เมื่อเร็วๆ นี้ผมเพิ่งโพสต์เรื่องข่าวของ Ransomware ที่จ้องโจมตี QNAP NAS ด้วยวิธี Brute force หรือการเดารหัสผ่านไปเรื่อยๆ จนกว่าจะเจอ และเมื่อเข้ามาเป็น Admin ได้แล้ว ก็จะเข้าทำการเข้ารหัสข้อมูลภายใน NAS เพื่อเรียกค่าไถ่ ฉะนั้น ใน QNAP NAS 101 ตอนนี้ ก็เลยจะขอพูดถึงหนทางนึงที่ป้องกันเรื่องนี้ได้ นั่นก็คือการทำ 2-step Verifcation นั่นเอง
อะไรคือ 2-step Verification
2-step Verfication หรือบางทีเขาก็เรียก 2-step Authentication คือกระบวนการยืนยันตัวตนเข้าระบบโดยใช้ Username และ Password ตามปกติ แล้วตามด้วยการยืนยันตัวตนในขั้นตอนที่ 2 ผ่านช่องทางอื่น ซึ่งอาจจะเป็นการใส่รหัสผ่านแบบใช้ครั้งเดียว (One-Time Password หรือ OTP) ซึ่งได้มาจากอีเมล, SMS, โทรศัพท์อัตโนมัติที่โทรเข้ามา หรือจากแอปจำพวก Authenticator (เช่น Google Authenticator หรือ Microsoft Authenticator) หรืออาจจะยืนยันตัวตอนในขั้นตอนที่สองด้วยการคลิกลิงก์ที่ส่งมาทางอีเมล, แตะปุ่ม Approve ที่เด้งบน Authenticator app หรือ เสียบ USB key กับเครื่องคอมพิวเตอร์
การใช้ 2-step Verification จะทำให้การรู้แค่ Username และ Password เพียงอย่างเดียวไม่เพียงพอต่อการล็อกอิน ซึ่งวิธีนี้นอกจากจะช่วยป้องกันไม่ให้พวกแฮกเกอร์ล็อกอินเข้าระบบของเราได้ด้วยวิธี Brute force หรือแม้แต่การ Phishing ดังนั้นหากต้องการป้องกันตัวเองจากแฮกเกอร์ให้เต็มที่ที่สุด การทำ 2-step Verification นี่คืออะไรที่แนะนำมากๆ
ขั้นตอนการเปิดใช้งาน 2-step Verification บน QNAP NAS
ก่อนอื่นก็ล็อกอินเข้าหน้าจอ QTS ของ QNAP NAS ในฐานะ Admin จากนั้นก็คลิกตรง Username เพื่อเปิดเมนูขึ้นมา แล้วคลิกไปที่ Options

เมื่อเข้ามาที่หน้าจอ Options แล้ว ไปที่หัวข้อ 2-step Verification เราจะเห็นว่าสถานะ (Status) ของมันเป็น Disabled อยู่ เราก็แค่คลิกปุ่ม Get Started เพื่อเริ่มกระบวนการตั้งค่า 2-step Verification

ในส่วนของ 2-step Verification ของ QNAP NAS นั้น ถูกกำหนดให้ทำผ่าน Authenticator app เท่านั้น ซึ่งสามารถใช้ Google Authenticator (Android/iOS) หรือ Microsoft Authenticator (Android/iOS) ก็ได้ และเป็นการใช้งานแบบที่ต้องรับ OTP จากแอปพวกนี้เท่านั้น ตรงนี้มันจะมีชื่อ Account ตั้งไว้ให้เป็น Default แล้ว คือ username@ชื่อของNAS แต่เราจะสามารถแก้ชื่อ Account ได้ด้วยนะ แค่ถ้าเกิดแก้ชื่อแล้ว เราต้องคลิกปุ่ม Regenerate QR code เพื่อให้มันสร้าง QR code อันใหม่ขึ้นมาด้วย
หมายเหตุ: แต่เผื่อกรณีฉุกเฉิน ระบบจะมีตัวเลือกการยืนยันตัวตนแบบอื่นให้เลือกในตอนท้ายของการตั้งค่าครับ

วิธีการตั้งค่าก็คือ ดาวน์โหลดแอปมา จากนั้นก็เปิดแอปขึ้นมา แล้วทำการเพิ่ม QNAP NAS เข้าไปในแอปด้วยการสแกน QR code ที่อยู่ตรงมุมด้านล่างข้างขวาของหน้าจอ
● สำหรับ Google Authenticator ก็แค่คลิกปุ่ม + ตรงมุมบนด้านขวา แล้วเลือก Scan barcode จากนั้นมันก็จะเปิดตัวสแกน QR code ขึ้นมา ก็สแกนได้เลย
● สำหรับ Microsoft Authenticator ก็คลิกปุ่ม + ตรงมุมบนด้านขวาเช่นกัน แต่พอเข้ามาแล้ว เราต้องเลือกตัวเลือกเป็น Other (Google, Facebook, etc.) แล้วมันก็จะเปิดตัวสแกน QR code ขึ้นมาให้สแกน

พอสแกนเสร็จแล้ว ในตัว Authenticator app มันจะปรากฏรายการที่เป็นชื่อ Account ที่เราตั้งเอาไว้ในหน้าจอ QR code บน QNAP NAS โดยจะมีตัวเลข OTP 6 หลัก ที่เปลี่ยนไปทุกๆ ช่วงเวลานึง … ถึงขั้นตอนนี้แล้ว คลิกปุ่ม Next บนหน้าจอ QTS ครับ

ณ จุดนี้ เราก็ก็แค่เอา OTP มากรอกในช่อง Security code แล้วคลิก Verify ให้ทันก่อน OTP จะเปลี่ยนไปอีก จากนั้นก็คลิกปุ่ม Next มันก็จะเข้ามาที่หน้าจอ Select an alternative verification method ซึ่งเป็นขั้นตอนจำเป็น เผื่อในกรณีที่สมาร์ทโฟนหรือแท็บเล็ตที่เราติดตั้ง Authenticator app มีปัญหา เราจะได้ยังสามารถมีวิธีในการยืนยันตัวตนได้

ผมไม่แนะนำให้ใช้ Security question เพราะมีโอกาสที่จะลืมได้ และก็มีโอกาสถูกเดาคำตอบได้อีกด้วย ผมแนะนำให้เลือกตัวเลือกเป็น E-mail แล้วกรอกอีเมลแอดเดรสของเราลงไป จากนั้นคลิกปุ่ม Finish แต่หากเรายังไม่เคยตั้งค่าอีเมลมาก่อน ระบบจะบังคับให้เราตั้งค่านี้ เพราะไม่งั้น QNAP NAS จะไม่สามารถส่งอีเมลไปหาเราได้นั่นเอง เดี๋ยวจะมาเขียนให้อ่านกันว่าเซ็ตกันยังไงครับ
แต่ตอนนี้ เมื่อเซ็ตทุกอย่างเรียบร้อยแล้ว ก็คลิกปุ่ม Finish เพื่อจบเรื่อง … แล้วระบบจะทำการ Logout เราออก เพื่อให้ล็อกอินเข้ามาใหม่ ด้วยการใช้ 2-step Verification ครับ จากนี้ไป ถ้าเราจะล็อกอินเข้ามาที่ NAS เราก็จะต้องใช้ 2-step Verification ตลอดเลย อาจจะดูยุ่งยากลำบากขึ้น แต่มันช่วยเพิ่มความปลอดภัยให้กับเราได้มากเช่นกันนะครับ