การยืนยันตัวตนด้วย OTP คืออะไร? วิธีการทำงาน ความเสี่ยง และทางเลือกอื่น (2026)

รหัสผ่านแบบใช้ครั้งเดียว (OTP) เป็นหัวใจสำคัญของระบบรักษาความปลอดภัยออนไลน์มานานกว่าสองทศวรรษ หากคุณเคยได้รับรหัสหกหลักทางข้อความเพื่อเข้าสู่ระบบธนาคาร คุณก็เคยใช้ OTP มาแล้ว แต่เนื่องจากภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้น คำถามที่องค์กรและทีมรักษาความปลอดภัยถามจึงเปลี่ยนจาก “เราควรใช้ OTP หรือไม่?” เป็น “OTP ยังปลอดภัยเพียงพออยู่หรือไม่?”

บทความนี้อธิบายว่าการตรวจสอบสิทธิ์ด้วย OTP คืออะไร วิธีการทำงานของ OTP แต่ละประเภท ความเสี่ยงด้านความปลอดภัยเฉพาะของแต่ละประเภท และเหตุใด การตรวจสอบใบหน้าด้วยไบโอเมตริก จึงเข้ามาแทนที่ OTP มากขึ้นเรื่อยๆ ในฐานะวิธีการตรวจสอบสิทธิ์ที่ได้รับความนิยมสำหรับกรณีการใช้งานที่ต้องการความน่าเชื่อถือสูง

OTP คืออะไร? ความหมายและคำจำกัดความ

OTP คือรหัสที่สร้างโดยคอมพิวเตอร์ ซึ่งใช้ได้สำหรับการตรวจสอบสิทธิ์เพียงครั้งเดียวและจะหมดอายุหลังจากช่วงเวลาสั้นๆ โดยทั่วไปคือ 30 ถึง 120 วินาที หรือทันทีหลังจากใช้งาน

ต่างจากรหัสผ่านแบบคงที่ซึ่งจะเหมือนเดิมจนกว่าผู้ใช้จะเปลี่ยน รหัสผ่าน OTP จะมีเอกลักษณ์เฉพาะตัวในแต่ละครั้ง ซึ่งช่วยลดความเสี่ยงจากการโจมตีแบบนำรหัสผ่านที่ดักจับได้มาใช้ซ้ำ (credential replay attack) OTP จะถูกส่งผ่านข้อความ SMS อีเมล แอปพลิเคชันยืนยันตัวตน หรืออุปกรณ์โทเค็นฮาร์ดแวร์

การยืนยันตัวตนด้วย OTP มักใช้เป็นส่วนประกอบหนึ่งของ การยืนยันตัวตนแบบหลายปัจจัย (MFA) โดยตอบสนองปัจจัยด้านการครอบครอง – ชั้นความมั่นใจในเรื่อง 'คุณมีอะไร' โดยมีข้อสันนิษฐานว่าเฉพาะผู้ใช้ที่ถูกต้องเท่านั้นที่สามารถเข้าถึงอุปกรณ์หรือกล่องจดหมายที่ได้รับรหัสได้

OTP ทำงานอย่างไร?

กระบวนการ OTP พื้นฐานประกอบด้วยสามขั้นตอน:

1. ผู้ใช้พยายามเข้าสู่ระบบหรือทำธุรกรรมให้เสร็จสมบูรณ์
2. ระบบจะสร้างรหัสเฉพาะที่มีอายุการใช้งานจำกัด และส่งไปยังอุปกรณ์หรือที่อยู่อีเมลที่ผู้ใช้ลงทะเบียนไว้
3. ผู้ใช้ป้อนรหัสเพื่อยืนยันตัวตน การเข้าใช้งานจะได้รับอนุญาตหากรหัสตรงกันและยังไม่หมดอายุ

รหัส OTP ถูกสร้างขึ้นโดยใช้อัลกอริทึมพื้นฐานสองแบบ:

• HOTP (รหัสผ่านใช้ครั้งเดียวแบบ HMAC): รหัสจะถูกสร้างขึ้นโดยใช้ตัวนับที่เพิ่มขึ้นทุกครั้งที่มีการตรวจสอบสิทธิ์ รหัสจะยังคงใช้งานได้จนกว่าจะถูกนำไปใช้ ไม่หมดอายุตามเวลา
• TOTP (รหัสผ่านใช้ครั้งเดียวแบบอิงเวลา): รหัสจะถูกสร้างขึ้นตามเวลาปัจจุบันและจะหมดอายุหลังจากช่วงเวลาที่กำหนด โดยทั่วไปคือ 30 วินาที แอปยืนยันตัวตน เช่น Google Authenticator ใช้ TOTP

ในกรณีของ OTP ทาง SMS จะไม่มีการใช้อัลกอริธึมใดๆ รหัสจะถูกสร้างขึ้นที่ฝั่งเซิร์ฟเวอร์และส่งผ่านเครือข่ายมือถือ โดยไม่มีการเชื่อมโยงทางด้านการเข้ารหัสกับอุปกรณ์ของผู้ใช้

ประเภทหลักของการตรวจสอบสิทธิ์ด้วย OTP

• SMS OTP: รหัสใช้ครั้งเดียวที่ส่งไปยังหมายเลขโทรศัพท์มือถือของคุณผ่านข้อความ SMS เป็นรูปแบบที่ใช้กันอย่างแพร่หลายที่สุด แต่ก็มีความเสี่ยงสูงที่สุดเช่นกัน
• รหัส OTP ทางอีเมล: รหัสที่ส่งไปยังกล่องจดหมายอีเมลที่คุณลงทะเบียนไว้ สะดวก แต่ขึ้นอยู่กับความปลอดภัยของบัญชีอีเมลของคุณด้วย
• TOTP (Time-Based, App-Generated): รหัสแบบหมุนเวียนที่สร้างโดยแอปยืนยันตัวตน (เช่น Google Authenticator, Microsoft Authenticator, Authy) มีความปลอดภัยมากกว่า SMS เพราะไม่ได้ส่งผ่านเครือข่ายโทรศัพท์ โดยทั่วไปมีอายุใช้งาน 30 วินาที
• HOTP (แบบนับจำนวน): รหัสที่เพิ่มขึ้นทุกครั้งที่ใช้งาน แทนที่จะหมดอายุตามเวลา ใช้ในระบบโทเค็นฮาร์ดแวร์บางประเภท
• โทเค็นฮาร์ดแวร์: อุปกรณ์ทางกายภาพเฉพาะ (ไม่ใช่สมาร์ทโฟน) ที่แสดงรหัสใช้ครั้งเดียว พบได้ทั่วไปในสภาพแวดล้อมขององค์กรและบริการทางการเงิน

การตรวจสอบสิทธิ์ OTP: ปัญหาคืออะไร?

Mela Abesamis คิดว่าตัวเองระมัดระวังเสมอเมื่อพูดถึงความปลอดภัยทางไซเบอร์ เธอตระหนักดีถึงการโจมตีแบบฟิชชิ่งและกลยุทธ์การฉ้อโกงทั่วไปอื่นๆ และวิธีสังเกต เธอยังเคยชินกับการรับรหัสผ่านแบบใช้ครั้งเดียว (OTP) จากธนาคารของเธอ โดยส่งทาง SMS ไปยังอุปกรณ์มือถือของเธอเพื่อยืนยันตัวตนของเธอ

แต่แล้วในเดือนธันวาคม 2021 เมลาได้รับข้อความจากธนาคารแจ้งว่า มีเงินจำนวน 50,025 เปโซฟิลิปปินส์ (ประมาณ 950 ดอลลาร์สหรัฐ) ถูกโอนจากบัญชีของเธอไปยังชื่อของมาร์ค นาโกโย นี่เป็นสัญญาณแรกและสัญญาณเดียวที่เธอได้รับว่ามีการโอนเงิน เธอไม่เคยได้ยินชื่อมาร์ค นาโกโยมาก่อน เธอไม่ได้เป็นคนโอนเงิน และเธอก็ไม่ได้รับรหัสผ่านแบบใช้ครั้งเดียวระหว่างการทำธุรกรรมด้วย

เธอไม่ใช่คนเดียว ที่ตกเป็นเหยื่อของการฉ้อโกงครั้งนี้ มีผู้ถือบัญชีมากกว่า 700 ราย ในภาษาฟิลิปปินส์ คำว่า “nagoyo” หมายถึง การทำให้คนอื่นดูโง่

ในที่สุด มีผู้ถูกฟ้องร้องดำเนินคดี 5 คนในข้อหาฉ้อโกงดังกล่าว กลุ่มมิจฉาชีพใช้วิธีการฟิชชิ่งเพื่อขโมยข้อมูลการเข้าสู่ระบบบัญชีธนาคาร จากนั้นพวกเขาก็สามารถหลีกเลี่ยงระบบรักษาความปลอดภัย OTP ของธนาคารได้อย่างสมบูรณ์ – เหยื่อรายงานว่าธุรกรรมได้รับการดำเนินการโดยไม่ต้องมีการป้อน OTP – และถอนเงินออกจากบัญชีธนาคารของผู้คนจนหมด

ธนาคารได้ชําระคืนตามจํานวนที่ได้รับผลกระทบ แต่สิ่งนี้ไม่ได้ชดเชยประสบการณ์ที่กระทบกระเทือนจิตใจสําหรับผู้ที่ตกเป็นเหยื่ออย่างเต็มที่

นี่เป็นเพียงตัวอย่างหนึ่งที่แสดงให้เห็นว่าการเจาะระบบยืนยันตัวตนด้วย OTP นั้นกลายเป็นเรื่องยากขึ้นเรื่อยๆ สำหรับผู้โจมตีที่มีความซับซ้อนมากขึ้น บทความนี้จะตรวจสอบอย่างละเอียดว่าการโจมตีเหล่านั้นทำงานอย่างไร และทางเลือกที่ปลอดภัยกว่านั้นเป็นอย่างไร

ยา OTP ปลอดภัยหรือไม่?

รหัส OTP มีความปลอดภัยมากกว่ารหัสผ่านแบบคงที่เพียงอย่างเดียว เนื่องจากรหัสแต่ละรหัสไม่ซ้ำกันและหมดอายุอย่างรวดเร็ว การดักจับรหัส OTP จึงไม่ทำให้ผู้โจมตีได้รับข้อมูลประจำตัวที่สามารถนำไปใช้ซ้ำได้

อย่างไรก็ตาม OTP มีข้อจำกัดเชิงโครงสร้างพื้นฐานอย่างหนึ่ง คือ มันตอบสนองเฉพาะ ปัจจัยการครอบครอง ในการยืนยันตัวตนเท่านั้น – “สิ่งที่คุณมี” ไม่ว่าอุปกรณ์หรือกล่องจดหมายใดที่ได้รับรหัสก็อาจถูกบุกรุกได้ โทรศัพท์ที่ถูกขโมย หมายเลขโทรศัพท์ที่ถูกแฮ็ก หรือรหัสฟิชชิ่ง ล้วนทำให้การยืนยันตัวตนด้วย OTP ใช้ไม่ได้ผลโดยสิ้นเชิง โดยที่ผู้โจมตีไม่จำเป็นต้องถอดรหัสใดๆ เลย

ความเห็นพ้องต้องกันในหมู่นักวิจัยด้านความปลอดภัยและหน่วยงานกำกับดูแลได้เปลี่ยนแปลงไปแล้ว แนวทางปฏิบัติ เกี่ยวกับเอกลักษณ์ดิจิทัลของ NIST (SP 800-63B) ได้จำกัดการใช้ OTP ผ่าน SMS สำหรับการตรวจสอบสิทธิ์ที่มีความน่าเชื่อถือสูงอย่างชัดเจน เนื่องจากมีความเสี่ยงต่อการถูกดักฟัง ศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักรก็แนะนำให้องค์กรต่างๆ เลิกใช้ปัจจัยยืนยันตัวตนที่สองแบบ SMS หากมีทางเลือกอื่นที่ใช้งานได้

สรุปคือ OTP ดีกว่าการใช้รหัสผ่านเพียงอย่างเดียว แต่ก็ไม่ปลอดภัยเพียงพอสำหรับกรณีการใช้งานที่ต้องการความมั่นใจสูง และเทคนิคการโจมตีที่มุ่งเป้าไปที่ OTP ก็ทำได้ง่ายขึ้นในวงกว้าง

รหัส OTP สามารถถูกแฮ็กได้หรือไม่?

ใช่ – และมีวิธีการต่างๆ มากมายที่ผู้โจมตีใช้ในการดักจับหรือข้ามการตรวจสอบสิทธิ์ OTP โดยไม่จำเป็นต้องเข้าถึงอุปกรณ์ของเป้าหมายโดยตรง

การโจมตีแบบสลับซิม

การโจมตีด้วยรหัส OTP ผ่าน SMS ที่พบได้บ่อยที่สุด คือ มิจฉาชีพจะเก็บรวบรวมข้อมูลส่วนบุคคลของเหยื่อผ่านการหลอกลวง การรั่วไหลของข้อมูล หรือการใช้เทคนิคทางสังคม และใช้ข้อมูลเหล่านั้นเพื่อหลอกให้ผู้ให้บริการโทรศัพท์มือถือของเหยื่อโอนหมายเลขโทรศัพท์ไปยังซิมการ์ดที่อยู่ภายใต้การควบคุมของผู้โจมตี จากนั้นข้อความ SMS ทั้งหมด รวมถึงรหัส OTP จะถูกส่งไปยังผู้โจมตี

การฉ้อโกงโดยการสลับซิมกำลังเพิ่มขึ้นอย่างรวดเร็ว หน่วยงานเฝ้าระวังการฉ้อโกงของสหราชอาณาจักร Cifas บันทึกการเพิ่มขึ้นของการสลับซิมโดยไม่ได้รับอนุญาตถึง 1,055% ในปี 2024 โดยเพิ่มขึ้นจาก 289 กรณีในปี 2023 เป็นเกือบ 3,000 กรณี ในสหรัฐอเมริกา ศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI บันทึกความเสียหายจากการสลับซิมที่รายงานไว้ 26 ล้านดอลลาร์ในปี 2024 และกรณีเดียวส่งผลให้ มีการตัดสินของอนุญาโตตุลาการให้ T-Mobile จ่ายเงิน 33 ล้านดอลลาร์ หลังจากที่การสลับซิมทำให้เกิดการขโมยสกุลเงินดิจิทัล

ข้อบกพร่องของโปรโตคอล SS7

SS7 (Signaling System No. 7) เป็นโปรโตคอลที่มีอายุหลายสิบปี ซึ่งเป็นพื้นฐานหลักของเครือข่ายมือถือ 2G และ 3G รวมถึงการส่งข้อความ SMS โปรโตคอลนี้มีข้อบกพร่องในการออกแบบที่ทำให้ผู้โจมตีที่สามารถเข้าถึงเครือข่าย SS7 ซึ่งโดยทั่วไปแล้วจะเป็นกลุ่มอาชญากรที่มีความซับซ้อนหรือหน่วยงานของรัฐ สามารถดักฟังการโทรและข้อความระหว่างการส่ง รวมถึงรหัส OTP ได้

ในประเทศเยอรมนี กลุ่มมิจฉาชีพได้ใช้ช่องโหว่ของโปรโตคอล SS7 ผ่านผู้ให้บริการเครือข่ายต่างประเทศ เพื่อ ดักจับรหัส OTP ที่ส่งทาง SMS ไปยังลูกค้าของ O2 Telefonica เป็นจำนวนมาก ทำให้พวกเขาสามารถถอนเงินจากบัญชีธนาคารของลูกค้าจำนวนมากซึ่งไม่เปิดเผยจำนวนได้

การดักจับฟิชชิ่งและ OTP แบบเรียลไทม์

การโจมตีรูปแบบหนึ่งที่กำลังเติบโตและอันตรายเป็นพิเศษ คือ ชุดเครื่องมือโจมตีแบบแทรกกลาง (Adversary-in-the-middle toolkits) ซึ่งรวมถึงเฟรมเวิร์กที่หาได้ทั่วไปอย่าง Evilginx เครื่องมือเหล่านี้ช่วยให้ผู้โจมตีสร้างหน้าล็อกอินปลอมที่ดูสมจริงได้ เมื่อเป้าหมายป้อนข้อมูลประจำตัวและรหัส OTP เซิร์ฟเวอร์ของผู้โจมตีจะดักจับทั้งสองอย่างแบบเรียลไทม์และแสดงผลซ้ำบนเว็บไซต์จริงก่อนที่รหัส OTP จะหมดอายุ ผู้โจมตีจะสามารถเข้าถึงเซสชันได้อย่างเต็มที่แม้ว่าเหยื่อจะทำการยืนยันตัวตนแบบหลายปัจจัย (MFA) อย่างถูกต้องแล้วก็ตาม

การโจมตีนี้ไม่จำเป็นต้องเข้าถึงซิมการ์ด ไม่ต้องใช้ช่องโหว่ SS7 และไม่ต้องใช้มัลแวร์ เพียงแค่หน้าเว็บฟิชชิ่งที่ดูสมจริงและระบบส่งต่ออัตโนมัติ ก็สามารถเอาชนะ OTP ทาง SMS, OTP ทางอีเมล และ TOTP ได้อย่างมีประสิทธิภาพ

ความเสี่ยงเฉพาะของ TOTP

TOTP ที่ใช้แอปพลิเคชันมีความทนทานต่อการดักฟังมากกว่า SMS แต่ก็ยังมีจุดอ่อนที่สามารถถูกโจมตีได้:

• การโจรกรรมหรือการถูกบุกรุกอุปกรณ์ หากผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่มีแอปตรวจสอบสิทธิ์ได้ และใช้อุปกรณ์นั้นในการทำธุรกรรม การตรวจสอบสิทธิ์แบบ "สองปัจจัย" ก็จะเหลือเพียงปัจจัยเดียว ซึ่งจะทำให้การรับรอง MFA นั้นไม่น่าเชื่อถืออีกต่อไป
• ความเสี่ยงจากการรั่วไหลของรหัสสำรอง แอปยืนยันตัวตนส่วนใหญ่จะสร้างรหัสกู้คืนระหว่างการตั้งค่า หากรหัสเหล่านั้นถูกจัดเก็บอย่างไม่ปลอดภัย (เช่น ในแอปบันทึกย่อ อีเมล หรือการสำรองข้อมูลบนคลาวด์) ก็จะกลายเป็นจุดอ่อนสำคัญ
• การโจมตี โดยใช้กลวิธีทางสังคม (Social engineering) ผู้โจมตีมักโทรหาเป้าหมายแบบเรียลไทม์ โดยแอบอ้างเป็นทีมตรวจสอบการฉ้อโกงของธนาคาร และกดดันให้เป้าหมายอ่านรหัส TOTP ระหว่างการโทร "ยืนยันบัญชี"

ความเสี่ยงด้านความปลอดภัยของการตรวจสอบสิทธิ์ OTP คืออะไร?

ปัญหาสำคัญของการยืนยันตัวตนด้วย OTP คือมันตอบสนองเฉพาะ ปัจจัย ด้านการครอบครองเท่านั้น สิ่งที่คุณมี ไม่ว่าจะเป็นโทรศัพท์มือถือหรืออุปกรณ์ฮาร์ดแวร์ อาจสูญหาย ถูกขโมย ถูกบุกรุก หรือถูกแอบอ้างโดยผู้ให้บริการเครือข่าย ด้านล่างนี้คือสรุปความเสี่ยงหลักๆ ตามประเภทของ OTP

ความเสี่ยงด้านความปลอดภัยของรหัส OTP ผ่าน SMS

ดังที่เห็นได้จากกรณีศึกษาในฟิลิปปินส์ ผู้โจมตีไม่จำเป็นต้องขโมยโทรศัพท์ของคุณเพื่อเจาะระบบ OTP ผ่าน SMS ข้อความ SMS นั้นไม่ได้เข้ารหัสและผูกติดกับหมายเลขโทรศัพท์ ไม่ใช่กับอุปกรณ์ใดอุปกรณ์หนึ่งโดยเฉพาะ ช่องทางการโจมตีหลักๆ ได้แก่ การสลับซิม การใช้ช่องโหว่ SS7 และการฟิชชิ่งแบบเรียลไทม์ ซึ่งได้กล่าวถึงรายละเอียดไว้ข้างต้นแล้ว

ความเสี่ยงด้านความปลอดภัยของ TOTP

TOTP และการยืนยันตัวตนผ่านแอปพลิเคชันให้ความปลอดภัยมากกว่า SMS เนื่องจากรหัสถูกสร้างขึ้นในเครื่องและไม่ได้ส่งผ่านเครือข่ายของผู้ให้บริการ แต่ดังที่กล่าวไว้ การถูกโจรกรรมอุปกรณ์ การฟิชชิ่งแบบเรียลไทม์ และการใช้เทคนิคทางสังคมยังคงเป็นช่องทางการโจมตีที่ใช้ได้ผล นอกจากนี้ TOTP ยังคงตอบสนองเฉพาะปัจจัยการครอบครองเท่านั้น ซึ่งทำให้เกิดคำถามว่ามันถือเป็นการ ยืนยันตัวตนแบบหลายปัจจัย อย่างแท้จริงหรือไม่ เมื่อทั้งการทำธุรกรรมและการยืนยันตัวตนเกิดขึ้นบนอุปกรณ์เดียวกัน

การตรวจสอบสิทธิ์ OTP มอบประสบการณ์การใช้งานที่ล้าสมัยหรือไม่?

การระบาดใหญ่ได้เร่งความต้องการประสบการณ์การใช้งานที่ราบรื่นและเน้นการทำงานจากระยะไกลเป็นหลัก การยืนยันตัวตนด้วย OTP ยังล้าหลังในหลายด้าน

กระบวนการที่ใช้งานอยู่

การยืนยันตัวตนด้วย OTP จำเป็นต้องมีการกระทำจากผู้ใช้ เช่น การหยิบอุปกรณ์ การเปิดแอป หรือการสลับหน้าจอ เนื่องจาก OTP มีอายุใช้งานเพียง 30 วินาที ผู้ใช้ที่ไม่ดำเนินการอย่างรวดเร็วพออาจพบปัญหาการยืนยันตัวตนล้มเหลว ทำให้เกิดความยุ่งยากและบางครั้งอาจทำให้ผู้ใช้เลิกใช้ไปเลย

การขาดความครอบคลุม

การตรวจสอบสิทธิ์ด้วย OTP นั้นตั้งอยู่บนสมมติฐานว่าผู้ใช้มีอุปกรณ์พกพา หมายเลขโทรศัพท์ที่ใช้งานได้ และความสามารถในการทำตามขั้นตอนหลายขั้นตอนบนหน้าจอต่างๆ ซึ่งไม่ใช่ทุกคนจะมี สำหรับผู้ใช้ที่มีความพิการบางประเภท ผู้สูงอายุ หรือผู้ที่ไม่สามารถเข้าถึงอุปกรณ์พกพาได้อย่างสม่ำเสมอ การรักษาความปลอดภัยด้วย OTP จะสร้างอุปสรรคในการกีดกันอย่างแท้จริง การตรวจสอบด้วยไบโอเมตริกก็ต้องใช้อุปกรณ์เช่นกัน แต่ช่วยลดความจำเป็นในการใช้หมายเลขโทรศัพท์ที่ใช้งานได้ และลดขั้นตอนการทำงานให้เหลือเพียงการกระทำแบบง่ายๆ เพียงครั้งเดียว ซึ่งสอดคล้องกับมาตรฐาน WCAG 2.2 AA

การเปรียบเทียบระหว่าง OTP กับการตรวจสอบสิทธิ์ด้วยไบโอเมตริก

ในขณะที่การยืนยันตัวตนด้วย OTP ตอบโจทย์ปัจจัยด้านการครอบครอง (“สิ่งที่คุณมี”) การยืนยันตัวตนด้วยไบโอเมตริกซ์ ตอบโจทย์ปัจจัยด้านคุณสมบัติเฉพาะตัว — “สิ่งที่คุณเป็น” ใบหน้าของคุณไม่สามารถสูญหาย ถูกขโมย หรือโอนไปยังหมายเลขอื่นได้