ประสบการณ์ถูกมองว่าเป็นโจร บน crypto exchange นอก จนต้องทำ 9-factor authentication

เมื่อวานผมพยายามจะถอนบิตคอยน์จาก exchange Huobi หนึ่งใน exchange ที่ใหญ่ที่สุดในโลก มีข้อความเล็กๆโผล่ขึ้นมากลางหน้าจอ “blacklist restriction” oh my god เราทำอะไรผิด ถูกขึ้นบัญชีดำเลยทีเดียว

สำหรับคนที่เทรด crypto exchange น่าจะเคยได้ยินคำว่า 2-factor authentication แปลตรงตัวคือ ยืนยันตัวตนสองแบบ ปกติแล้วเราเข้าใช้ account เราก็ต้องใส่ username กับ password นี่คือ factor แรก แต่ถ้าเราอยากให้ account ของเราปลอดภัยมากยิ่งขึ้น เราก็มักจะไปเปิดใช้บริการ 2-factor authentication หรือเพิ่มอีกหนึ่ง factor ในการยืนยันตัวตน ซึ่ง factor นั้น ที่ exchange ต่างๆเค้าพูดถึงคือ การยืนยันตัวตนด้วยมือถือ โดยการนำเลขที่มีในมือถือของเราเท่านั้นมาแสดง ซึ่งหมายความว่าถ้ามีคนจะ hack account เรา เค้าก็ต้องขโมยมือถือของเราไปก่อนถึงจะทำได้

แต่ด้วยความที่ผมถูกมองว่าเป็นอาชญากร ทำให้แทนที่การโอนบิตคอยน์ออกนอก exchange ของผมจะใช้แค่ 2-factor authentication ทั่วๆไป ผมกลับต้องทำถึง 9 factor เลยทีเดียว

เพื่อนอาจจะอยากรู้ว่าผมทำอะไร เค้าถึงขึ้นบัญชีดำผม สิ่งที่ผมทำคือเปลี่ยน password และ factor การยืนยันตัวตนด้วยมือถือที่พูดถึงไปเมื่อกี้ ใหม่ เนื่องจากก่อนหน้านี้ผมใช้ password เดียวกันกับหลายๆ website ซึ่งไม่ค่อยปลอดภัย แล้วมาใช้บริการ password manager ชื่อว่า 1password แทน ส่วนเรื่องการยืนยันตัวตนด้วยมือถือ ผมเปลี่ยน application ที่ใช้จาก Google Authenticator ไปเป็น Authy เพราะว่าตัว Google Authenticator มันไม่รองรับเวลาที่เราทำมือถือหาย

OK มาดูดีกว่าครับว่า 9-factor authentication มีอะไรบ้าง ผมจะเร่ิมหลังจากที่ผมส่งคำสั่งถอนบิตคอยน์ไม่ผ่านนะครับ สิ่งแรกที่ผมทำคือ ติดต่อไปทาง live chat ที่มุมขวาล่างของหน้าจอ

แรกสุดคือเค้าโทรมาหาผมครับ

1. ยืนยันด้วยเสียง

มาเลยครับสำเนียงจีน (Huobi เป็นของคนจีน)

2. ยืนยันการเป็นเจ้าของ Email

ตอนคุยโทรศัพท์เค้าบอกให้ผม ส่ง email ไปหา โดยใช้อีเมล์ที่ผมสมัครไว้กับ Huobi

3. ยืนยันด้วยเวลา

เนื่องจากตอนคุย live chat เค้าบอกให้ผมเปลี่ยน password อีกครั้ง ซึ่งส่งผลให้ผมต้องรอเป็นเวลา 24 ช.ม. หลังจากเปลี่ยน password เพื่อทำธุรกรรมต่างๆ ซึ่งการยืนยันด้วยเวลาเป็นการยืนยันอย่างหนึ่งครับ เพราะหากเจ้าของตัวจริงรับทราบปัญหาที่เกิดขึ้น ก็จะได้แจ้ง Huobi ได้ทัน

หลังจากผ่านไปหนึ่งวัน ผมก็กลับมา login อีกครั้ง เนื่องจากผมเปิดบริการ 2-factor ไว้ ผมจึงต้องยืนยันด้วย password และด้วยมือถือครับ

4. ยืนยันด้วย password

5. ยืนยันด้วยมือถือผ่าน app Authy

หลังจาก login ได้แล้ว ผมก็เข้าไปสั่งถอนบิตคอยน์ออกจาก exchange ครับ ซึ่งมีขั้นตอนตามรูปด้านล่างเลย

6. ยืนยันการเป็นเจ้าของเบอร์มือถือ

7. ยืนยันการเป็นเจ้าของ Email

8. ยืนยันการเป็นเจ้าของ มือถือ (GA ย่อมาจาก Google Authenticator) อีกรอบ

ซึ่งผมต้องทำทั้งสามอย่างนี้ในเวลา 1 นาที เค้าน่าจะให้เวลาสัก 2 นาทีนะครับ ถ้าผมช้าผมคงต้องเริ่มใหม่หมดตั้งแต่ขั้นแรก จะเห็นจากตัวเลขนับถอยหลังในรูปด้านบน

ส่ิงที่น่าสนใจคือครั้งก่อนมันมีสองแค่ 2 ช่อง ผมจำได้ แต่รอบนี้ผมต้องใส่สามอย่าง มัน dynamic ตามแต่ละ user

9. ยืนยันการเป็นเจ้าของ passport โดยการใส่เลข passport

สุดท้ายคือการยืนยันด้วย เลข passport ครับ เย่ในที่สุด ผมก็โอนบิตคอยน์ออกไปได้สักที

จะเห็นนะครับว่า Huobi มีขั้นตอนการจัดการกับคนที่น่าสงสัยอย่างถี่ถ้วน ซึ่งจริงๆแล้วมีเยอะกว่านี้อีก แต่ผมพยายามย่อให้มันสั้น และกระชับลงนะครับ เช่นจริงๆแล้วโทรมาคุยสองครั้ง เป็นต้น โดยส่วนตัวแล้วเข้าใจครับว่าเป็นมาตรการในการปกป้องทรัพย์สินของผู้ใช้งาน ซึ่งชื่นชมมากๆครับ

แต่ผมเชื่อว่า Huobi สามารถทำได้ดีกว่านี้อีกหลายเท่า ถ้ามองกลับไปใน 9 factor จะเห็นว่ามีหลายๆ factor ครับที่ซ้ำซ้อน เช่น Email หรือโทรศัพท์มือถือ ในมุมหนึ่งก็ทำให้ Huobi มั่นใจได้ว่าไม่เกิดการขโมยเกิดขึ้น และในขณะเดียวกันหากผู้ใช้ เป็นผู้บริสุทธิ์ก็คงไม่อยากมาพบเจอกับขั้นตอนที่ยากลำบากแบบนี้ เอาจริงๆมันก็ทำให้ผมหงุดหงิดมากทีเดียว เพราะฉะนั้นต้องให้น้ำหนักระหว่างเรื่องความปลอดภัยและความง่ายในการใช้งาน ที่เหมาะสมครับ

จริงๆผมทำส่ิงเดียวกันนี้กับ Binance ครับ exchange ที่ใหญ่ที่สุดในโลก แต่ผมไม่เจอปัญหาอะไรเลยครับ ซึ่งจริงๆแล้วไม่ได้บอกว่า Binance ไม่ปลอดภัยนะครับ แต่เค้าอาจจะมีวิธีในการวินิจฉัยผู้กระทำผิดที่แตกต่างออกไป และอาจจะดีกว่าก็ได้ครับ

สุดท้ายผมคิดว่า Huobi เป็นกรณีศึกษาที่ดีครับในการจัดการกับผู้ใช้ที่น่าสงสัย มีทั้งข้อดีและข้อเสีย คิดว่า exchange ไทย สามารถนำมาปรับใช้และพัฒนาระบบให้ดีขึ้นกว่าเดิมได้ครับ :)