การจัดการตัวตนและการเข้าถึง
MFA (การยืนยันตัวตนหลายชั้น)
Multi-Factor Authentication (MFA)
MFA requires more than one proof of identity to log in — e.g. a password plus a one-time code on your phone.
ทำไม MFA ถึงสำคัญ
รหัสผ่านอย่างเดียวไม่พอแล้ว — พนักงานอาจใช้รหัสซ้ำ คลิกลิงก์ Phishing หรือรหัสรั่วจากเว็บอื่น MFA บังคับให้มีขั้นตอนที่สองที่แฮกเกอร์เอาไปใช้ต่อได้ยาก เช่น การกดยืนยันบนมือถือ หรือรหัส OTP ที่เปลี่ยนทุก 30 วินาที
สำหรับ SME ในประเทศไทย บริษัทประกันไซเบอร์ส่วนใหญ่กำหนด MFA บนการเข้าระบบจากระยะไกล (VPN/RDP) และบัญชี Admin เป็นเงื่อนไขขั้นต่ำก่อนรับประกัน
ตัวอย่างที่ SME ใช้ได้จริง
- Microsoft 365 / Google Workspace — เปิด MFA ให้ทุกบัญชี โดยเฉพาะ Admin
- VPN ของบริษัท — ใส่รหัสผ่านแล้วต้องยืนยันผ่านแอป Authenticator
- ระบบบัญชีหรือ ERP — ถ้ารองรับ MFA ควรเปิดทันที
ทำไมบริษัทประกันถึงถามเรื่องนี้
MFA เป็นเงื่อนไขขั้นต่ำที่บริษัทประกันไซเบอร์ส่วนใหญ่กำหนดก่อนรับประกัน เพราะบัญชีที่ถูกขโมยรหัสผ่านคือช่องทางโจมตีอันดับต้นๆ หากไม่มี MFA บนจุดเข้าถึงสำคัญ (VPN/RDP และบัญชี Admin) บริษัทประกันอาจปฏิเสธรับประกัน จำกัดวงเงิน First Party หรือกำหนดเป็น Subjectivity ให้ติดตั้งภายใน 30–120 วันหลังรับประกัน
เช็คตัวเอง
ธุรกิจของคุณเปิด MFA บนอีเมลองค์กร บัญชี Admin และการเข้าระบบจากระยะไกล (VPN/RDP) ครบแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
MFA กับ OTP ต่างกันอย่างไร
OTP (รหัสใช้ครั้งเดียว) เป็นรูปแบบหนึ่งของ MFA — MFA คือแนวคิดการใช้หลักฐานยืนยันตัวตนมากกว่าหนึ่งอย่าง ส่วน OTP คือปัจจัยที่สองที่พบบ่อยที่สุด
เปิด MFA แล้วพนักงานจะทำงานยุ่งยากขึ้นไหม
ช่วงแรกอาจต้องปรับตัว แต่การกดยืนยันบนแอป Authenticator ใช้เวลาเพียงไม่กี่วินาที และลดความเสี่ยงบัญชีถูกยึดได้อย่างมาก
ต้องเปิด MFA ทุกบัญชีเลยไหม
ควรเริ่มจากบัญชีที่เสี่ยงสูงสุดก่อน — Admin, อีเมลผู้บริหาร, VPN/RDP และระบบที่เก็บข้อมูลลูกค้าหรือการเงิน แล้วค่อยขยายให้ครบทุกบัญชี