ความรู้เกี่ยวกับระบบการยืนยันตัวตน
ระบบรักษาความปลอดภัยส่วนบุคคลได้รับการพัฒนาขึ้นอย่างต่อเนื่อง และในปัจจุบันเราได้เห็นระบบ Biometric หรือที่เรียกเป็นภาษาไทยว่าระบบชีวิมิติ เริ่มเป็นที่ใช้งานอย่างแพร่หลาย ซึ่งสาเหตุหลักๆ ที่ยุคนี้ต้องการระบบรักษาความปลอดภัยสูงเนื่องจาก ปัจจุบันเราใช้บริการในโลกออนไลน์เป็นจำนวนมาก ไม่ว่าจะ Google, Facebook, หรือเว็บอื่นๆ ภายในประเทศเราเอง บทความนี้จะพาไปรู้จักกับระบบการยืนยันตัวตนในรูปแบบต่างๆ ที่ใช้กันอยู่ในปัจจุบัน
สถิติจากการสำรวจของบริษัท TeleSign พบว่าผู้ใช้เน็ต 40% (2 ใน 5 คน) ถูกโจมตี Credential ไม่ว่าจะเป็นการได้รับการเตือน ว่าข้อมูลถูกขโมยออกไปจากระบบที่ตนเองใช้ บัญชีถูกแฮก หรือ รหัสผ่านถูกขโมยด้วยวิธีต่างๆ เช่น Phishing ปัญหาหลัก คือ ผู้ใช้จำนวนมากใช้รหัสผ่านซ้ำกันในหลายบริการ (54% ของ ผู้ใช้เน็ต จำรหัสผ่านไว้ใช้ล็อกอินเว็บต่างๆ ไม่เกิน 5 รหัสผ่าน) และรหัสผ่านก็เปลี่ยนไม่บ่อย (จากผลสำรวจ 47% ของผู้ใช้มี รหัสผ่านที่ใช้งานมานานเกิน 5 ปีโดยไม่มีการเปลี่ยน) ทำให้ คนร้ายมีเวลาที่จะขโมยรหัสผ่านทั้งจากตัวผู้ใช้เอง หรือจากเว็บ อื่นที่มีการปกป้องน้อยกว่า เพื่อเอารหัสผ่านมาใช้เข้าสู่ระบบที่มี มูลค่าสูงกว่า เช่น ระบบธนาคารออนไลน
วิิธีแก้ปัญหาหลักๆ ที่ใช้กันอยู่ก็คือ การใช้ 2-Factor Authentication ผ่าน Token ต่างๆ เช่น RSA Token ที่ใช้วิธีกดปุ่มให้แสดงรหัส 6-8 หลัก เพื่อใช้ในการยืนยันตัวตน หรือใช้ระบบ SMS-OTP (One-Time Password Over SMS ซึ่งเป็นรหัสผ่านที่มีไว้ใช้ครั้ง เดียว) เพื่อรับรหัสผ่านทาง SMS ในการใช้ยืนยันตัวตน
วิธีการยืนยันตัวตนนั้นเกิดขึ้นเมื่อเราต้องการล็อกอินเข้าระบบ ซึ่ง เมื่อระบบต้องการเช็คว่าเราเป็นคนที่แสดงตัวตนว่าใช่ (ยกตัวอย่าง เราต้องการล็อกอินด้วยชื่อของเรา) ระบบจะต้องเช็คข้อมูลจาก เรา 3 วิธี คือ
Something You Know หรือสิ่งที่เรารู้ เช่น Password หรือ คำตอบของคำถามลับบางอย่างที่เฉพาะเรากับ ระบบรู้กันเท่านั้น เรียกว่า Shared Secret Something You Have หรือยืนยันว่าเรามีอุปกรณ์บาง อย่างที่พกพาอยู่ เป็นต้นว่าโทรศัพท์มือถือ หรือ Security Token บางอย่าง Something You Are หรือเอกลักษณ์เฉพาะตัว เป็นการ แสดงคุณสมบัติทางชีวมิติ (Biometrics)
วิธีที่เว็บต่างๆ ใช้ในการยืนยันตัวตนนั้น คือ การใช้ Something You Know หรือ Username/Password เป็นข้อมูลลับที่เราได้ ฝากไว้กับเว็บดังกล่าวไว้ก่อนแล้ว ซึ่งวิธีนี้ติดตั้งง่าย สร้างง่าย ดูแลง่าย แต่มีปัญหาด้านไม่ปลอดภัย เพราะ Password นั้นถูก ขโมยได้ง่าย และจากที่กล่าวไปแล้ว ผู้ใช้ละเลยความปลอดภัย โดยรหัสผ่านเดาง่าย เพราะต้องการให้จำง่าย หรือใช้รหัสผ่านซ้ำ กันในหลายเว็บ บางเว็บก็เลือกที่จะใช้สองวิธีในการยืนยันตัวตน คือ ใช้ทั้ง Something You Know และ Something You Have ผ่านการใช้ Secure Token หรือ SMS OTP ร่วมกันกับ Password รวมเป็น 2 Factor Authentication หรือการยืนยันตัวตนโดยการใช้สองมิติ ขึ้นไป ซึ่งรหัสเหล่านี้ แม้จะไม่มีปัญหาการใช้ซ้ำกันในหลายเว็บ และแก้ปัญหาการจำยาก แต่ก็ยังสามารถถูกขโมยได้ ง่ายทางช่องทางออนไลน์ (เช่น Phishing)
จากปัญหาข้างต้น ทำให้บริษัทและองค์กรจำนวนมาก ทั่วโลกรวมตัวกันก่อตั้ง FIDO Alliance เพื่อสร้างสรรค์ เทคโนโลยีมาตรฐานใหม่ ที่จะเอามาแก้ปัญหาการ ยืนยันตัวตนออนไลน์อย่างปลอดภัย โดย FIDO (ย่อ มาจาก Fast IDentity Online) เป็นมาตรฐานใหม่ใน การใช้เทคโนโลยี Public Key Cryptography ร่วมกับการใช้ Biometric ในการยืนยันตัวตน เกิดขึ้นเป็น Biometric Authentication Standard ใหม่ ซึ่งเป็นระบบชีวิมิติที่ใช้กันอยู่ในปัจจุบันนั่นเอง
——————————————
