การยืนยันตัวตน (2FA) คืออะไร ?
Table of Contents
การยืนยันตัวตน (2FA) คืออะไร ?
2FA ย่อมาจาก two-factor authentication คือการที่ผู้ใช้บริการทำการยืนยันว่าตนเองว่าคือผู้ใช้บริการจริง โดยการแสดงว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตน (authenticators) ที่มีปัจจัยของการยืนยันตัวตน (authentication factor) จำนวน 2 ปัจจัยที่แตกต่างกัน โดยปัจจัยของการยืนยันตัวตนแบ่งออกเป็น 3 ประเภท ดังนี้
1.สิ่งที่คุณรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น username-password หรือ PIN code
2.สิ่งที่คุณมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น Sim card โทรศัพท์ อุปกรณ์บรรจุกุญแจเข้ารหัส (cryptographic device) หรืออุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP device)
3.สิ่งที่คุณเป็น (something you are) คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ เช่น ใบหน้า และลายนิ้วมือ
อาจเคยได้ยินถึงคำว่าการยืนยันตัวตนแบบหลายปัจจัย multi-factor authentication ที่หมายถึงการยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนสอง หรือสามปัจจัยดังกล่าว ไม่ต้องสับสนไปครับ เพราะการยืนยันตัวตนแบบสองปัจจัยก็คือรูปแบบหนึ่งของการยืนยันตัวตนแบบหลายปัจจัยนั่นเอง
การยืนยันตัวตนแบบสองปัจจัยที่พบเจอได้ในปัจจุบันโดยส่วนมากแล้วจะเลือกใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) คู่กับปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ตัวอย่างการยืนยันตัวตนแบบสองปัจจัยที่มีประวัติยาวนานและทุกคนน่าจะรู้จักกันดี นั่นก็คือการกดเงินจากตู้ ATM นั่นเอง ผู้ใช้บริการต้องทำการสอดบัตร ATM (something you have) และกดรหัส ATM (something you know) ให้ถูกต้องเพื่อที่จะถอนเงินออกมาได้
ตัวอย่างถัดไปจะเป็นสิ่งที่ขาช้อปออนไลน์ต้องเคยได้พบเจอบ้างในการจ่ายเงินค่าสินค้าออนไลน์ผ่านบัตรเครดิต ที่หลังจากกรอกเลขบัตรเครดิต และเลขหลังบัตร (something you know) เรียบร้อยแล้ว จะปรากฏหน้าต่างเพื่อให้กรอกรหัสลับ SMS-OTP ที่ส่งให้ตามเบอร์โทรศัพท์ (something you have) ของลูกค้าตามที่ลงทะเบียนไว้
ตัวอย่างสุดท้ายที่อยากพูดถึงคือการ log in เข้าระบบที่ให้ใส่ username-password (something you know) และหลังจากนั้นระบบจะบอกให้ผู้ใช้บริการไปเปิด OTP application (something you have) บนอุปกรณ์ของผู้ใช้บริการเอง เช่น Google Authenticator หรือ Microsoft Authenticator เพื่อนำรหัสมากรอกในระบบอีกรอบ
แฮกเกอร์ใช้เทคนิคต่าง ๆ เพื่อเพิ่มโอกาสในการโจมตี ความกลัว ความรู้เท่าไม่ถึงการณ์ และข้อผิดพลาดที่ประสบความสำเร็จ โดยทั่วไปแล้วเทคนิคการจัดการลิงก์เหล่านี้ คือแต่ละเทคนิคจะนำคุณไปยังหน้าที่คุณจะต้องเข้าสู่ระบบ หรือให้รายละเอียดบัตรเครดิตของคุณ จากนั้นจะไปที่ฐานข้อมูลของแฮกเกอร์ เนื่องจากวิธีการที่อาชญากรไซเบอร์ใช้ จึงสามารถแยกฟิชชิ่งได้หลายประเภท
เห็นหรือไม่ว่าการ 2FA เป็นสิ่งที่อยู่รอบๆตัวเรามานานแล้ว ไม่ใช่เรื่องใหม่หรือเรื่องที่เข้าใจยาก ซับซ้อน แต่อย่างใด ดังนั้นเพื่อความปลอดภัยในการทำธุรกรรมออนไลน์ที่มากขึ้น ผู้เขียนจึงขอสนับสนุนให้ทุกคนทำความเข้าใจ และใช้งาน 2FA กันให้อย่างแพร่หลาย
สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ที่ไม่ว่าจะนำมาใช้แทน username-password เพื่อเพิ่มความสะดวก หรือจะนำมาใช้เสริมเป็นอีกหนึ่งปัจจัยของการยืนยันตัวตนเพื่อเพิ่มความปลอดภัยก็ได้ทั้งนั้น และรู้หรือไม่ว่าสำหรับหลาย ๆ คนแล้ว สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอาจอยู่ใกล้เพียงปลายนิ้ว รอเพียงการเปิดใช้งานเท่านั้น
สามารถแบ่งชนิดของสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีเพื่อให้ที่เข้าใจได้ง่าย ๆ เป็น 3 ชนิดคือ
- อุปกรณ์ OTP (OTP device)
สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีชนิดแรกที่เราจะกล่าวถึงในบทความนี้คือ อุปกรณ์ OTP (OTP device) เป็นอุปกรณ์ที่สามารถสร้างรหัสผ่านใช้ครั้งเดียว (One-Time Password : OTP) ได้ด้วยตัวอุปกรณ์เอง และให้เจ้าของอุปกรณ์นำ OTP นี้ไปกรอกบนหน้าต่างยืนยันตัวตน เพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์ OTP อยู่จริง ทั้งนี้ อุปกรณ์ OTP มีทั้งแบบที่เป็นฮาร์ดแวร์เฉพาะ และแบบที่เป็นซอฟต์แวร์ติดตั้งบนอุปกรณ์อื่น
ตัวอย่างของอุปกรณ์ OTP ที่ใกล้ตัวเราที่สุดก็คือ smartphone ที่ติดตั้ง authenticator application ไว้นั่นเอง โดย authenticator application ที่ได้รับความนิยม เช่น Google authenticator, Microsoft authenticator และ Authy ส่วน อุปกรณ์ OTP ที่เป็นฮาร์ดแวร์เฉพาะนั้นในประเทศไทยเรายังไม่เป็นที่แพร่หลายเท่าไรนัก
นอกจากอุปกรณ์ OTP แบบพื้นฐานที่ขอเพียงแค่ผู้ถือครองอุปกรณ์กดปุ่มก็จะสามารถสร้าง OTP ได้เลยแล้ว ยังมีอุปกรณ์ OTP แบบที่มีการเสริมปัจจัยการยืนยันตัวตนอื่นเข้ามาด้วย เช่น อุปกรณ์ OTP ที่มีแป้นกดรหัส ซึ่งผู้ถือครองอุปกรณ์ต้องใส่รหัสที่ถูกต้องก่อนจึงจะสามารถสร้าง OTP ได้ ถือเป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) เข้ามา หรือจะเป็นอุปกรณ์ OTP ที่มีเซ็นเซอร์ตรวจจับลายนิ้วมือ ที่เป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณเป็น(something you are) ก็มีอยู่เช่นเดียวกัน อุปกรณ์ OTP ที่มีการเสริมปัจจัยการยืนยันตัวตนชนิดอื่นเข้ามานี้จะถูกเรียกว่า อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device)
จุดเด่นของอุปกรณ์ OTP คือการที่ตัวเครื่องสามารถสร้าง OTP ขึ้นมาได้เอง ไม่ต้องใช้การเชื่อมต่ออินเตอร์เน็ต หรือเชื่อมต่อสัญญาณโทรศัพท์มือถือใด ๆ ในการทำงาน นี่เป็นจุดหลักที่ทำให้อุปกรณ์ OTP แตกต่างจาก SMS-OTP ที่เป็นการรับข้อความที่ส่งมายัง Sim Card เท่านั้น ทั้งนี้ SIM Card (และโทรศัพท์) ที่ใช้รับ SMS-OTP จะถือเป็นสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอีกชนิดหนึ่งที่มีชื่อเรียกอย่างเป็นทางการว่า อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) แทน
- อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band Device)
อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) เป็นอุปกรณ์ที่สามารถสื่อสารกับผู้พิสูจน์และยืนยันตัวตน (Identity Provider: IdP) อย่างปลอดภัยผ่านช่องทางสื่อสารรอง (secondary channel) ซึ่งแยกจากช่องทางสื่อสารหลัก (primary channel) ที่ใช้ในการยืนยันตัวตน เมื่อผู้ใช้บริการได้รับข้อมูลลับจากช่องทางสื่อสารช่องทางใดช่องทางหนึ่ง แล้วนำข้อมูลลับนั้นไปตอบกลับในช่องทางสื่อสารอีกช่องทางหนึ่ง ก็จะถือว่าการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่นเสร็จสมบูรณ์
ตัวอย่างของอุปกรณ์สื่อสารช่องทางอื่นที่เป็นที่นิยมมากที่สุดก็คือ การส่งรหัส SMS-OTP ที่เป็นตัวเลข 6 หลักมายัง Sim Card ตามหมายเลขที่ได้ลงทะเบียนไว้กับ IdP และให้ผู้ใช้งานนำรหัสนี้ไปตอบกลับในหน้าต่างยืนยันตัวตนของ IdP ทั้งนี้ ยังมีการใช้งานอุปกรณ์สื่อสารช่องทางอื่นในรูปแบบอื่น ๆ ได้อีก แต่ก็มีข้อควรระวังไว้คือ ช่องทางสื่อสารที่อุปกรณ์สื่อสารช่องทางอื่นใช้ในการรับ-ส่งรหัสลับนั้นต้องสามารถแสดงให้เห็นได้ว่าผู้ใช้บริการครอบครองและควบคุมอุปกรณ์ที่เฉพาะเจาะจงเท่านั้น ดังนั้นการส่งรหัสลับผ่านอีเมล หรือผ่านวิธีการ voice-over-IP: VoIP (การโทรศัพท์ผ่านอินเตอร์เน็ต) ที่สามารถเข้าใช้งานได้จากหลายอุปกรณ์ จึงไม่ถือเป็นวิธีการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่น
- อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software)
สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี ชนิดสุดท้ายที่เราจะกล่าวถึงคือ อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software) เป็นอุปกรณ์หรือซอฟต์แวร์ที่ใช้กุญแจเข้ารหัส (cryptographic key) สร้างผลลัพธ์ที่ใช้ยืนยันตัวตนและส่งผลลัพธ์นั้นไปยังอุปกรณ์ปลายทาง (endpoint) เช่น การที่ผู้ใช้บริการลงลายมือชื่อดิจิทัลบนข้อความ (challenge nonce) ที่ส่งมาจาก IdP ด้วยอุปกรณ์เข้ารหัสลับ และส่งผลลัพธ์กลับไปให้ IdP ตรวจสอบเพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์เข้ารหัสลับนั้นจริง ความแตกต่างหลักระหว่างอุปกรณ์เข้ารหัสลับ และซอฟต์แวร์เข้ารหัสลับคือ กุญแจเข้ารหัสของอุปกรณ์เข้ารหัสลับจะที่ฝังอยู่ภายในอุปกรณ์ ในขณะที่ซอฟต์แวร์เข้ารหัสลับจะเป็นกุญแจเข้ารหัสที่เก็บไว้ในฮาร์ดดิสก์หรือสื่อบันทึกข้อมูลรูปแบบอื่น
โดยส่วนมากแล้วอุปกรณ์เข้ารหัสลับจะอยู่ในรูปแบบ USB Token ที่บรรจุกุญแจเข้ารหัสไว้ภายใน โดยอาจมีรูปร่างหน้าตาภายนอกคล้ายกับ USB Flash Drive ที่เราใช้เก็บข้อมูล แต่ภายในจะเป็นชิปคนละแบบกัน และอุปกรณ์เข้ารหัสลับจะต้องได้มาตรฐาน FIPS 140-2 Security Requirements for Cryptographic Modules ที่ระดับ 1 เป็นอย่างน้อย การใช้งาน USB Token ทำได้โดยการเชื่อมต่อผ่าน USB port ของคอมพิวเตอร์ และมีโปรแกรมเฉพาะในการติดต่อกับ USB Token เพื่อสร้างผลลัพธ์ที่ใช้ยืนยันตัวตน
การตรวจสอบสิทธิ์แบบสองขั้นตอนทำงานอย่างไร?
การรับรองความถูกต้องแบบสองขั้นตอนจะใช้อุปกรณ์ที่สองที่เป็นอิสระ ซึ่งทำหน้าที่เป็นบัฟเฟอร์ระหว่างบริการและความพยายามในการเข้าสู่ระบบ
บางบริการจะให้คีย์ของตัวเอง ถึงแม้ว่ามันจะได้รับความนิยมน้อยลงเนื่องจาก บริษัทต่างๆ หันมาพัฒนาแอป สมาร์ทโฟน ของตนเอง หรือใช้ประโยชน์จากข้อความ SMS ไม่ว่าจะเป็นคีย์ที่สร้างตัวเลขหรือข้อความยืนยันก็ตาม โดยแนวคิดก็คือมีเพียงเจ้าของอุปกรณ์เท่านั้นที่สามารถเข้าถึงคีย์และความสามารถในการอนุญาตการพยายามเข้าสู่ระบบได้
โดยปกติการตรวจสอบความปลอดภัยเพิ่มเติมจะปรากฏขึ้นหลังจากที่ผู้ใช้ส่งชื่อผู้ใช้และรหัสผ่าน และเมื่อระบบตรวจสอบว่ามีบัญชีนั้นอยู่ ระบบจะขอให้ผู้ใช้ดำเนินการเพิ่มเติม
การรับรองความถูกต้องแบบสองขั้นตอนกำลังเป็นที่แพร่หลายในบริการออนไลน์ส่วนใหญ่ที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อน ไม่ว่าจะเป็นบริการด้านการเงิน, การธนาคาร, อีคอมเมิร์ซ หรือแอปพลิเคชันทางธุรกิจต่างๆ และในบริษัทประเภทอื่นๆ ก็เริ่มนำเสนอ 2FA เพื่อให้โดดเด่นกว่าคู่แข่งเช่นกัน
การปรากฏของขั้นตอนเพิ่มเติมนั้นอาจแตกต่างกันไปในแต่ละบริการ ยกตัวอย่างเช่น ตอนนี้ธนาคารส่วนใหญ่มีโทเคนการรักษาความปลอดภัยของตนเองสำหรับการธนาคารออนไลน์ ซึ่งมักจะอยู่ในรูปแบบของการสร้างตัวเลขสุ่มและมักจะเสนอผ่านแอปพลิเคชันสมาร์ทโฟน ในขณะที่ผู้ใช้บางรายอาจยังใช้ fob ทางกายภาพอยู่ก็ตาม อย่างไรก็ตามบริการออนไลน์จำนวนมากใช้การตรวจสอบแบบสองขั้นตอนที่นำเสนอโดย Google ซึ่งทำให้พวกเขาสามารถฝังชั้นความปลอดภัยเพิ่มเติมได้โดยไม่ต้องดำเนินการพัฒนาเอง
การผ่านการรักษาความปลอดภัยชั้นที่สองอาจเป็นส่วนที่ช้าที่สุดในการลงชื่อเข้าใช้บริการ หากแต่มันเป็นวิธีที่มีประสิทธิภาพในการคัดกรองผู้ที่พยายามจะเข้าสู่บัญชีแบบผิดๆ ได้
การรับรองความถูกต้องแบบสองขั้นตอนปลอดภัยหรือไม่?
แม้ว่ามันจะมีประโยชน์หลายอย่าง แต่ก็เป็นที่น่าสังเกตว่าการรับรองความถูกต้องแบบหลายปัจจัยนั้นอาจจะไม่ปลอดภัย 100% เพราะเมื่อเร็วๆ นี้ Microsoft เตือนธุรกิจต่างๆไม่ให้ใช้ระบบที่ต้องใช้เสียงและ SMS เนื่องจากปัญหาด้านความปลอดภัย โดยเตือนว่าวิธีการเหล่านี้ไม่ใช่การเข้ารหัส เพราะมันทำให้แฮกเกอร์สามารถดักฟังได้ง่ายและมีความอ่อนไหวต่อเทคนิคการหลอกลวงของเหล่าแฮกเกอร์
ตัวอย่างเช่น การตรวจสอบสิทธิ์ผ่านข้อความมีความเสี่ยงที่จะถูกแฮกเกอร์สกัดกั้นและปลอมแปลง โดยเฉพาะอย่างยิ่งหากพวกเขาสามารถขโมยบัญชีที่รองรับหมายเลขโทรศัพท์มือถือของบุคคลได้ กระบวนการกู้คืนบัญชีต่างๆ สำหรับรหัสผ่านที่สูญหายก็สามารถถูกแฮกเกอร์ควบคุมได้เช่นกันในการจัดการกับการพิสูจน์ตัวตนแบบสองขั้นตอน
และมัลแวร์ที่ซับซ้อนที่ติดไวรัสให้กับคอมพิวเตอร์และอุปกรณ์ต่างๆสามารถเปลี่ยนเส้นทางของข้อความในการตรวจสอบสิทธิ์และแจ้งไปยังอุปกรณ์ที่เป็นของแฮกเกอร์แทนที่จะเป็นเจ้าของบัญชีที่ถูกต้อง ซึ่งถึงมันจะทำงานจากภายในแต่ก็ยังเกี่ยวข้องกับการตรวจสอบสิทธิ์แบบสองขั้นตอนเหมือนกัน
วิธีการที่ปลอดภัยที่สุดของ 2FA คือใช้โทเคนฮาร์ดแวร์เฉพาะ เช่น Google Titan Hardware Key หรือ Yubico Key เพราะแฮกเกอร์จะปลอมแปลงได้ยาก เว้นแต่จะขโมยมาจากผู้อื่นโดยตรง ตัวอย่างเช่น ข้อเสนอของ Google ใช้การเข้ารหัสเพื่อยืนยันตัวตนของผู้ใช้และใช้ URL แยกต่างหากเพื่อหยุดไม่ให้ผู้โจมตีเข้าถึงบัญชีแม้ว่าจะมีชื่อผู้ใช้และรหัสผ่านก็ตาม
ในทางกลับกัน การรับรองความถูกต้องแบบสองขั้นตอนที่อาศัย SMS น่าจะหลีกเลี่ยงได้ดีที่สุดหากคุณใช้งานองค์กรที่มีขุมทรัพย์ข้อมูลมาก
แม้ว่า 2FA อาจจะไม่ใช่ตัวจัดการปัญหาด้านความปลอดภัยที่ครั้งหนึ่งเคยคาดว่าจะเป็น แต่มันก็ยังคงเป็นส่วนสำคัญในการรักษาความปลอดภัยและการควบคุมการเข้าถึงที่ควรคำนึงถึงเมื่อมีการจัดหาและตั้งค่าบริการสำหรับธุรกิจหรือชีวิตส่วนตัวของคุณ เพราะยิ่งคุณสร้างอุปสรรคในการเข้าถึงบัญชีมากเท่าไหร่ ก็จะยิ่งมีโอกาสน้อยที่เหล่าแฮกเกอร์จะกำหนดเป้าหมายไปที่คุณ
ที่มา www.etda.or.th
www.quickserv.co.th
สามารถติดตามเราได้ตาม Social Media ต่าง ๆ เพื่อรับข้อมูลข่าวสารและเทคนิคคอมพิวเตอร์ดี ๆ จาก KODEFIX ได้ที่
Facebook Page : KODEFIXThailand
Blockdit : www.blockdit.com/kodefix
Blogger : kodefix.blogspot.com
Website : kodefix.com
