การตรวจสอบสิทธิ์แบบหลายปัจจัย ( MFA)หรือที่รู้จักกันในชื่อการตรวจสอบสิทธิ์แบบสองปัจจัย ( 2FA ) เป็น วิธี การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ที่ผู้ใช้จะได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอปพลิเคชัน ได้ก็ต่อเมื่อได้แสดงหลักฐาน (หรือ ปัจจัย ) ที่แตกต่างกันสองประเภทขึ้นไป ต่อกลไก การตรวจสอบสิทธิ์แล้วเท่านั้น MFA ช่วยปกป้องข้อมูลส่วนบุคคลซึ่งอาจรวมถึงข้อมูลประจำตัวส่วนบุคคลหรือสินทรัพย์ทางการเงินจากการเข้าถึงโดยบุคคลที่สามที่ไม่ได้รับอนุญาต ซึ่งอาจสามารถค้นพบตัวอย่างเช่นรหัสผ่านเพียงรหัสเดียว ได้

การใช้งาน MFA เพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมา ปัญหาด้านความปลอดภัยที่อาจทำให้เกิดการข้าม MFA ได้แก่การโจมตีแบบเหนื่อยล้า การ ฟิชชิ่งและการสลับซิม^{[ 1 ]}

บัญชีที่มีการเปิดใช้งาน MFA มีโอกาสถูกบุกรุกน้อยลงอย่างมาก^{[ 2 ]}

การตรวจสอบสิทธิ์เกิดขึ้นเมื่อมีคนพยายามเข้าสู่ระบบทรัพยากรคอมพิวเตอร์ (เช่นเครือข่ายคอมพิวเตอร์อุปกรณ์ หรือแอปพลิเคชัน) ทรัพยากรนั้นต้องการให้ผู้ใช้ระบุตัวตนที่ผู้ใช้เป็นที่รู้จักในทรัพยากร พร้อมกับหลักฐานยืนยันความถูกต้องของการอ้างสิทธิ์ในตัวตนนั้น การตรวจสอบสิทธิ์แบบง่ายต้องการหลักฐานเพียงชิ้นเดียว (ปัจจัย) ซึ่งโดยทั่วไปคือรหัสผ่าน หรือบางครั้งอาจต้องการหลักฐานหลายชิ้นที่เป็นประเภทเดียวกันทั้งหมด เช่น หมายเลขบัตรเครดิตและรหัสยืนยันบัตร (CVC) เพื่อความปลอดภัยเพิ่มเติม ทรัพยากรอาจต้องการปัจจัยมากกว่าหนึ่งอย่าง—การตรวจสอบสิทธิ์แบบหลายปัจจัย หรือการตรวจสอบสิทธิ์แบบสองปัจจัยในกรณีที่ต้องระบุหลักฐานสองประเภท^{[ 3 ]}

การใช้ปัจจัยการตรวจสอบสิทธิ์หลายปัจจัยเพื่อพิสูจน์ตัวตนนั้นขึ้นอยู่กับสมมติฐานที่ว่าผู้กระทำการที่ไม่ได้รับอนุญาตไม่น่าจะสามารถจัดหาปัจจัยทั้งหมดที่จำเป็นสำหรับการเข้าถึงได้ หากในการพยายามตรวจสอบสิทธิ์ ส่วนประกอบอย่างน้อยหนึ่งส่วนขาดหายไปหรือจัดหาไม่ถูกต้อง ตัวตนของผู้ใช้จะไม่ได้รับการยืนยันด้วยความแน่นอนเพียงพอ และการเข้าถึงสินทรัพย์ (เช่น อาคาร หรือข้อมูล) ที่ได้รับการปกป้องโดยการตรวจสอบสิทธิ์แบบหลายปัจจัยก็จะยังคงถูกบล็อก ปัจจัยการตรวจสอบสิทธิ์ของแผนการตรวจสอบสิทธิ์แบบหลายปัจจัยอาจรวมถึง: ^{[ 4 ]}

• สิ่งที่ผู้ใช้มี: วัตถุใดๆ ที่อยู่ในครอบครองของผู้ใช้ เช่นโทเค็นรักษาความปลอดภัย ( แฟลชไดรฟ์ USB ), บัตรธนาคาร , กุญแจ, โทรศัพท์ที่สามารถติดต่อได้ที่หมายเลขใดหมายเลขหนึ่ง เป็นต้น
• สิ่งที่ผู้ใช้รู้: ความรู้เฉพาะที่ผู้ใช้เท่านั้นที่รู้ เช่นรหัสผ่าน , PIN , PUKเป็นต้น
• สิ่งที่เป็นตัวผู้ใช้: ลักษณะทางกายภาพบางอย่างของผู้ใช้ ( ไบโอเมตริก ) เช่นลายนิ้วมือ ม่านตา เสียงความเร็วในการพิมพ์ รูปแบบช่วงเวลาในการกดแป้นพิมพ์ เป็นต้น

ตัวอย่างของการตรวจสอบสิทธิ์แบบสองปัจจัยคือการถอนเงินจากตู้ ATM เฉพาะการใช้ บัตรธนาคารที่ถูกต้อง(ซึ่งผู้ใช้เป็นเจ้าของ) และรหัส PIN (ซึ่งผู้ใช้รู้) เท่านั้นที่จะอนุญาตให้ทำธุรกรรมได้ อีกสองตัวอย่างคือการเพิ่มรหัสผ่านแบบใช้ครั้งเดียว (OTP) หรือรหัสที่สร้างหรือได้รับจากอุปกรณ์ตรวจสอบสิทธิ์ (เช่น โท เค็นความปลอดภัยหรือสมาร์ทโฟน ) ซึ่งมีเพียงผู้ใช้เท่านั้นที่เป็นเจ้าของ เข้าไป ในรหัสผ่านที่ผู้ใช้ควบคุม ^{[ 5 ]}

แอ ป Authenticatorช่วยให้การตรวจสอบสิทธิ์แบบสองปัจจัยสามารถทำได้ในรูปแบบที่แตกต่างออกไป โดยการแสดงรหัสที่สร้างขึ้นแบบสุ่มและอัปเดตอยู่ตลอดเวลา แทนที่จะส่งSMSหรือใช้วิธีอื่น^{[ 6 ]}รหัสนี้คือรหัสผ่านแบบใช้ครั้งเดียวตามเวลา ( TOTP ) และแอป Authenticator จะมีข้อมูลสำคัญที่ช่วยให้สามารถสร้างรหัสเหล่านี้ได้

ปัจจัยด้านความรู้ ("สิ่งที่ผู้ใช้เท่านั้นที่รู้") เป็นรูปแบบหนึ่งของการตรวจสอบสิทธิ์ ในรูปแบบนี้ ผู้ใช้จะต้องพิสูจน์ว่าตนเองรู้ความลับเพื่อยืนยันตัวตน

รหัสผ่านคือคำลับหรือสตริงของอักขระที่ใช้สำหรับการตรวจสอบสิทธิ์ผู้ใช้ นี่เป็นกลไกการตรวจสอบสิทธิ์ที่ใช้กันมากที่สุด^{[ 4 ]}เทคนิคการตรวจสอบสิทธิ์แบบหลายปัจจัยจำนวนมากอาศัยรหัสผ่านเป็นปัจจัยหนึ่งในการตรวจสอบสิทธิ์ รูปแบบต่างๆ ได้แก่ รหัสผ่านที่ยาวกว่าซึ่งประกอบด้วยหลายคำ ( วลีรหัสผ่าน ) และรหัส PIN ที่สั้นกว่าซึ่งเป็นตัวเลขล้วนๆ ซึ่งมักใช้สำหรับ การเข้าถึง ตู้ ATMตามธรรมเนียมแล้ว คาดว่าผู้ใช้จะต้องจำ รหัสผ่านได้ แต่ก็สามารถเขียนลงบนกระดาษที่ซ่อนไว้หรือไฟล์ข้อความได้เช่นกัน

ปัจจัยการครอบครอง ("สิ่งที่มีเพียงผู้ใช้เท่านั้นที่มี") ถูกนำมาใช้ในการตรวจสอบสิทธิ์มานานหลายศตวรรษ ในรูปแบบของกุญแจสำหรับล็อก หลักการพื้นฐานคือ กุญแจนั้นบรรจุความลับที่ใช้ร่วมกันระหว่างล็อกและกุญแจ และหลักการเดียวกันนี้ก็อยู่เบื้องหลังการตรวจสอบสิทธิ์ด้วยปัจจัยการครอบครองในระบบคอมพิวเตอร์โทเค็นความปลอดภัยเป็นตัวอย่างหนึ่งของปัจจัยการครอบครอง

โทเค็นที่ไม่ได้เชื่อมต่อจะไม่มีการเชื่อมต่อกับคอมพิวเตอร์ไคลเอ็นต์ โดยทั่วไปจะใช้หน้าจอในตัวเพื่อแสดงข้อมูลการตรวจสอบสิทธิ์ที่สร้างขึ้น ซึ่งผู้ใช้จะต้องพิมพ์ด้วยตนเอง โทเค็นประเภทนี้ส่วนใหญ่จะใช้รหัสผ่านแบบใช้ครั้งเดียวซึ่งสามารถใช้ได้เฉพาะในเซสชันนั้นเท่านั้น^{[ 7 ]}

โทเค็นที่เชื่อมต่อเป็นอุปกรณ์ที่ เชื่อมต่อ ทางกายภาพกับคอมพิวเตอร์ที่จะใช้ อุปกรณ์เหล่านั้นจะส่งข้อมูลโดยอัตโนมัติ^{[ 8 ]}มีหลายประเภท ได้แก่ โทเค็น USB สมาร์ทการ์ดและแท็กไร้สาย^{[ 8 ]} โทเค็นที่รองรับ FIDO2ซึ่งได้รับการสนับสนุนจากFIDO AllianceและWorld Wide Web Consortium (W3C) ได้รับความนิยม มากขึ้นเรื่อยๆโดยเริ่มมีการรองรับในเบราว์เซอร์หลักตั้งแต่ปี 2015

โทเค็นซอฟต์แวร์ (หรือที่เรียกว่าซอฟต์โทเค็น ) เป็นอุปกรณ์รักษาความปลอดภัยแบบสองปัจจัยชนิดหนึ่งที่สามารถใช้เพื่ออนุญาตการใช้งานบริการคอมพิวเตอร์ โทเค็นซอฟต์แวร์จะถูกจัดเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์อเนกประสงค์ เช่นคอมพิวเตอร์ตั้งโต๊ะแล็ปท็อป PDA หรือโทรศัพท์มือถือและสามารถทำสำเนาได้ – ซึ่งแตกต่างจากโทเค็นฮาร์ดแวร์ที่ข้อมูลประจำตัวจะถูกจัดเก็บไว้ในอุปกรณ์ฮาร์ดแวร์เฉพาะ และไม่สามารถทำสำเนาได้ เว้นแต่จะมีการบุกรุกทางกายภาพเข้าไปในอุปกรณ์นั้น โทเค็นซอฟต์แวร์อาจไม่ใช่อุปกรณ์ที่ผู้ใช้โต้ตอบด้วย โดยทั่วไปแล้ว ใบรับรอง X.509v3 จะถูกโหลดลงในอุปกรณ์และจัดเก็บอย่างปลอดภัยเพื่อวัตถุประสงค์นี้

การตรวจสอบสิทธิ์แบบหลายปัจจัยยังสามารถนำไปใช้ในระบบรักษาความปลอดภัยทางกายภาพได้ โดยทั่วไปจะใช้งานผ่านการใช้สิ่งบ่งชี้ทางกายภาพ (เช่น พวงกุญแจ บัตรหรือรหัส QRที่แสดงบนอุปกรณ์) เป็นข้อมูลประจำตัว และการตรวจสอบยืนยันตัวตน เช่น การใช้ไบโอเมตริกซ์ใบหน้าหรือการสแกนม่านตา (การตรวจสอบใบหน้าหรือการตรวจสอบสิทธิ์ด้วยใบหน้า) หรือรหัส PIN

ปัจจัยโดยธรรมชาติ ("บางสิ่งที่ผู้ใช้เป็น") คือปัจจัยที่เกี่ยวข้องกับผู้ใช้ และโดยทั่วไปจะเป็นวิธีการไบโอเมตริกส์ รวมถึงการจดจำ ลายนิ้วมือใบหน้า^{[ 9 ]}เสียงหรือม่านตานอกจากนี้ยังสามารถใช้ ไบโอเมตริกส์เชิงพฤติกรรม เช่น ไดนามิกการกดแป้นพิมพ์ ได้อีกด้วย

ปัจจัยที่สี่ที่เข้ามามีบทบาทมากขึ้นเรื่อยๆ คือตำแหน่งที่ตั้งทางกายภาพของผู้ใช้ ในขณะที่ผู้ใช้เชื่อมต่อกับเครือข่ายขององค์กร ผู้ใช้อาจได้รับอนุญาตให้เข้าสู่ระบบโดยใช้รหัส PIN เท่านั้น ในขณะที่หากผู้ใช้ทำงานจากระยะไกล อาจจำเป็นต้องใช้วิธี MFA ที่ปลอดภัยกว่า เช่น การป้อนรหัสจากซอฟต์โทเค็นด้วย การปรับประเภทของวิธีการ MFA และความถี่ให้เข้ากับตำแหน่งที่ตั้งของผู้ใช้จะช่วยหลีกเลี่ยงความเสี่ยงที่พบได้ทั่วไปในการทำงานจากระยะไกล^{[ 10 ]}

ระบบควบคุมการเข้าถึงเครือข่ายทำงานในลักษณะที่คล้ายคลึงกัน โดยระดับการเข้าถึงเครือข่ายอาจขึ้นอยู่กับเครือข่ายเฉพาะที่อุปกรณ์เชื่อมต่ออยู่ เช่น การเชื่อมต่อ Wi-Fiเทียบกับการเชื่อมต่อแบบใช้สาย นอกจากนี้ยังช่วยให้ผู้ใช้สามารถย้ายไปมาระหว่างสำนักงานต่างๆ และได้รับการเข้าถึงเครือข่ายในระดับเดียวกันในแต่ละแห่ง ได้โดยไม่จำเป็นต้องเปลี่ยนแปลง

การตรวจสอบสิทธิ์แบบสองปัจจัยผ่านข้อความได้รับการพัฒนาขึ้นตั้งแต่ปี 1996 เมื่อ AT&T อธิบายระบบการอนุมัติธุรกรรมโดยอาศัยการแลกเปลี่ยนรหัสผ่านเพจเจอร์แบบสองทาง^{[ 11 ] [ 12 ]}

ผู้ให้บริการระบบยืนยันตัวตนแบบหลายปัจจัยหลายรายนำเสนอวิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือ วิธีการบางอย่างได้แก่ การยืนยันตัวตนผ่านการแจ้งเตือนแบบพุช การยืนยันตัวตนผ่าน รหัส QRการยืนยันตัวตนด้วยรหัสผ่านแบบใช้ครั้งเดียว (แบบอิงเหตุการณ์และแบบอิงเวลา) และการยืนยันตัวตนผ่าน SMS การยืนยันตัวตนผ่าน SMS มีข้อกังวลด้านความปลอดภัยอยู่บ้าง โทรศัพท์สามารถถูกคัดลอกได้ แอปพลิเคชันสามารถทำงานบนโทรศัพท์หลายเครื่องได้ และเจ้าหน้าที่ฝ่ายซ่อมบำรุงโทรศัพท์มือถือสามารถอ่านข้อความ SMS ได้ ที่สำคัญที่สุดคือ โทรศัพท์มือถือสามารถถูกบุกรุกได้โดยทั่วไป ซึ่งหมายความว่าโทรศัพท์จะไม่ใช่สิ่งที่เป็นของผู้ใช้เพียงคนเดียวอีกต่อไป

ข้อเสียเปรียบที่สำคัญของการตรวจสอบสิทธิ์ที่รวมถึงสิ่งที่ผู้ใช้ครอบครองคือ ผู้ใช้ต้องพกโทเค็นทางกายภาพ (เช่น แฟลชไดรฟ์ USB บัตรธนาคาร กุญแจ หรือสิ่งของที่คล้ายกัน) ติดตัวตลอดเวลา ซึ่งมีความเสี่ยงต่อการสูญหายและการถูกขโมย องค์กรหลายแห่งห้ามการนำอุปกรณ์ USB และอุปกรณ์อิเล็กทรอนิกส์เข้าหรือออกจากสถานที่ทำงานเนื่องจาก ความเสี่ยง จากมัลแวร์และการขโมยข้อมูล และเครื่องจักรที่สำคัญส่วนใหญ่ไม่มีพอร์ต USB ด้วยเหตุผลเดียวกัน โทเค็นทางกายภาพมักไม่สามารถขยายขนาดได้ โดยทั่วไปต้องใช้โทเค็นใหม่สำหรับแต่ละบัญชีและระบบใหม่ การจัดหาและการเปลี่ยนโทเค็นประเภทนี้มีค่าใช้จ่าย นอกจากนี้ยังมีความขัดแย้งโดยธรรมชาติและการแลกเปลี่ยนที่ไม่สามารถหลีกเลี่ยงได้ระหว่างความสามารถในการใช้งานและความปลอดภัย^{[ 13 ]}

การตรวจสอบสิทธิ์แบบสองขั้นตอนโดยใช้โทรศัพท์มือถือและสมาร์ทโฟนเป็นทางเลือกแทนอุปกรณ์ทางกายภาพเฉพาะ ในการตรวจสอบสิทธิ์ ผู้คนสามารถใช้รหัสการเข้าถึงส่วนบุคคลไปยังอุปกรณ์ (เช่น สิ่งที่ผู้ใช้แต่ละคนรู้เท่านั้น) บวกกับรหัสผ่านแบบไดนามิกที่ใช้ได้ครั้งเดียว ซึ่งโดยทั่วไปประกอบด้วยตัวเลข 4 ถึง 6 หลัก รหัสผ่านสามารถส่งไปยังอุปกรณ์มือถือ^{[ 3 ]}ทางSMSหรือสามารถสร้างได้โดยแอปสร้างรหัสผ่านแบบใช้ครั้งเดียว ในทั้งสองกรณี ข้อดีของการใช้โทรศัพท์มือถือคือไม่จำเป็นต้องมีโทเค็นเฉพาะเพิ่มเติม เนื่องจากผู้ใช้มักจะพกอุปกรณ์มือถือติดตัวตลอดเวลา

แม้ว่าการยืนยันด้วย SMS จะได้รับความนิยม แต่ผู้สนับสนุนด้านความปลอดภัยได้วิพากษ์วิจารณ์การยืนยันด้วย SMS อย่างเปิดเผย^{[ 14 ]} และในเดือนกรกฎาคม 2016 ร่างแนวทางของ NISTของสหรัฐอเมริกาได้เสนอให้ยกเลิกการใช้การยืนยันด้วย SMS เป็นรูปแบบการตรวจสอบสิทธิ์^{[ 15 ]}หนึ่งปีต่อมา NIST ได้นำการยืนยันด้วย SMS กลับมาใช้เป็นช่องทางการตรวจสอบสิทธิ์ที่ถูกต้องในแนวทางฉบับสมบูรณ์^{[ 16 ]}

ตั้งแต่ปี 2011 Duo Security ได้นำเสนอการแจ้งเตือนแบบพุชสำหรับ MFA ผ่านแอปมือถือ^{[ 17 ]} ในปี 2016 และ 2017 ตามลำดับ ทั้ง Google และ Apple เริ่มนำเสนอการตรวจสอบสิทธิ์แบบสองขั้นตอนของผู้ใช้ด้วยการแจ้งเตือนแบบพุช^{[ 4 ]}เป็นวิธีการทางเลือก^{[ 18 ] [ 19 ]}

ความปลอดภัยของโทเค็นความปลอดภัยที่ส่งผ่าน SMS ขึ้นอยู่กับความปลอดภัยในการดำเนินงานของผู้ให้บริการโทรศัพท์มือถืออย่างสมบูรณ์ และสามารถถูกเจาะได้ง่ายโดยการดักฟังหรือการโคลนนิ่งซิมโดยหน่วยงานความมั่นคงแห่งชาติ^{[ 20 ]}

ข้อดี:

• ไม่จำเป็นต้องใช้โทเค็นเพิ่มเติม เนื่องจากใช้บนอุปกรณ์พกพาซึ่ง (โดยปกติ) พกติดตัวอยู่ตลอดเวลา
• เนื่องจากรหัสผ่านที่สร้างขึ้นแบบไดนามิกมีการเปลี่ยนแปลงอยู่ตลอดเวลา จึงปลอดภัยกว่าการใช้ข้อมูลการเข้าสู่ระบบแบบคงที่ (static)
• ขึ้นอยู่กับโซลูชันนั้น รหัสผ่านที่ใช้แล้วจะถูกแทนที่โดยอัตโนมัติเพื่อให้แน่ใจว่ามีรหัสที่ถูกต้องอยู่เสมอ ดังนั้นปัญหาในการส่ง/รับข้อมูลจึงไม่เป็นอุปสรรคต่อการเข้าสู่ระบบ

ข้อเสีย:

• ผู้ใช้อาจยังคงเสี่ยงต่อการโจมตีแบบฟิชชิ่ง ผู้โจมตีสามารถส่งข้อความที่มีลิงก์ไปยังเว็บไซต์ปลอมที่มีลักษณะเหมือนกับเว็บไซต์จริง ซึ่งเป็นการโจมตีแบบ Man-in-the-middleจากนั้นผู้โจมตีจะได้รับรหัสยืนยัน ชื่อผู้ใช้ และรหัสผ่าน^{[ 21 ]}
• โทรศัพท์มือถือไม่สามารถใช้งานได้ตลอดเวลา อาจสูญหาย ถูกขโมย แบตเตอรี่หมด หรือใช้งานไม่ได้ด้วยเหตุผลอื่นๆ โดยเฉพาะอย่างยิ่ง การสูญหายของอุปกรณ์ที่ไม่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยเป็นจุดอ่อนสำคัญของการใช้งานในวงกว้าง (เมื่อเทียบกับการสูญหายของอุปกรณ์และไม่ได้ใช้ MFA) แนวทางแก้ไขจุดอ่อนนี้มักนำมาซึ่งความซับซ้อนเพิ่มเติมในการใช้งาน MFA
• แม้ว่าอุปกรณ์พกพาจะได้รับความนิยมมากขึ้นเรื่อย ๆ แต่ผู้ใช้บางรายอาจไม่มีอุปกรณ์พกพา และรู้สึกไม่พอใจที่ต้องมีอุปกรณ์พกพาเป็นเงื่อนไขในการใช้บริการบางอย่างบนคอมพิวเตอร์ที่บ้านของตน
• ระบบSS7ที่รองรับการโรมมิ่งโทรศัพท์มือถือมีช่องโหว่ และข้อความ SMS อาจถูกส่งต่อไปยังผู้โจมตี^{[ 22 ]}
• สัญญาณโทรศัพท์มือถือไม่สามารถใช้งานได้ตลอดเวลา โดยเฉพาะในพื้นที่กว้างใหญ่ นอกเมือง มักขาดสัญญาณ
• การโคลนนิ่งซิมทำให้แฮกเกอร์สามารถเข้าถึงการเชื่อมต่อโทรศัพท์มือถือได้การโจมตีด้วยการสลับซิมและ การโจมตี แบบวิศวกรรมสังคมต่อบริษัทผู้ให้บริการโทรศัพท์มือถือส่งผลให้มีการส่งมอบซิมการ์ดที่ซ้ำกันให้กับอาชญากร^{[ 23 ]}
• ข้อความที่ส่งไปยังโทรศัพท์มือถือโดยใช้SMSนั้นไม่ปลอดภัยและอาจถูกดักจับโดยเครื่องดักจับ IMSIดังนั้นบุคคลที่สามจึงสามารถขโมยและใช้โทเค็นได้^{[ 24 ]}
• การกู้คืนบัญชีโดยทั่วไปจะข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยของโทรศัพท์มือถือ^{[ 3 ]}
• สมาร์ทโฟนในปัจจุบันใช้รับทั้งอีเมลและ SMS ดังนั้นหากโทรศัพท์หายหรือถูกขโมยและไม่ได้ป้องกันด้วยรหัสผ่านหรือไบโอเมตริก บัญชีทั้งหมดที่ใช้ที่อยู่อีเมลเป็นกุญแจหลักก็อาจถูกเข้าถึงได้ เนื่องจากโทรศัพท์สามารถรับปัจจัยยืนยันตัวตนที่สองได้
• ผู้ให้บริการเครือข่ายมือถืออาจเรียกเก็บค่าธรรมเนียมการส่งข้อความจากผู้ใช้

ข้อกำหนด 8.3 ของมาตรฐานความปลอดภัยข้อมูล อุตสาหกรรมบัตรชำระเงิน (PCI)กำหนดให้ใช้ MFA สำหรับการเข้าถึงเครือข่ายระยะไกลทั้งหมดที่มาจากภายนอกเครือข่ายไปยังสภาพแวดล้อมข้อมูลบัตร (CDE) ^{[ 25 ]}ตั้งแต่ PCI-DSS เวอร์ชัน 3.2 เป็นต้นไป กำหนดให้ใช้ MFA สำหรับการเข้าถึงการดูแลระบบทั้งหมดไปยัง CDE แม้ว่าผู้ใช้จะอยู่ในเครือข่ายที่เชื่อถือได้ก็ตาม

คำสั่งบริการชำระเงินฉบับที่สองกำหนดให้ต้องมี " การยืนยันตัวตนลูกค้าที่เข้มงวด " สำหรับการชำระเงินทางอิเล็กทรอนิกส์ส่วนใหญ่ในเขตเศรษฐกิจยุโรปตั้งแต่วันที่ 14 กันยายน 2019 ^{[ 26 ]}

ในอินเดียธนาคารกลางแห่งอินเดียกำหนดให้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับธุรกรรมออนไลน์ทั้งหมดที่ทำโดยใช้บัตรเดบิตหรือบัตรเครดิต โดยใช้รหัสผ่านหรือรหัสผ่านแบบใช้ครั้งเดียวที่ส่งทางSMSข้อกำหนดนี้ถูกยกเลิกในปี 2559 สำหรับธุรกรรมที่มีมูลค่าไม่เกิน 2,000 รูปี หลังจากเลือกใช้กับธนาคารผู้ออกบัตร^{[ 27 ]} ธนาคารได้กำหนดให้ ผู้ให้บริการเช่นUberต้องแก้ไขระบบประมวลผลการชำระเงินให้สอดคล้องกับการใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยนี้^{[ 28 ] [ 29 ] [ 30 ]}

รายละเอียดการตรวจสอบสิทธิ์สำหรับพนักงานและผู้รับเหมาของรัฐบาลกลางในสหรัฐอเมริกาได้รับการกำหนดไว้ในคำสั่งประธานาธิบดีด้านความมั่นคงแห่งชาติฉบับที่ 12 (HSPD-12) ^{[ 31 ]}

มาตรฐานการกำกับดูแลด้านไอทีสำหรับการเข้าถึงระบบของรัฐบาลกลางกำหนดให้ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยในการเข้าถึงทรัพยากรไอทีที่ละเอียดอ่อน เช่น เมื่อล็อกอินเข้าสู่อุปกรณ์เครือข่ายเพื่อดำเนินการด้านการบริหาร^{[ 32 ]}และเมื่อเข้าถึงคอมพิวเตอร์ใดๆ โดยใช้การล็อกอินที่มีสิทธิ์พิเศษ^{[ 33 ]}

เอกสารเผยแพร่พิเศษ ของ NISTหมายเลข 800-63-3 กล่าวถึงรูปแบบต่างๆ ของการตรวจสอบสิทธิ์แบบสองปัจจัยและให้คำแนะนำเกี่ยวกับการใช้งานในกระบวนการทางธุรกิจที่ต้องการระดับความมั่นใจที่แตกต่างกัน^{[ 34 ]}

ในปี 2548 สภาตรวจสอบสถาบันการเงินแห่งสหรัฐอเมริกา(Federal Financial Institutions Examination Council)ได้ออกแนวทางสำหรับสถาบันการเงิน โดยแนะนำให้สถาบันการเงินดำเนินการประเมินความเสี่ยง ประเมินโปรแกรมสร้างความตระหนักรู้ของลูกค้า และพัฒนาระบบรักษาความปลอดภัยเพื่อยืนยันตัวตนของลูกค้าที่เข้าถึงบริการทางการเงินออนไลน์ จากระยะไกลได้อย่างน่าเชื่อถือ โดยแนะนำอย่างเป็นทางการให้ใช้วิธีการยืนยันตัวตนที่ขึ้นอยู่กับปัจจัยมากกว่าหนึ่งปัจจัย (โดยเฉพาะสิ่งที่ผู้ใช้รู้ มี และเป็น) เพื่อกำหนดตัวตนของผู้ใช้^{[ 35 ]}เพื่อตอบสนองต่อการเผยแพร่ดังกล่าว ผู้จำหน่ายระบบยืนยันตัวตนจำนวนมากเริ่มส่งเสริมคำถามท้าทาย รูปภาพลับ และวิธีการที่ใช้ความรู้เป็นพื้นฐานอื่นๆ อย่างไม่ถูกต้องว่าเป็นระบบยืนยันตัวตนแบบ "หลายปัจจัย" เนื่องจากความสับสนและการนำวิธีการดังกล่าวไปใช้อย่างแพร่หลาย ในวันที่ 15 สิงหาคม 2549 FFIEC จึงได้เผยแพร่แนวทางเพิ่มเติม ซึ่งระบุว่าตามคำจำกัดความ ระบบยืนยันตัวตนแบบหลายปัจจัย "ที่แท้จริง" จะต้องใช้ตัวอย่างที่แตกต่างกันของปัจจัยการยืนยันตัวตนทั้งสามที่ได้กำหนดไว้ และไม่ใช่เพียงแค่ใช้ตัวอย่างหลายๆ ตัวอย่างของปัจจัยเดียว^{[ 36 ]}

ด้วยความน่าเชื่อถือของวิธีการนี้ ในบางประเทศ การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) จึงเป็นข้อบังคับในบางอุตสาหกรรม เช่น การดูแลสุขภาพ เพื่อป้องกันการโจรกรรมข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น ในสหรัฐอเมริกา ทั้งกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (CCPA)และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและการประกันสุขภาพ (HIPAA)ได้กำหนดมาตรฐานสำหรับการคุ้มครองข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ รวมถึงข้อกำหนดที่สนับสนุนการใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อให้มั่นใจได้ถึงการเข้าถึงที่ปลอดภัยและการปฏิบัติตามกฎระเบียบ

ในภาคการดูแลสุขภาพกฎความปลอดภัยของพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ (HIPAA) ได้ระบุการควบคุมการเข้าถึงไว้เป็นข้อกำหนดการใช้งานที่จำเป็น แต่ไม่ได้กำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยไว้อย่างชัดเจน สำนักงานสิทธิพลเมืองของ HHS ได้ตั้งข้อสังเกตในแนวทางการบังคับใช้ว่าการขาด MFA เป็นปัจจัยหนึ่งที่ทำให้เกิดการละเมิดข้อมูลด้านการดูแลสุขภาพหลายครั้งที่ถูกตรวจสอบภายใต้ HIPAA ^{[ 37 ]}ในเดือนธันวาคม 2024 HHS ได้เผยแพร่ประกาศร่างกฎระเบียบที่จะทำให้การตรวจสอบสิทธิ์แบบหลายปัจจัยเป็นข้อกำหนดบังคับสำหรับหน่วยงานที่อยู่ภายใต้การกำกับดูแลของ HIPAA ทั้งหมดที่เข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์^{[ 38 ]}

ตามที่ผู้สนับสนุนกล่าว การตรวจสอบสิทธิ์แบบหลายปัจจัยสามารถลดการเกิดการโจรกรรมข้อมูลส่วนบุคคล ทางออนไลน์ และการฉ้อโกง ทางออนไลน์อื่นๆ ได้อย่างมาก เนื่องจากรหัสผ่านของเหยื่อจะไม่เพียงพอที่จะทำให้ผู้ขโมยเข้าถึงข้อมูลของพวกเขาได้อย่างถาวร อย่างไรก็ตาม วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัยหลายวิธียังคงมีความเสี่ยงต่อการโจมตีแบบฟิชชิง [ ^{39 ] [ 40 ] การ} โจมตี แบบ man-in-the-browserและการโจมตีแบบ man-in-the-middle [ ^{41 ] เพื่อ}ต่อต้านการโจมตีแบบฟิชชิง ผู้ใช้ไม่ควรแบ่งปันรหัสยืนยันของตนกับใคร^{[ 42 ]}และผู้ให้บริการแอปพลิเคชันเว็บหลายรายจะวางคำแนะนำไว้ในอีเมลหรือ SMS ที่มีรหัส^{[ 43 ]}

ในเดือนพฤษภาคม 2017 O2 Telefónicaผู้ให้บริการโทรศัพท์มือถือของเยอรมนี ยืนยันว่าอาชญากรไซเบอร์ได้ใช้ ช่องโหว่ SS7เพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองขั้นตอนผ่าน SMS เพื่อถอนเงินจากบัญชีธนาคารของผู้ใช้โดยไม่ได้รับอนุญาต อาชญากรจะทำการติดไวรัสคอมพิวเตอร์ของผู้ถือบัญชีก่อนเพื่อพยายามขโมยข้อมูลประจำตัวบัญชีธนาคารและหมายเลขโทรศัพท์ จากนั้นผู้โจมตีจะซื้อสิทธิ์การเข้าถึงผู้ให้บริการโทรคมนาคมปลอมและตั้งค่าการเปลี่ยนเส้นทางหมายเลขโทรศัพท์ของเหยื่อไปยังโทรศัพท์มือถือที่พวกเขาควบคุม สุดท้าย ผู้โจมตีจะเข้าสู่บัญชีธนาคารออนไลน์ของเหยื่อและขอให้ถอนเงินในบัญชีไปยังบัญชีที่เป็นของอาชญากร รหัสผ่าน SMS จะถูกส่งไปยังหมายเลขโทรศัพท์ที่ผู้โจมตีควบคุม และอาชญากรจะโอนเงินออกไป^{[ 44 ]}

วิธีการที่พบได้บ่อยขึ้นในการเอาชนะ MFA คือการโจมตีผู้ใช้ด้วยคำขอให้ยอมรับการเข้าสู่ระบบจำนวนมาก จนกระทั่งผู้ใช้ทนไม่ไหวกับปริมาณคำขอและเผลอยอมรับไปหนึ่งครั้ง^{[ 45 ]} การโจมตีแบบ วิศวกรรมสังคมรูปแบบนี้เรียกว่าการโจมตีที่ทำให้ผู้ใช้เหนื่อยล้าจากการตรวจสอบสิทธิ์แบบหลายปัจจัย (หรือการโจมตีที่ทำให้ผู้ใช้เหนื่อยล้าจาก MFA หรือการโจมตีแบบ MFA bombing) และอาจรวมถึงองค์ประกอบอื่นๆ เช่น การโทรที่แสร้งทำเป็นฝ่ายสนับสนุนด้านไอที^{[ 46 ] [ 47 ] [ 48 ]}เมื่อแอปพลิเคชัน MFA ถูกกำหนดค่าให้ส่งการแจ้งเตือนแบบพุชไปยังผู้ใช้ปลายทาง ผู้โจมตีสามารถส่งคำขอเข้าสู่ระบบจำนวนมากโดยหวังว่าผู้ใช้จะคลิกยอมรับอย่างน้อยหนึ่งครั้ง^{[ 46 ]}

ในปี 2022 ไมโครซอฟต์ได้นำมาตรการบรรเทาการโจมตีที่เกิดจากความเหนื่อยล้าของ MFA มาใช้กับแอปตรวจสอบสิทธิ์ โดยกำหนดให้ผู้ใช้ต้องพิมพ์ตัวเลขเพิ่มเติมนอกเหนือจากการคลิก "อนุมัติ" ^{[ 49 ]}

ในเดือนกันยายน พ.ศ. 2565 ระบบรักษาความปลอดภัย ของ UberถูกเจาะโดยสมาชิกของLapsus$โดยใช้การโจมตีแบบความเหนื่อยล้าจากปัจจัยหลายตัว^{[ 50 ] [ 51 ]} ในช่วงต้นปี พ.ศ. 2567 ผู้บริโภค ของ Appleจำนวนเล็กน้อยประสบกับการโจมตีแบบความเหนื่อยล้าจาก MFA ซึ่งเกิดจากแฮ็กเกอร์ที่ข้ามข้อจำกัดอัตราและCaptchaในหน้า "ลืมรหัสผ่าน" ของ Apple

ผลิตภัณฑ์การตรวจสอบสิทธิ์แบบหลายปัจจัยจำนวนมากต้องการให้ผู้ใช้ติดตั้งซอฟต์แวร์ไคลเอ็นต์ เพื่อให้ระบบการตรวจสอบสิทธิ์แบบหลายปัจจัยทำงานได้ ผู้จำหน่ายบางรายได้สร้างแพ็คเกจการติดตั้งแยกต่างหากสำหรับการเข้าสู่ระบบเครือข่ายข้อมูลประจำตัวการเข้าถึงเว็บและข้อมูลประจำตัวการเชื่อมต่อVPNสำหรับผลิตภัณฑ์ดังกล่าว อาจมี แพ็คเกจ ซอฟต์แวร์ ที่แตกต่างกันสี่หรือห้าแพ็คเกจ ที่จะต้องติดตั้งลงใน พีซี ไคลเอ็นต์เพื่อใช้โทเค็นหรือสมาร์ทการ์ดซึ่งหมายถึงแพ็คเกจสี่หรือห้าแพ็คเกจที่ต้องทำการควบคุมเวอร์ชัน และแพ็คเกจสี่หรือห้าแพ็คเกจที่ต้องตรวจสอบความขัดแย้งกับแอปพลิเคชันทางธุรกิจ หากสามารถเข้าถึงโดยใช้เว็บเพจได้ ก็สามารถจำกัดค่าใช้จ่ายที่กล่าวมาข้างต้นให้เหลือเพียงแอปพลิเคชันเดียวได้ ด้วยเทคโนโลยีการตรวจสอบสิทธิ์แบบหลายปัจจัยอื่นๆ เช่น ผลิตภัณฑ์โทเค็นฮาร์ดแวร์ ผู้ใช้ปลายทางไม่จำเป็นต้องติดตั้งซอฟต์แวร์ใดๆ การศึกษาบางชิ้นแสดงให้เห็นว่าขั้นตอนการกู้คืน MFA ที่ดำเนินการไม่ดีอาจทำให้เกิดช่องโหว่ใหม่ที่ผู้โจมตีสามารถใช้ประโยชน์ได้^{[ 52 ]}

การตรวจสอบสิทธิ์แบบหลายปัจจัยมีข้อเสียที่ทำให้วิธีการเหล่านี้ไม่แพร่หลาย ผู้ใช้บางรายมีปัญหาในการจดจำโทเค็นฮาร์ดแวร์หรือปลั๊ก USB ผู้ใช้จำนวนมากไม่มีทักษะทางเทคนิคที่จำเป็นในการติดตั้งใบรับรองซอฟต์แวร์ฝั่งไคลเอ็นต์ด้วยตนเอง โดยทั่วไปแล้ว โซลูชันแบบหลายปัจจัยต้องใช้การลงทุนเพิ่มเติมในการใช้งานและค่าใช้จ่ายในการบำรุงรักษา ระบบที่ใช้โทเค็นฮาร์ดแวร์ส่วนใหญ่เป็นกรรมสิทธิ์ และผู้ขายบางรายเรียกเก็บค่าธรรมเนียมรายปีต่อผู้ใช้ การติดตั้งโทเค็นฮาร์ดแวร์ นั้นมีความท้าทายทางด้านโลจิ สติกส์ โทเค็นฮาร์ดแวร์อาจเสียหายหรือสูญหาย และการออกโทเค็นในอุตสาหกรรมขนาดใหญ่ เช่น ธนาคาร หรือแม้แต่ภายในองค์กรขนาดใหญ่ จำเป็นต้องมีการจัดการ นอกจากค่าใช้จ่ายในการติดตั้งแล้ว การตรวจสอบสิทธิ์แบบหลายปัจจัยมักมีค่าใช้จ่ายในการสนับสนุนเพิ่มเติมจำนวนมาก การสำรวจในปี 2008 ^{[ 53 ]} ของ สหกรณ์เครดิตยูเนียนในสหรัฐอเมริกามากกว่า 120 แห่งโดยCredit Union Journalได้รายงานเกี่ยวกับค่าใช้จ่ายในการสนับสนุนที่เกี่ยวข้องกับการตรวจสอบสิทธิ์แบบสองปัจจัย ในรายงานของพวกเขา พบว่า วิธีการใช้ใบรับรองซอฟต์แวร์และแถบเครื่องมือซอฟต์แวร์มีค่าใช้จ่ายในการสนับสนุนสูงที่สุด

การวิจัยเกี่ยวกับการใช้งานระบบการตรวจสอบสิทธิ์แบบหลายปัจจัย^{[ 54 ]}แสดงให้เห็นว่าหนึ่งในองค์ประกอบที่มีแนวโน้มที่จะส่งผลกระทบต่อการนำระบบดังกล่าวมาใช้คือสายงานธุรกิจขององค์กรที่ใช้งานระบบการตรวจสอบสิทธิ์แบบหลายปัจจัย ตัวอย่างที่ยกมาได้แก่ รัฐบาลสหรัฐฯ ซึ่งใช้ระบบโทเค็นทางกายภาพที่ซับซ้อน (ซึ่งได้รับการสนับสนุนโดยโครงสร้างพื้นฐานกุญแจสาธารณะ ที่แข็งแกร่ง ) รวมถึงธนาคารเอกชน ซึ่งมักจะเลือกใช้ระบบการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับลูกค้าของตนที่เกี่ยวข้องกับวิธีการตรวจสอบตัวตนที่เข้าถึงได้ง่ายกว่าและมีราคาถูกกว่า เช่น แอปที่ติดตั้งบนสมาร์ทโฟนของลูกค้า แม้ว่าจะมีระบบต่างๆ มากมายที่องค์กรอาจต้องเลือกใช้ แต่เมื่อระบบการตรวจสอบสิทธิ์แบบหลายปัจจัยถูกใช้งานภายในองค์กรแล้ว ระบบนั้นมักจะยังคงอยู่ต่อไป เนื่องจากผู้ใช้จะปรับตัวให้เข้ากับการมีอยู่และการใช้งานของระบบ และยอมรับมันเมื่อเวลาผ่านไปในฐานะองค์ประกอบปกติของกระบวนการโต้ตอบประจำวันกับระบบสารสนเทศที่เกี่ยวข้องของพวกเขา

แม้ว่าการรับรู้คือการตรวจสอบสิทธิ์แบบหลายปัจจัยอยู่ในขอบเขตของความปลอดภัยที่สมบูรณ์แบบ แต่ Roger Grimes เขียนไว้^{[ 55 ]}ว่าหากไม่ได้นำไปใช้และกำหนดค่าอย่างถูกต้อง การตรวจสอบสิทธิ์แบบหลายปัจจัยก็สามารถถูกเจาะได้ง่าย

ในปี 2013 คิม ดอทคอมอ้างว่าได้คิดค้นการตรวจสอบสิทธิ์แบบสองปัจจัยในสิทธิบัตรปี 2000 ^{[ 56 ]}และขู่ว่าจะฟ้องร้องผู้ให้บริการเว็บรายใหญ่ทั้งหมด อย่างไรก็ตาม สำนักงานสิทธิบัตรยุโรปได้เพิกถอนสิทธิบัตรของเขา^{[ 57 ]}โดยพิจารณาจากสิทธิบัตรของสหรัฐอเมริกาปี 1998 ที่ AT&T ถือครองไว้ก่อนหน้านี้^{[ 58 ]}

• ปัจจัยการตรวจสอบสิทธิ์
• การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์
• การจัดการข้อมูลประจำตัว
• การอนุญาตจากหลายฝ่าย
• การตรวจสอบสิทธิ์ร่วมกัน
• นอกแบนด์
• การตรวจสอบความน่าเชื่อถือ
• ปัจจัยที่ 2 สากล
• การตรวจจับและการตอบสนองต่อภัยคุกคามด้านอัตลักษณ์

• TwoFactorAuth.org - TwoFactorAuth.org - แหล่งข้อมูลออนไลน์เชิงลึกเกี่ยวกับ (2FA) และทุกสิ่งที่เกี่ยวข้อง
• ผู้โจมตีได้เจาะเข้าไปในเซิร์ฟเวอร์ของ RSA และขโมยข้อมูลที่อาจนำไปใช้ในการละเมิดความปลอดภัยของโทเค็นการตรวจสอบสิทธิ์แบบสองขั้นตอนที่พนักงาน 40 ล้านคนใช้งานอยู่ (register.com, 18 มีนาคม 2011)
• ธนาคารต่างๆ จะเริ่มใช้ระบบยืนยันตัวตนสองขั้นตอนภายในสิ้นปี 2549 (slashdot.org, 20 ตุลาคม 2548)
• ไมโครซอฟต์เตรียมยกเลิกการใช้รหัสผ่านโดยเตรียมเปลี่ยนมา ใช้การยืนยัน ตัวตนแบบสองขั้นตอนใน Windows เวอร์ชันที่จะออกในอนาคต (vnunet.com, 14 มีนาคม 2548)