ข้ามไปยังเนื้อหาหลัก

รหัสสำรอง (Backup codes)

แนวคิด

รหัสสำรอง หรือที่เรียกว่า Recovery code คือรหัสใช้ครั้งเดียวสำหรับการยืนยันตัวตนหลายปัจจัย (MFA) ทำหน้าที่เป็นทางเลือกสำรองในกรณีที่ปัจจัยการยืนยันตัวตนหลักของผู้ใช้ (เช่น แอปยืนยันตัวตน หรือโทเค็นฮาร์ดแวร์) ไม่สามารถใช้งานได้

หากสูญเสียรหัสเหล่านี้ อาจทำให้การกู้คืนบัญชีเป็นเรื่องยาก ดังนั้นจึงแนะนำให้ตั้งค่าปัจจัยหลักเพิ่มเติมก่อนเปิดใช้งานรหัสสำรอง และให้ความสำคัญกับปัจจัยหลัก

Logto จะสร้างรหัสสำรอง 10 ชุดโดยอัตโนมัติให้กับผู้ใช้เมื่อมีการตั้งค่าปัจจัยเพิ่มเติมแล้ว โดยแต่ละรหัสใช้ได้เพียงครั้งเดียว ผู้ใช้ควรสร้างรหัสชุดใหม่ในหน้าการตั้งค่าบัญชีผู้ใช้ (เข้าถึงได้ผ่าน Management API) ก่อนที่รหัสชุดเดิมจะถูกใช้หมด

ตั้งค่ารหัสสำรองสำหรับ MFA

  1. ไปที่ Console > การยืนยันตัวตนหลายปัจจัย (Multi-factor authentication)
  2. เปิดใช้งานปัจจัย "รหัสสำรอง (Backup Codes)" รหัสสำรองไม่สามารถใช้เป็นปัจจัย MFA เพียงอย่างเดียวได้ จำเป็นต้องใช้รหัสสำรองร่วมกับปัจจัย MFA หลักอื่น ๆ (passkeys, แอปยืนยันตัวตน, SMS, อีเมล)
  3. กำหนดนโยบาย MFA ตามต้องการ (บังคับใช้ หรือไม่บังคับ)
  4. บันทึกการเปลี่ยนแปลงการตั้งค่า

ตั้งค่าการจัดการรหัสสำรอง

คุณสามารถใช้ Account API เพื่อสร้างอินเทอร์เฟซจัดการบัญชีแบบกำหนดเอง ที่ผู้ใช้สามารถดู สร้างใหม่ และลบรหัสสำรองของตนเองได้ ช่วยให้ผู้ใช้จัดการตัวเลือกการกู้คืนบัญชีได้โดยตรงจากหน้าตั้งค่าบัญชีของแอปพลิเคชันคุณ

สำหรับขั้นตอนการใช้งานโดยละเอียดและ API endpoint ดูที่ การตั้งค่าบัญชีด้วย Account API

กระบวนการตั้งค่ารหัสสำรอง

เนื่องจากรหัสสำรองเป็นปัจจัย MFA รอง จึงสามารถตั้งค่าได้หลังจากตั้งค่าปัจจัย MFA หลักสำเร็จแล้วเท่านั้น ระบบจะแสดงรหัสสำรองที่สร้างอัตโนมัติ 10 ชุดให้ผู้ใช้ ซึ่งสามารถดาวน์โหลดและคัดลอกเก็บไว้อย่างปลอดภัย ผู้ใช้ต้องยืนยันรหัสสำรองด้วยตนเองเพื่อให้กระบวนการตั้งค่า MFA เสร็จสมบูรณ์

Backup codes set up flow

กระบวนการตรวจสอบรหัสสำรอง

รหัสสำรองทำหน้าที่เป็นการยืนยันตัวตนฉุกเฉินเมื่อปัจจัย MFA หลักไม่สามารถใช้งานได้ แต่ละรหัสใช้ได้เพียงครั้งเดียวและจะหมดอายุหลังจากตรวจสอบสำเร็จ

ลำดับความสำคัญในการตรวจสอบ:

  • ปัจจัยหลักมาก่อน: เมื่อผู้ใช้ตั้งค่าปัจจัย MFA อื่นไว้แล้ว ระบบจะถามหาปัจจัยหลัก (passkeys, TOTP, SMS, อีเมล) ก่อน
  • เข้าถึงรหัสสำรอง: ผู้ใช้สามารถเปลี่ยนไปใช้รหัสสำรองได้โดยคลิก "ลองวิธีอื่นในการยืนยัน" หากปัจจัยหลักไม่สามารถใช้งานได้
  • กรณีสำรองสุดท้าย: หากปัจจัยหลักทั้งหมดถูกลบ รหัสสำรองจะกลายเป็นตัวเลือกเดียวสำหรับการตรวจสอบ หลังจากตรวจสอบ MFA สำเร็จด้วยรหัสสำรองขณะลงชื่อเข้าใช้ Logto จะขอให้ผู้ใช้ตั้งค่าปัจจัยหลักใหม่โดยอัตโนมัติ
Backup codes verification flow