิกิพีเดีย, วิกิ หนังสือ, หนังสือ, ห้องสมุด, บทความ, อ่าน, ดาวน์โหลด, ฟรี, ดาวน์โหลดฟรี, mp3, วิดีโอ, mp4, 3gp, jpg, jpeg, gif, png, รูปภาพ, เพลง, เพลง, หนัง, หนังสือ, เกม, เกม, มือถือ, โทรศัพท์, Android, iOS, Apple, โทรศัพท์โมบิล, Samsung, iPhone, Xiomi, Xiaomi, Redmi, Honor, Oppo, Nokia, Sonya, MI, PC, พีซี, web, เว็บ, คอมพิวเตอร์
bthkhwamnixangxingkhristskrach khristthswrrs khriststwrrs sungepnsarasakhykhxngenuxha karphisucntwcringdwypccyhlayxyang xngkvs multi factor authentication twyx MFA exmexfex karphisucntwcringdwypccysxngxyang xngkvs two factor authentication twyx 2FA aelakhathanxngediywknxun epnkarphisucntwphuichthangxielkthrxniksephuxlngchuxekhaichbychithangewbisthruxthangaexp sungphuichtxngihhlkthanhruxpccysxngxyanghruxyingkwaaekklikkarphisucntwphuich exmexfexcachwyrksakhwamplxdphykhxngkhxmulswntw sungxacrwmkhxmulthirabutwbukhkhlidhruxthrphysinthangkarengin imihbukhkhlthisamekhathungid epriybethiybkbemuxichpccyediyw echn rhsphan thixaccapxngknimid aexpxxethnthiekhetxrcakbristh bukhkhlthisammkichepnpccythisxngephuxphisucntwcring aexppkticaaesdngelkhsumthiepliyniperuxy thiphuichcalngbnthukinrabbephuxphisucntnpccytang karphisucntwphuichcaerimemuxphyayamcalngchuxekhaichbychikhxmphiwetxr echn ekhruxkhaykhxmphiwetxr xupkrn hruxaexp sungxackahndihrabukhxmulbukhkhlthibrikarnnruck bwkkbkhxmulphisucnwaepnphuichnncring khxmulphisucnthrrmdacamiaekhpccyediyw sungthwipkkhuxrhsphan aetephuxephimkhwamplxdphy brikarnnxacbngkhbihmipccyyingkwahnungxyang ephuxphisucntwphuichdwypccyhlayxyang hruxdwysxngxyangthatxngihhlkthansxngxyang karichpccyhlayxyangephuxphisucntwmiaenwkhidwa phuimidrbxnuyatimnacaaesdngpccytang thiichephuxlngchuxekhabychiid ephraathungaemcamipccyhnungxyang aetthaimmipccythiehlux kyngimsamarthekhabychithipxngknkhwamplxdphydwywithiniid pccythiichxacrwm singthiphuichmi khuxsingkhxngthiphuichmi echn othekhnkhwamplxdphy security token echn yuexsbiaeflchidrf btrexthiexm hruxkuyaeckhwamplxdphy security hardware key singthiphuichru khuxxairbangxyangthiphuichethannru echn rhsphan rhs PIN singthiphuichepn khuxlksnathangchiwmitikhxngphuich echn layniwmux laymanta esiyngphud lksnakarphimphkhiybxrd twxyangkhxngkarphisucnphuichdwypccysxngxyangkkhuxkarthxnengincaktuexthiexm txemuxmithngbtrexthiexmthithuktxng singthiphuichmi aelarhs PIN singthiphuichru cungcasamarththathurkrrmid twxyangxun thiburnakarkhwamplxdphykarichrhsphankkhux rhsphanichkhrngediyw OTP one time password hruxelkhrhsthiaexpxxethnthiekhethxr idrbhruxrabu echnthiphbinothekhnkhwamplxdphyhruxsmarthofn sungepnwtthuthiphuichethannmi swnaexpxxethnthiekhethxrkhxngbristh bukhkhlthisampkticaaesdngelkhrhssumthiepliyniperuxy odyimidsngmathangkhxkhwamexsexmexshruxwithixun aelaphuichsamarthlngbnthukelkhnnephuxphisucntwid khxdiyingkhxngaexpchnidnikkhuxthanganidodyimtxngmixinethxrent twxyangaexprwmthng Google Authenticator Authy aela Microsoft Authenticator twcdkarrhsphanbangaexp echn bitwxredn kmibrikarniechnkn singthiru singthiruksamarthepnpccyephuxphisucnphuichechnkn khuxtxngrukhwamlbxairbangxyangepnkarphisucn rhsphanepnkhalbhruxepnchudxksrthiichphisucntwcringid niepnpccyphisucntnthimiichxyangsamythisud karphisucntwphuichdwypccyhlayxyangxacichrhslbepnpccyxyanghnungephuxphisucn rhsphanaebbyawrupaebbhnungkkhuxkarichkhahlay khahruxphasefrs hruxrupaebbsnxyanghnungkkhuxrhsepnelkhlwnechn rhs PIN sungichkbekhruxngexthiexm thwipaelw phuichcatxngcarhsphan aetkxacekhiyniwinkradashruxiflthisxniw singthimi RSA SecurID token epntwxyangothekhn hardaewr thiimtxngtxkbxinethxrent pccykhuxsingthiphuichmi idichepnekhruxngphisucntnepnstwrrs aelw inrupaebbkhxnglukkuyaecthiichikhtwkuyaec hlkkkhuxlukkuyaeccamikhwamlbrwmknkbtwkuyaec epnhlkediywknthiichphisucntwphuichinrabbkhxmphiwetxr othekhnkhwamplxdphy security token inphaph epntwxyangpccykhuxsingthimi othekhnaebbimechuxm disconnected token epnothekhnkhwamplxdphythiimtxkbrabbrbbrikar pkticamicxintwephuxaesdngelkhsrhsphisucnphuichthisrangkhun odyphuichcalngbnthukrhsinrabbrbbrikar othekhn chnidnimkaesdng OTP khuxrhsphanthiichidkhrngediyw othekhnkhwamplxdphyaebbyuexsbi yihx yubikhiy othekhnaebbechuxm connected token epnxupkrnthitxngtxkbkhxmphiwetxremuxichkar odyothekhncaepntwsngkhxmulexng phuichimtxnglngbnthukrhsid miothekhnrupaebbxun xikrwmthng othekhnyuexsbi smartkard aelaaebbkhlunwithyu erimtngaetpi 2015 ewbbrawesxrhlk iderimsnbsnunmatrthanothekhn WebAuthn sungoprohmtodysmakhmifodxlilxans FIDO Alliance aelaewildiwdewbkhxnsxrethiym W3C xnung othekhnaebbsxftaewr kichphisucntwphuichdwypccy 2 xyangidehmuxnkn odykhxmullbthiichsrangothekhncaekbiwinxupkrnxielkthrxniksthwip echn khxmphiwetxraebbtngota aelpthxp othrsphthekhluxnthi hruxsmarthofn dngnn xacthukkxpexaipid niethiybkbothekhnaebbhardaewrsungekbkhwamlbiwinxupkrnodyechphaa aeladngnn cungkxp khxmullbexaipimid ykewncaepidthalayxupkrnephuxkxp khxmul karphisucntwphuichdwypccyhlayxyangkichrksakhwamplxdphythwipidechnkn sungpktimkexasingthiphuichmi echn kardkuyaec aelasingthiphuichepn echn lksnaibhna hruxmanta twxyangkarichxyanghnungkkhuxexaiwepidpratuthilxkimihkhnxunekha singthiepn pccyniepnsingthiphuichmihruxepntamthrrmchati sungpktikkhuxlksnathangchiwmitirwmthnglayniwmux ibhna esiyngphud hruxlaymanta phvtikrrmthimilksnaechphaa echn lksnakarphimphkhiybxrd kxacichidehmuxnkn taaehnngthitng taaehnngthixyukhxngphuichpccubn kichepnpccyphisucntwcringephimkhuneruxy echn emuxkalngichekhruxkhaykhxmphiwetxrkhxngbristhxyu phuichxacsamarthlngchuxekhaichdwyephiyngaekhrhs PIN aetthaichekhruxkhayxunxyu kxactxngisokhdcakothekhnsxftaewrephimkhunxikdwy nixacepnswnkhxngmatrthanthibristh xngkhkrtxngpraphvtitaminkarekhathungthrphyakrtang thikhwbkhumkarekhathung txngkarxangxing othrsphthekhluxnthikarphisucntwphuichdwykhxkhwamothrsphtherimkhuntngaetpi 1996 emuxbristhexthiaexndthiraburabbthixnuyatihthathurkrrmodyxasyokhdthisngipyngwithyutidtamtw rabbphisucntwphuichdwypccyhlayxyangmkcaxnuyatihichothrsphthekhluxnthiepnpccydwy withithiichrwmkarsngkhakhxxnuyatdwyaexp push based karsngrhskhiwxar karichrhsthiichkhrngediyw OTP sungichidxyangcakdewla aelakarsngokhdthangkhxkhwamexsexmexs karichothrsphthepnpccymipyhakhwamplxdphy ephraakhxmulthikahndebxrothrsphthksamarthkxpid khxkhwamexsexmexscungxaccdihsngipthiothrsphthxunid aexpthiichrbrhsksamarthmiidinxupkrnxun changthisxmothrsphthksamarthekhadukhxkhwaminothrsphthid dngnn rwm aelw othrsphthcungyngimkhxyplxdphy ephraaimichxairthiphuichethannmi niethiybkbkhxesiykhxngkarphisucntwphuichodysingthimiodyechphaa sungkkhux phuichtxngthuxexaothekhnthiepnwtthuipdwyxyutlxdewla imwacaepnxupkrnyuexsbi btrthnakhar hruxkuyaecxairbangxyang sungkxachayhruxthukkhomyid xnung xngkhkrhlayaehnghamkarthuxxupkrnxielkthrxnikshruxxupkrnyuexsbiekhahruxxxkcakxakharephraaklwmlaewrhruxthukkhomykhxmul ehmuxnkbthiekhruxngmuxxupkrnxnsakhythisudcaimmichxngyuexsbi xikxyanghnung othekhnhardaewraebbechphaa yngkhyayichidimngay ephraapkticatxngichothekhnxnhnungtxbychitxrabb karaeckaelakartxngepliynothekhnaebbniyngmikhaichcayephim dngnn khwamkhdaeyngrahwangkarichngaykbkhwamplxdphycungepnpyhathieliyngimid karphisucntwcringdwypccythisxngodyichothrsphthekhluxnthihruxsmarthofn epnthangeluxkkhxngkarichxupkrnechphaaxyang ephuxcaphisucntn phuichsamarthichkhxmullbswntwsahrbxupkrnnn epnsingthiphuichethannru bwkkbrhsichkhrngediywthisrangkhuneruxy odypktiepnelkhrhs 4 6 tw elkhrhsxacsngipthiothrsphth phankhxkhwamexsexmexs hruxxacsrangkhunodyaexpthisrangrhsichkhrngediyw khxdikkhuximtxngmixupkrnothekhnodyechphaa ephraaphuichpktikmimuxthuxtidtwxyuaelw aemkarphisucndwyexsexmexscaepnthiniym aetkmkcathukwicarnindanpyhakhwamplxdphy ineduxnkrkdakhm 2016 sthabnmatrthanaelaethkhonolyiaehngchatishrth NIST idrangaenwthangptibtithiesnxihelikichkhxkhwamexsexmexsepnekhruxngphisucntwcring aetxikpitxma sthabnkklbrabuepnwithiphisucntnidehmuxnedim bristhkuekilinpi 2016 aelabristhaexpepilinpi 2017 iderimihphuichphisucntndwykhxkhwametuxnaebb push notification odyichepnthangeluxkxyanghnungkhxngpccythisxng khwamplxdphykhxngothekhnthixasyothrsphthekhluxnthicakhunxyukbkarrksakhwamplxdphykhxngphuichothrsphth odyyngrwidngayenuxngkbkardkfnghruxkarlxksimthixngkhkrkhwammnkhngkhxngchatitang xaccatha khxdiimtxngmixupkrntanghak ephraaichmuxthuxthitidtwphuichxyutlxd ephraarhsepliyniperuxy cungplxdphykwakhxmulningthinaiplngchuxich ephraarhsepliyniperuxy rhsthisrangkhunaetphuichimidrbephraapyhakarsngkarrb caimkhdkarlngchuxichinkhrngtx ipkhxesiyphuichyngimphnpyhafichching ephraakhnrayxacsngkhxkhwamexsexmexsxnmilingkipyngphuichodylingkipyngewbistthiplxmidehmuxncring aelwhlxkexachuxphuich rhsphan aelaokhdphisucntncakphuich muxthuxkimichcaichidxyutlxdewla ephraahayid thukkhomyid aebthmd hruxxacesiy aemcaniymkhuneruxy phuichbangkhnkyngxacimmimuxthux aelaxacomohwathukbngkhbihichephuxcaekhathungbrikarbangxyangthimiihichinkhxmphiwetxrkhxngtn syyanmuxthuxkimichcamithukthi ephraamiphunthinxkemuxngthiimmisyyan karlxksim SIM cloning xacthaihaehkekxrichothrsphthmuxthuxthithukkxpid xnung khnrayxachlxkphnknganbristhmuxthuxihsngsimthiehmuxnkbsim khxnglukkhaipihid khxkhwamexsexmexsthisngipyngothrsphthimidekharhslbaelayngsamarththukdkfngodyxupkrnthieriykwa IMSI catcher dngnn bukhkhlxuncungxackhomyaelwichothekhn id smarthofnpccubnichrbthngxiemlaelakhxkhwamexsexmexs thaothrsphthhayhruxthukkhomyodyimmirhsphanhruxkarpxngkndwylksnathangchiwmitiechnlayniwmux bychithukbychithiichxiemlepnchuxphuichaelamiothrsphthepnpccyphisucnxyangthisxngkcathukaehkidthnghmd inbangphunthi bristhmuxthuxxackhidkhaichcayephuxrbkhxkhwamexsexmexskdhmayaelakdbngkhbmatrthankhwamplxdphykhxmulkhxngsmakhmxutsahkrrmbtrcayengin Payment Card Industry Data Security Standard bngkhbwa bukhkhlphucaekhathungkhxmulbtrcayengincakekhruxkhaynxkrabb catxngphisucntwdwypccyhlayxyang aetthaekhathungkhxmulodykhwamepnaexdmin kcatxngichpccyhlayxyangephuxphisucntnthukkhrngaemcaichekhruxkhayinrabb shphaphyuorp khasngkarbrikarcayengin Payment Services Directive khxngshphaphyuorpthimiphlepnkdhmayinplaypi 2019 bngkhbihphuichtxngphisucntndwypccyhlayxyangsahrbkarcayenginthangxielkthrxniksinekhtesrsthkicyuorp xinediy inpraethsxinediy thnakharthunsarxngxinediybngkhbihichkarphisucntwphuichdwypccysxngxyang 2FA sahrbthurkrrmxxnilnthiichbtrcayenginodytxngephimrhsphanhruxephimrhsichkhrngediywthisngipthangexsexmexs aemcaelikbngkhbichinpi 2016 sahrbkarcayenginimekin 2 000 rupixinediy emuxkarelikichthnbtrbangmulkhaidsrangpyhathangesrsthkic bristhtang echn xuebxr kthukbngkhbihepliynrabbcdkarthangkarenginephuxthatamkdaembristhcaechuxwamiphlesiytxphubriophkhaelatxthurkic shrth mikhasngprathanathibdishrthinpi 2018 sungkahndkarichwithiphisucntnsahrbecahnathithngaebbbrrcuaelaaebbchwkhrawkhxngrthbalklang matrthansahrbkarekhathungrabbethkhonolyisarsnethsthisakhykhxngrthbalklangshrth bngkhbihichkarphisucntwcringdwypccyhlayxyang echn emuxlngchuxekhaichxupkrnekhruxkhayephuxthakickhxngaexdmin aelaemuxichkhxmphiwetxrthilngchuxekhaichaebbmisiththiphiess sthabnmatrthanaelaethkhonolyiaehngchatishrth NIST idephyaephrexksar Special Publication 800 63 3 thirabukarphisucntwcringdwypccysxngxyang 2FA aelwaenanakarichinthurkrrmthitxngmikhwamplxdphyinradbtang inpi 2005 khnakrrmkartrwcsxbsthabnkarenginkhxngrthbalklang FFIEC idaenanasthabnthangkarenginihpraeminkhwamplxdphytamkhwamesiyng ihechkhopraekrmsarwckhwamekhaickhxnglukkha aelwichwithiphisucnlukkhathilngchuxekhaichbrikarthangkarenginthangiklihidkhwamaennxn odyaenanaxyangepnthangkarihichwithiphisucntwphuichdwypccyyingkwahnungxyang khuxsingthiphuichru mi hruxepn ephraakarephyaephrni brisththiihbrikarphisucntwcringepncanwnmakcungerimmiwithikarphisucntwphuichodyichkhatham hruxphaphlb hruxkhwamruxair xyangxunodyxangwa epnwithiphisucntwdwy pccyhlayxyang ephraakhwamsbsnechnni aelakarnawithidngthiwaipichxyangkwangkhwang pitxmaxngkhkrcungephyaephraenwthangesrim sungrabuwa odyniyamaelw rabbphisucntwdwypccyhlayxyang khxngaeth catxngichpccysamchnidthiidkahndaelw khuxsingthiphuichru thimi hruxthiepn rwmkn imichkarichpccychnidediywhlayrupaebbhruxhlaykhrngkhwamplxdphytamphusnbsnun karphisucntwcringdwypccyhlayxyangsamarthldcanwnkarplxmbukhkhlaelakarchxchlthangxxnilnxun ephraarhsphankhxngehyuxxyangediywimphxihphuraysamarthechidbychiipid aetwithikarphisucntwcringechnnihlayxyangkyngmipyhadanfichching hruxkarocmtiaebbxun rwmthngmaothrcnthiepnmlaewrinbrawesxr aelakaraethrktwrahwangklangaebb man in the middle attack karphisucntwcringdwypccysxngxyang 2FA sahrbewbaexp mipyhadanfichchingepnphiess odyechphaaemuxsngokhdthangexsexmexshruxxieml dngnn phuechiywchaycungaenanaimihphuichaechrokhdthiidrbkbikhr odyphuihbrikaryngxacrabukhxkhwamimihaechrokhdiwinxiemlaelaexsexmexsthisngokhddwy karphisucntwcringdwypccyhlayxyangxacimidphl txwithikarchxchlthiichinpccubnrwmthngekhruxngskimemxrthituexthiexm fichching aelamlaewr inpi 2017 bristhmuxthuxeyxrmn O2 Telefonica raynganwakhnrayidichcudxxnkhxngophrothrkhxlrabbothrsphth SS7 ephuxhlikeliyngwithikarphisucntwdwypccysxngxyangsungichkhxkhwamexsexmexs aelwthxnenginbychithnakharkhxngphuichid odytxngmikartngmlaewrmaothrcnbnkhxmphkhxngphuichephuxkhomykhxmulekhabychithnakharaelaebxrothrsphthkhxngphuichiwkxn aelwsuxbrikarcakphuihbrikarothrsphthplxm epliynihsngkhxkhwamipyngmuxthuxkhxngtn inthisudaelw kcalngchuxekhaichbychithnakharkhxngphuichthangxxnilnid aelwoxnenginipyngbychikhxngtn ephraarhsichkhrngediywidsngipyngmuxthuxkhxngkhnray cungsamarthlngchuxekhabychiaelaoxnenginid pyhaebuxexmexfex klwithihnunginkaraehkrabbexmexfexthiephimkhuneruxy inpccubnkkhux karsngkhakhxihyxmrbkarphisucntwcringipxyangsa cnkrathngphuichebuxcnyxmrbkarthaihekidphlrabbexmexfexbangxyangbngkhbihphuichtxngmisxftaewrrbbrikarephuxihichkarid bangrabbmisxftaewrtidtngtang knsahrbkarlngchuxekhaichekhruxkhay ekhaichewb aelaichekhruxkhayswntwesmuxn sahrbphlitphnthechnni cungxactxngtidtngsxftaewrthung 4 5 rabbbnkhxmphiwetxraebbtngota ephuxihichothekhn khwamplxdphyhruxsmartkardid cungepnsxftaewr 4 5 xyang thitxngtidtamruntang aelathitxngechkhduwamipyhakbsxftaewrthicaepnxun dwyhruxepla aetthasamarthekhathungsingthitxngthaodyphanhnaewbethann kxactxngmiaexpthiwaxyangediywethann hruxthaichethkhonolyiphisucntwxun echn othekhnhardaewr phuichkxacimtxngtidtngsxftaewrid ely mikhxesiyinrabbexmexfexhlayxyangthithaihimmikartidtngaelwichxyangaephrhlay phuichbangswnxacmipyhakarekbothekhnhardaewrhruxxupkrnyuexsbi bangswnxacimsamarthtidtngrabbbrikardwytnexng odythwipaelw catxnglngthunephuxthaihekidphl aelamikhaichcayephuxthanubarung rabbthiichothekhn hardaewrodymakepnkrrmsiththikhxngbristhphuphlit sungxackhidkhathrrmeniymtxphuichthukpi karkracayihichothekhnhardaewrynglabakthangolcistiksxikdwy ephraaothekhnhardaewrxacesiyhay karaeckcayothekhninxutsahkrrmihy echn thnakhar hruxbristhihy kcatxngbriharxyangekhmngwd nxkcakkhaichcayephuxkracayihich yngmikhaichcayephuxchwyehluxphuichxikdwy nganwicyekiywkbkarnaethkhonolyiniipich phbwa xngkhkrpraephthtang yxmrbethkhonolyiexmexfextang idimehmuxnkn twxyangechn rthbalklangshrthmkichrabbothekhnhardaewrthisbsxnsungkepnrabbthirbrxngdwykarekharhsaebbkuyaecxsmmatr aelaechnthnakharsungmkniymrabbexmexfexthiichngaykwaaelamikhaichcaynxykwa echn ichaexpthitidtnginsmarthofnkhxnglukkhaexng aetthungcatangknxyangni emuxtidtngaelaichrabbaelw kcaklayepnpkti odyphuichexngkcarusukkhunkbrabbaelwyxmrbidwaepneruxngthrrmdaephuxihlngchuxekhaichbychithicaepnid aemcaduehmuxnwa rabbexmexfexcaihkhwamplxdphyidxyangbriburn nkwicarnkyngrabuwa thaimthaihekidphlhruxtidtngxyangsmburn kyngthukaehkidsiththibtrinpi 2013 nkprakxbkarchawfinaelnd eyxrmn khim dxtkhxm xangwaidpradisthkarphisucntwcringdwypccysxngxyangtamsiththibtrthicdinpi 2000 aelwcungsamarthkhufxngsalphubrikarewbrayihy idthnghmdepnrayaewlasn aettxmasankngansiththibtryuorpidykeliksiththibtrni ephraabristhexthiaexndthiidcdsiththibtreyiyngnitngaetpi 1998 aelwduephimewbxxethn epnophrothrkhxlkarihbrikarphisucntwphuichdwypccyhlayxyangechingxrrthaelaxangxing authentication Longdo Dict xngkvs ithy sphthbyytirachbnthitysthan subkhnemux 2023 09 29 karphisucntwcring khxmphiwetxr 19 mi y 2544 Two factor authentication What you need to know FAQ CNET CNET subkhnemux 2015 10 31 Jacomme Charlie Kremer Steve 2021 02 01 An Extensive Formal Analysis of Multi factor Authentication Protocols ACM Transactions on Privacy and Security phasaxngkvs New York City Association for Computing Machinery 24 2 1 34 doi 10 1145 3440712 ISSN 2471 2566 S2CID 231791299 kaitlin boeckl nist gov 2016 06 28 Back to basics Multi factor authentication MFA NIST phasaxngkvs khlngkhxmulekaekbcakaehlngedimemux 2021 04 06 subkhnemux 2021 04 06 Bitwarden Review PCMag 2022 03 15 ekbcakaehlngedimemux 2022 08 18 Configuring One Time Passwords www sonicwall com Sonic Wall subkhnemux 2022 01 19 van Tilborg Henk C A Jajodia Sushil b k 2011 Encyclopedia of Cryptography and Security Volume 1 Berlin Germany Springer Science amp Business Media p 1305 ISBN 9781441959058 Cao Liling Ge Wancheng 2015 03 10 Analysis and improvement of a multi factor biometric authentication scheme Analysis and improvement of a MFBA scheme Security and Communication Networks phasaxngkvs 8 4 617 625 doi 10 1002 sec 1010 Does Kim Dotcom have original two factor login patent the Guardian phasaxngkvs 2013 05 23 subkhnemux 2022 11 02 EP 0745961 Transaction authorization and alert system issued 1996 12 04 Wang Ding He Debiao Wang Ping Chu Chao Hsien 2014 Anonymous Two Factor Authentication in Distributed Systems Certain Goals Are Beyond Attainment PDF IEEE Transactions on Dependable and Secure Computing Piscataway New Jersey Institute of Electrical and Electronics Engineers subkhnemux 2018 03 23 Greenberg Andy 2016 06 26 So Hey You Should Stop Using Texts For Two factor Authentication Wired subkhnemux 2018 05 12 NIST is No Longer Recommending Two Factor Authentication Using SMS Schneier on Security 2016 08 03 subkhnemux 2017 11 30 Rollback The United States NIST no longer recommends Deprecating SMS for 2FA 2017 07 06 subkhnemux 2019 05 21 Tung Liam Google prompt You can now just tap yes or no on iOS Android to approve Gmail sign in ZD Net subkhnemux 2017 09 11 Miller Chance 2017 02 25 Apple prompting iOS 10 3 9to5 Mac subkhnemux 2017 09 11 How Russia Works on Intercepting Messaging Apps bellingcat bellingcat phasaxngkvsaebbxemrikn 2016 04 30 khlngkhxmulekaekbcakaehlngedimemux 2016 04 30 subkhnemux 2016 04 30 Kan Michael 2019 03 07 Google Phishing Attacks That Can Beat Two Factor Are on the Rise PC Mag subkhnemux 2019 09 09 Nichols Shaun 2017 07 10 Two factor FAIL Chap gets pwned after AT amp T falls for hacker tricks The Register subkhnemux 2017 07 11 Toorani Mohsen Beheshti A 2008 SSMS A secure SMS messaging protocol for the m payment systems 2008 IEEE Symposium on Computers and Communications pp 700 705 1002 3171 doi 10 1109 ISCC 2008 4625610 ISBN 978 1 4244 2702 4 S2CID 5066992 Official PCI Security Standards Council Site Verify PCI Compliance Download Data Security and Credit Card Security Standards www pcisecuritystandards org subkhnemux 2016 07 25 Commission Delegated Regulation EU 2018 389 of 27 November 2017 supplementing Directive EU 2015 2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication Text with EEA relevance phasaxngkvs 2018 03 13 subkhnemux 2021 04 06 Agarwal Surabhi 2016 12 07 Payment firms applaud RBI s move to waive off two factor authentication for small value transactions The Economic Times subkhnemux 2020 06 28 Nair Vishwanath 2016 12 06 RBI eases two factor authentication for online card transactions up to Rs2 000 Livemint phasaxngkvs subkhnemux 2020 06 28 Uber now complies with India s two factor authentication requirement calls it unnecessary and burdensome VentureBeat phasaxngkvsaebbxemrikn 2014 11 30 subkhnemux 2021 09 05 Homeland Security Presidential Directive 12 Department of Homeland Security 2008 08 01 khlngkhxmulekaekbcakaehlngedimemux 2012 09 16 SANS Institute Critical Control 10 Secure Configurations for Network Devices such as Firewalls Routers and Switches khlngkhxmulekaekbcakaehlngedimemux 2013 01 28 subkhnemux 2013 02 11 SANS Institute Critical Control 12 Controlled Use of Administrative Privileges khlngkhxmulekaekbcakaehlngedimemux 2013 01 28 subkhnemux 2013 02 11 Digital Identity Guidelines NIST Special Publication 800 63 3 NIST 2017 06 22 subkhnemux 2018 02 02 FFIEC Press Release 2005 10 12 subkhnemux 2011 05 13 Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment PDF FFIEC 2006 08 15 ekb PDF cakaehlngedimemux 2012 11 15 Krebs Brian 2006 07 10 Security Fix Citibank Phish Spoofs 2 Factor Authentication Washington Post khlngkhxmulekaekbcakaehlngedimemux 2016 08 13 subkhnemux 2016 09 20 Schneier Bruce March 2005 The Failure of Two Factor Authentication Schneier on Security subkhnemux 2016 09 20 Perekalin Alex May 2018 Why you shouldn t ever send verification codes to anyone Kaspersky subkhnemux 2020 10 17 Siadati Hossein Nguyen Toan Gupta Payas Jakobsson Markus Memon Nasir 2017 Mind your SMSes Mitigating Social Engineering in Second Factor Authentication Computers amp Security 65 14 28 doi 10 1016 j cose 2016 09 009 S2CID 10821943 Shankland Stephen Two factor authentication Not as secure as you d expect when logging into email or your bank CNET phasaxngkvs subkhnemux 2020 09 27 The Failure of Two Factor Authentication Schneier on Security schneier com subkhnemux 2015 10 23 Khandelwal Swati Real World SS7 Attack Hackers Are Stealing Money From Bank Accounts The Hacker News phasaxngkvsaebbxemrikn subkhnemux 2017 05 05 MFA Fatigue Hackers new favorite tactic in high profile breaches BleepingComputer phasaxngkvsaebbxemrikn subkhnemux 2023 08 12 Libicki Martin C Balkovich Edward Jackson Brian A Rudavsky Rena Webb Katharine 2011 Influences on the Adoption of Multifactor Authentication phasaxngkvs Grimes Roger A 2020 09 28 Hacking Multifactor Authentication Hoboken John Wiley amp Sons ISBN 978 1 119 65080 5 US 6078908 Schmitz Kim Method for authorizing in data transmission systems Brodkin Jon 2013 05 23 Kim Dotcom claims he invented two factor authentication but he wasn t first Ars Technica khlngkhxmulekaekbcakaehlngedimemux 2019 07 09 subkhnemux 2019 07 25 US 5708422 Blonder et al Transaction authorization and alert system aehlngkhxmulxunBrandom Russell 2017 07 10 Two factor authentication is a mess The Verge subkhnemux 2017 07 10 karphisucntwcringdwypccyhlayxyang thiokhrngkarphinxngkhxngwikiphiediy hakhwamhmaycakwikiphcnanukrmphaphaelasuxcakkhxmmxnshnngsuxcakwikitaraaehlngeriynrucakwikiwithyalykhxmulcakwikisnethskarxphipraycakemtha wikiexksarcakmiediywiki Attackers breached the servers of RSA and stole information that could be used to compromise the security of two factor authentication tokens used by 40 million employees register com 18 Mar 2011 Banks to Use Two factor Authentication by End of 2006 slashdot org 20 Oct 2005 Microsoft to abandon passwords Microsoft preparing to dump passwords in favour of two factor authentication in forthcoming versions of Windows vnunet com 14 Mar 2005