การยืนยันตัวตน (2FA) คืออะไร ?

 

2FA ย่อมาจาก two-factor authentication คือการที่ผู้ใช้บริการทำการยืนยันว่าตนเองว่าคือผู้ใช้บริการจริง โดยการแสดงว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตน (authenticators) ที่มีปัจจัยของการยืนยันตัวตน (authentication factor) จำนวน 2 ปัจจัยที่แตกต่างกัน โดยปัจจัยของการยืนยันตัวตนแบ่งออกเป็น 3 ประเภท ดังนี้

1.สิ่งที่คุณรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น username-password หรือ PIN code

2.สิ่งที่คุณมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น Sim card โทรศัพท์ อุปกรณ์บรรจุกุญแจเข้ารหัส (cryptographic device) หรืออุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP device)

3.สิ่งที่คุณเป็น (something you are) คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ เช่น ใบหน้า และลายนิ้วมือ

 

อาจเคยได้ยินถึงคำว่าการยืนยันตัวตนแบบหลายปัจจัย multi-factor authentication ที่หมายถึงการยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนสอง หรือสามปัจจัยดังกล่าว ไม่ต้องสับสนไปครับ เพราะการยืนยันตัวตนแบบสองปัจจัยก็คือรูปแบบหนึ่งของการยืนยันตัวตนแบบหลายปัจจัยนั่นเอง

 

การยืนยันตัวตนแบบสองปัจจัยที่พบเจอได้ในปัจจุบันโดยส่วนมากแล้วจะเลือกใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) คู่กับปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ตัวอย่างการยืนยันตัวตนแบบสองปัจจัยที่มีประวัติยาวนานและทุกคนน่าจะรู้จักกันดี นั่นก็คือการกดเงินจากตู้ ATM นั่นเอง ผู้ใช้บริการต้องทำการสอดบัตร ATM (something you have) และกดรหัส ATM (something you know) ให้ถูกต้องเพื่อที่จะถอนเงินออกมาได้

ตัวอย่างถัดไปจะเป็นสิ่งที่ขาช้อปออนไลน์ต้องเคยได้พบเจอบ้างในการจ่ายเงินค่าสินค้าออนไลน์ผ่านบัตรเครดิต ที่หลังจากกรอกเลขบัตรเครดิต และเลขหลังบัตร (something you know) เรียบร้อยแล้ว จะปรากฏหน้าต่างเพื่อให้กรอกรหัสลับ SMS-OTP ที่ส่งให้ตามเบอร์โทรศัพท์ (something you have) ของลูกค้าตามที่ลงทะเบียนไว้

 

ตัวอย่างสุดท้ายที่อยากพูดถึงคือการ log in เข้าระบบที่ให้ใส่ username-password (something you know) และหลังจากนั้นระบบจะบอกให้ผู้ใช้บริการไปเปิด OTP application (something you have) บนอุปกรณ์ของผู้ใช้บริการเอง เช่น Google Authenticator หรือ Microsoft Authenticator เพื่อนำรหัสมากรอกในระบบอีกรอบ

 

เห็นหรือไม่ว่าการ 2FA เป็นสิ่งที่อยู่รอบๆตัวเรามานานแล้ว ไม่ใช่เรื่องใหม่หรือเรื่องที่เข้าใจยาก ซับซ้อน แต่อย่างใด ดังนั้นเพื่อความปลอดภัยในการทำธุรกรรมออนไลน์ที่มากขึ้น ผู้เขียนจึงขอสนับสนุนให้ทุกคนทำความเข้าใจ และใช้งาน 2FA กันให้อย่างแพร่หลาย

 

สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ที่ไม่ว่าจะนำมาใช้แทน username-password เพื่อเพิ่มความสะดวก หรือจะนำมาใช้เสริมเป็นอีกหนึ่งปัจจัยของการยืนยันตัวตนเพื่อเพิ่มความปลอดภัยก็ได้ทั้งนั้น และรู้หรือไม่ว่าสำหรับหลาย ๆ คนแล้ว สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอาจอยู่ใกล้เพียงปลายนิ้ว รอเพียงการเปิดใช้งานเท่านั้น

 

สามารถแบ่งชนิดของสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีเพื่อให้ที่เข้าใจได้ง่าย ๆ เป็น 3 ชนิดคือ

1. อุปกรณ์ OTP (OTP device)  

สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีชนิดแรกที่เราจะกล่าวถึงในบทความนี้คือ อุปกรณ์ OTP (OTP device) เป็นอุปกรณ์ที่สามารถสร้างรหัสผ่านใช้ครั้งเดียว (One-Time Password : OTP) ได้ด้วยตัวอุปกรณ์เอง และให้เจ้าของอุปกรณ์นำ OTP นี้ไปกรอกบนหน้าต่างยืนยันตัวตน เพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์ OTP อยู่จริง ทั้งนี้ อุปกรณ์ OTP มีทั้งแบบที่เป็นฮาร์ดแวร์เฉพาะ และแบบที่เป็นซอฟต์แวร์ติดตั้งบนอุปกรณ์อื่น

 

ตัวอย่างของอุปกรณ์ OTP ที่ใกล้ตัวเราที่สุดก็คือ smartphone ที่ติดตั้ง authenticator application ไว้นั่นเอง โดย authenticator application ที่ได้รับความนิยม เช่น Google authenticator, Microsoft authenticator และ Authy   ส่วน อุปกรณ์ OTP ที่เป็นฮาร์ดแวร์เฉพาะนั้นในประเทศไทยเรายังไม่เป็นที่แพร่หลายเท่าไรนัก

 

นอกจากอุปกรณ์ OTP แบบพื้นฐานที่ขอเพียงแค่ผู้ถือครองอุปกรณ์กดปุ่มก็จะสามารถสร้าง OTP ได้เลยแล้ว ยังมีอุปกรณ์ OTP แบบที่มีการเสริมปัจจัยการยืนยันตัวตนอื่นเข้ามาด้วย เช่น อุปกรณ์ OTP ที่มีแป้นกดรหัส ซึ่งผู้ถือครองอุปกรณ์ต้องใส่รหัสที่ถูกต้องก่อนจึงจะสามารถสร้าง OTP ได้ ถือเป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) เข้ามา หรือจะเป็นอุปกรณ์ OTP ที่มีเซ็นเซอร์ตรวจจับลายนิ้วมือ ที่เป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณเป็น(something you are) ก็มีอยู่เช่นเดียวกัน อุปกรณ์ OTP ที่มีการเสริมปัจจัยการยืนยันตัวตนชนิดอื่นเข้ามานี้จะถูกเรียกว่า อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device)

 

จุดเด่นของอุปกรณ์ OTP คือการที่ตัวเครื่องสามารถสร้าง OTP ขึ้นมาได้เอง ไม่ต้องใช้การเชื่อมต่ออินเตอร์เน็ต หรือเชื่อมต่อสัญญาณโทรศัพท์มือถือใด ๆ ในการทำงาน นี่เป็นจุดหลักที่ทำให้อุปกรณ์ OTP แตกต่างจาก SMS-OTP ที่เป็นการรับข้อความที่ส่งมายัง Sim Card เท่านั้น ทั้งนี้ SIM Card (และโทรศัพท์) ที่ใช้รับ SMS-OTP จะถือเป็นสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอีกชนิดหนึ่งที่มีชื่อเรียกอย่างเป็นทางการว่า อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) แทน

 

2. อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band Device)

อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) เป็นอุปกรณ์ที่สามารถสื่อสารกับผู้พิสูจน์และยืนยันตัวตน (Identity Provider: IdP) อย่างปลอดภัยผ่านช่องทางสื่อสารรอง (secondary channel) ซึ่งแยกจากช่องทางสื่อสารหลัก (primary channel) ที่ใช้ในการยืนยันตัวตน เมื่อผู้ใช้บริการได้รับข้อมูลลับจากช่องทางสื่อสารช่องทางใดช่องทางหนึ่ง แล้วนำข้อมูลลับนั้นไปตอบกลับในช่องทางสื่อสารอีกช่องทางหนึ่ง ก็จะถือว่าการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่นเสร็จสมบูรณ์

 

ตัวอย่างของอุปกรณ์สื่อสารช่องทางอื่นที่เป็นที่นิยมมากที่สุดก็คือ การส่งรหัส SMS-OTP ที่เป็นตัวเลข 6 หลักมายัง Sim Card ตามหมายเลขที่ได้ลงทะเบียนไว้กับ IdP และให้ผู้ใช้งานนำรหัสนี้ไปตอบกลับในหน้าต่างยืนยันตัวตนของ IdP ทั้งนี้ ยังมีการใช้งานอุปกรณ์สื่อสารช่องทางอื่นในรูปแบบอื่น ๆ ได้อีก แต่ก็มีข้อควรระวังไว้คือ ช่องทางสื่อสารที่อุปกรณ์สื่อสารช่องทางอื่นใช้ในการรับ-ส่งรหัสลับนั้นต้องสามารถแสดงให้เห็นได้ว่าผู้ใช้บริการครอบครองและควบคุมอุปกรณ์ที่เฉพาะเจาะจงเท่านั้น ดังนั้นการส่งรหัสลับผ่านอีเมล หรือผ่านวิธีการ voice-over-IP: VoIP (การโทรศัพท์ผ่านอินเตอร์เน็ต)  ที่สามารถเข้าใช้งานได้จากหลายอุปกรณ์ จึงไม่ถือเป็นวิธีการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่น

 

3. อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software)

สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี ชนิดสุดท้ายที่เราจะกล่าวถึงคือ อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software) เป็นอุปกรณ์หรือซอฟต์แวร์ที่ใช้กุญแจเข้ารหัส (cryptographic key) สร้างผลลัพธ์ที่ใช้ยืนยันตัวตนและส่งผลลัพธ์นั้นไปยังอุปกรณ์ปลายทาง (endpoint) เช่น การที่ผู้ใช้บริการลงลายมือชื่อดิจิทัลบนข้อความ (challenge nonce) ที่ส่งมาจาก IdP ด้วยอุปกรณ์เข้ารหัสลับ และส่งผลลัพธ์กลับไปให้ IdP ตรวจสอบเพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์เข้ารหัสลับนั้นจริง ความแตกต่างหลักระหว่างอุปกรณ์เข้ารหัสลับ และซอฟต์แวร์เข้ารหัสลับคือ กุญแจเข้ารหัสของอุปกรณ์เข้ารหัสลับจะที่ฝังอยู่ภายในอุปกรณ์ ในขณะที่ซอฟต์แวร์เข้ารหัสลับจะเป็นกุญแจเข้ารหัสที่เก็บไว้ในฮาร์ดดิสก์หรือสื่อบันทึกข้อมูลรูปแบบอื่น

 

โดยส่วนมากแล้วอุปกรณ์เข้ารหัสลับจะอยู่ในรูปแบบ USB Token ที่บรรจุกุญแจเข้ารหัสไว้ภายใน โดยอาจมีรูปร่างหน้าตาภายนอกคล้ายกับ USB Flash Drive ที่เราใช้เก็บข้อมูล แต่ภายในจะเป็นชิปคนละแบบกัน และอุปกรณ์เข้ารหัสลับจะต้องได้มาตรฐาน FIPS 140-2 Security Requirements for Cryptographic Modules ที่ระดับ 1 เป็นอย่างน้อย การใช้งาน USB Token ทำได้โดยการเชื่อมต่อผ่าน USB port ของคอมพิวเตอร์ และมีโปรแกรมเฉพาะในการติดต่อกับ USB Token เพื่อสร้างผลลัพธ์ที่ใช้ยืนยันตัวตน

 

ที่มา www.etda.or.th

อ่านบทความเพิ่มเติมได้ที่  www.kodefix.com