e-Standard
- 28 ม.ค. 65
-
6553
-
การยืนยันตัวตน ตอนที่ 2 Something You Have, Authentication Factor ที่เข้าถึงได้ง่ายๆ
บทความนี้จะอธิบายถึงสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ที่ไม่ว่าจะนำมาใช้แทน username-password เพื่อเพิ่มความสะดวก หรือจะนำมาใช้เสริมเป็นอีกหนึ่งปัจจัยของการยืนยันตัวตนเพื่อเพิ่มความปลอดภัยก็ได้ทั้งนั้น และรู้หรือไม่ว่าสำหรับหลาย ๆ คนแล้ว สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอาจอยู่ใกล้เพียงปลายนิ้ว รอเพียงการเปิดใช้งานเท่านั้น
บทความนี้แบ่งชนิดของสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีเพื่อให้ที่เข้าใจได้ง่าย ๆ เป็น 3 ชนิดคือ
- อุปกรณ์ OTP (OTP device)
- อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band Device)
- อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software)
โดยมีรายละเอียดตามข้างล่างนี้เลยครับ
1. อุปกรณ์ OTP (OTP device)
สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีชนิดแรกที่เราจะกล่าวถึงในบทความนี้คือ อุปกรณ์ OTP (OTP device) เป็นอุปกรณ์ที่สามารถสร้างรหัสผ่านใช้ครั้งเดียว (One-Time Password : OTP) ได้ด้วยตัวอุปกรณ์เอง และให้เจ้าของอุปกรณ์นำ OTP นี้ไปกรอกบนหน้าต่างยืนยันตัวตน เพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์ OTP อยู่จริง ทั้งนี้ อุปกรณ์ OTP มีทั้งแบบที่เป็นฮาร์ดแวร์เฉพาะ และแบบที่เป็นซอฟต์แวร์ติดตั้งบนอุปกรณ์อื่น
ตัวอย่างของอุปกรณ์ OTP ที่ใกล้ตัวเราที่สุดก็คือ smartphone ที่ติดตั้ง authenticator application ไว้นั่นเอง โดย authenticator application ที่ได้รับความนิยม เช่น Google authenticator, Microsoft authenticator และ Authy ส่วน อุปกรณ์ OTP ที่เป็นฮาร์ดแวร์เฉพาะนั้นในประเทศไทยเรายังไม่เป็นที่แพร่หลายเท่าไรนัก
ตัวอย่างอุปกรณ์ OTP (OTP Device) ที่เป็น authentication application และหน้าจอการใช้งาน
ตัวอย่างอุปกรณ์ OTP (OTP Device) ที่เป็นฮาร์ดแวร์เฉพาะ
นอกจากอุปกรณ์ OTP แบบพื้นฐานที่ขอเพียงแค่ผู้ถือครองอุปกรณ์กดปุ่มก็จะสามารถสร้าง OTP ได้เลยแล้ว ยังมีอุปกรณ์ OTP แบบที่มีการเสริมปัจจัยการยืนยันตัวตนอื่นเข้ามาด้วย เช่น อุปกรณ์ OTP ที่มีแป้นกดรหัส ซึ่งผู้ถือครองอุปกรณ์ต้องใส่รหัสที่ถูกต้องก่อนจึงจะสามารถสร้าง OTP ได้ ถือเป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) เข้ามา หรือจะเป็นอุปกรณ์ OTP ที่มีเซ็นเซอร์ตรวจจับลายนิ้วมือ ที่เป็นการเสริมปัจจัยการยืนยันตัวตนประเภทสิ่งที่คุณเป็น(something you are) ก็มีอยู่เช่นเดียวกัน อุปกรณ์ OTP ที่มีการเสริมปัจจัยการยืนยันตัวตนชนิดอื่นเข้ามานี้จะถูกเรียกว่า อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device)
ตัวอย่างอุปกรณ์ OTP (OTP Device) แบบหลายปัจจัย
จุดเด่นของอุปกรณ์ OTP คือการที่ตัวเครื่องสามารถสร้าง OTP ขึ้นมาได้เอง ไม่ต้องใช้การเชื่อมต่ออินเตอร์เน็ต หรือเชื่อมต่อสัญญาณโทรศัพท์มือถือใด ๆ ในการทำงาน นี่เป็นจุดหลักที่ทำให้อุปกรณ์ OTP แตกต่างจาก SMS-OTP ที่เป็นการรับข้อความที่ส่งมายัง Sim Card เท่านั้น ทั้งนี้ SIM Card (และโทรศัพท์) ที่ใช้รับ SMS-OTP จะถือเป็นสิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมีอีกชนิดหนึ่งที่มีชื่อเรียกอย่างเป็นทางการว่า อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) แทน
2. อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band Device)
อุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band device) เป็นอุปกรณ์ที่สามารถสื่อสารกับผู้พิสูจน์และยืนยันตัวตน (Identity Provider: IdP) อย่างปลอดภัยผ่านช่องทางสื่อสารรอง (secondary channel) ซึ่งแยกจากช่องทางสื่อสารหลัก (primary channel) ที่ใช้ในการยืนยันตัวตน เมื่อผู้ใช้บริการได้รับข้อมูลลับจากช่องทางสื่อสารช่องทางใดช่องทางหนึ่ง แล้วนำข้อมูลลับนั้นไปตอบกลับในช่องทางสื่อสารอีกช่องทางหนึ่ง ก็จะถือว่าการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่นเสร็จสมบูรณ์
ตัวอย่างของอุปกรณ์สื่อสารช่องทางอื่นที่เป็นที่นิยมมากที่สุดก็คือ การส่งรหัส SMS-OTP ที่เป็นตัวเลข 6 หลักมายัง Sim Card ตามหมายเลขที่ได้ลงทะเบียนไว้กับ IdP และให้ผู้ใช้งานนำรหัสนี้ไปตอบกลับในหน้าต่างยืนยันตัวตนของ IdP ทั้งนี้ ยังมีการใช้งานอุปกรณ์สื่อสารช่องทางอื่นในรูปแบบอื่น ๆ ได้อีก แต่ก็มีข้อควรระวังไว้คือ ช่องทางสื่อสารที่อุปกรณ์สื่อสารช่องทางอื่นใช้ในการรับ-ส่งรหัสลับนั้นต้องสามารถแสดงให้เห็นได้ว่าผู้ใช้บริการครอบครองและควบคุมอุปกรณ์ที่เฉพาะเจาะจงเท่านั้น ดังนั้นการส่งรหัสลับผ่านอีเมล หรือผ่านวิธีการ voice-over-IP: VoIP (การโทรศัพท์ผ่านอินเตอร์เน็ต) ที่สามารถเข้าใช้งานได้จากหลายอุปกรณ์ จึงไม่ถือเป็นวิธีการยืนยันตัวตนด้วยอุปกรณ์สื่อสารช่องทางอื่น
ตัวอย่างการใช้งานอุปกรณ์สื่อสารช่องทางอื่น (Out-Of-Band Device) ด้วย SMS-OTP
3. อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software)
สิ่งที่ใช้ยืนยันตัวตนประเภทสิ่งที่คุณมี ชนิดสุดท้ายที่เราจะกล่าวถึงคือ อุปกรณ์หรือซอฟต์แวร์เข้ารหัสลับ (cryptographic device/software) เป็นอุปกรณ์หรือซอฟต์แวร์ที่ใช้กุญแจเข้ารหัส (cryptographic key) สร้างผลลัพธ์ที่ใช้ยืนยันตัวตนและส่งผลลัพธ์นั้นไปยังอุปกรณ์ปลายทาง (endpoint) เช่น การที่ผู้ใช้บริการลงลายมือชื่อดิจิทัลบนข้อความ (challenge nonce) ที่ส่งมาจาก IdP ด้วยอุปกรณ์เข้ารหัสลับ และส่งผลลัพธ์กลับไปให้ IdP ตรวจสอบเพื่อแสดงให้เห็นว่าตนเองครอบครองและควบคุมอุปกรณ์เข้ารหัสลับนั้นจริง ความแตกต่างหลักระหว่างอุปกรณ์เข้ารหัสลับ และซอฟต์แวร์เข้ารหัสลับคือ กุญแจเข้ารหัสของอุปกรณ์เข้ารหัสลับจะที่ฝังอยู่ภายในอุปกรณ์ ในขณะที่ซอฟต์แวร์เข้ารหัสลับจะเป็นกุญแจเข้ารหัสที่เก็บไว้ในฮาร์ดดิสก์หรือสื่อบันทึกข้อมูลรูปแบบอื่น
โดยส่วนมากแล้วอุปกรณ์เข้ารหัสลับจะอยู่ในรูปแบบ USB Token ที่บรรจุกุญแจเข้ารหัสไว้ภายใน โดยอาจมีรูปร่างหน้าตาภายนอกคล้ายกับ USB Flash Drive ที่เราใช้เก็บข้อมูล แต่ภายในจะเป็นชิปคนละแบบกัน และอุปกรณ์เข้ารหัสลับจะต้องได้มาตรฐาน FIPS 140-2 Security Requirements for Cryptographic Modules ที่ระดับ 1 เป็นอย่างน้อย การใช้งาน USB Token ทำได้โดยการเชื่อมต่อผ่าน USB port ของคอมพิวเตอร์ และมีโปรแกรมเฉพาะในการติดต่อกับ USB Token เพื่อสร้างผลลัพธ์ที่ใช้ยืนยันตัวตน
ตัวอย่างอุปกรณ์เข้ารหัสลับ(cryptographic device)
ความจริงแล้วยังมีสิ่งที่ใช้ยืนยันตัวตนที่บรรจุประเภทสิ่งที่คุณมี รูปแบบอื่นนอกเหนือจากที่กล่าวไปข้างต้นอีก แต่บทความนี้ขอเสนอแค่เพียงพอให้ผู้อ่านเริ่มใช้งานได้อย่างสะดวกเพียงเท่านี้ หากผู้อ่านท่านใดมีความสนใจรายละเอียดเพิ่มเติมสามารถศึกษาได้จากเอกสารอ้างอิงข้างล่างนี้เลยครับ
อ้างอิง
ETDA Recommendation, Digital Identity – Framework
ETDA Recommendation, Digital Identity – Authentication
https://www.facebook.com/MDESChaiwut/posts/226569176212710