มือเก่าหัดถ่ายภาพ
 
มีนาคม 2551
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
6 มีนาคม 2551

เพิ่มความปลอดภัยในการ login ด้วย Two Factor Authentication

Information Security
เรื่อง Two-Factor Authentication

บทนำ
หลายๆคนอาจจะคุ้นเคยกับการ Login เพื่อเข้าสู่ระบบนะครับ จริงๆแล้ว การ Login ก็คือ การพิสูจน์ตัวตนว่า เราเป็นใคร ซึ่งตรงกับภาษาอังกฤษว่า Authentication เมื่อระบบทราบแล้วว่าเราเป็นใคร ระบบคอมพิวเตอร์นั้น ก็จะดูว่าเรามีสิทธิจะใช้งานได้มากแค่ไหน หรือใช้งานอะไรได้บ้าง ซึ่งจะตรงกับภาษาอังกฤษว่า Authorization ในบทความนี้เราจะมาโฟกัสกันที่ การพิสูจน์ตัวตนนะครับ

Authentication
อย่างที่เกริ่นไว้ในตอนต้นครับ Authentication คือ การพิสูจน์ตัวตน ว่าผู้ใช้ระบบคือใคร ซึ่งจะใช้กับระบบคอมพิวเตอร์ที่ต้องการความปลอดภัย ไม่ใช่ใครๆก็สามารถใช้งานได้ เช่น เมื่อเราต้องการเช็คเมล์ของ hotmail เราก็จะต้องใส่ e-mail ซึ่ง e-mail ของเราที่ใช้นั้น เพื่อนๆที่เราส่งหาก็ทราบเช่นกัน จึงต้องมีการใส่ Password เพื่อพิสูจน์ว่า เราเป็นเจ้าของ e-mail นั้นจริงๆ
วิธีการ Authentication ในรูปแบบ Digital นั้นมีแพร่หลายอยู่ด้วยกัน 3 วิธีคือ
1. สิ่งที่คุณรู้ ( Something you know ) เช่น Password, PIN หรือ Out of wallet*
2. สิ่งที่คุณมี ( Something you have ) เช่น โทรศัพท์มือถือ, Security Token
3. สิ่งที่คุณเป็น ( Something you are ) เช่น ลายนิ้วมือ, การสแกนม่านตา, หรือ biometric อื่นๆ

* Out of wallet หมายถึง สิ่งที่คุณทราบ แต่ไม่ได้มีข้อมูลอยู่ในกระเป๋าคุณ เช่น รถคันแรกของคุณสีอะไร, คุณยายคุณชื่ออะไร เป็นสิ่งที่เจ้าหน้าที่มักใช้สอบถาม ในเวลาที่จะตรวจสอบลูกค้าทางโทรศัพท์ จริงๆก็เหมือนที่หลายๆเว็ปไซต์ใช้คำถามกันลืมหนะแหละครับ :)

Two Factors Authentication ( T-FA )
เดิมทีระบบจะพิสูจน์ตัวตนของผู้ใช้งาน โดยการสอบถาม User และ Password แต่สำหรับระบบที่ต้องการความปลอดภัยมากๆ คงจะต้องการความปลอดภัยที่มากไปกว่าการสอบถามแค่ User / Password
เนื่องจาก การสอบถามแค่ User / Password ทำให้มีหลายๆสถาบันการเงิน ที่โดนมิจฉาชีพสร้างเว็ปไซต์หลอกลวง โดยทำหน้าเว็ปซะเหมือนเว็ปของสถาบันการเงินนั้นๆซะเปี๊ยบเลย และให้ลูกค้าป้อนข้อมูลที่เป็นความลับ ที่อาจรวมถึง User / Password ของ Internet Banking หรือข้อมูลบัตรเครดิต ที่เราเรียกวิธีการหลอกลวงดังกล่าวว่าพิชชิ่ง ( Phishing )

ปกติแล้ว two-factor authentication จะสอบถามถึง สิ่งที่คุณทราบ ( ซึ่งในที่นี้คือ Password ) เป็น 1 ใน 2 Factor และอีกหนึ่งจะเป็น สิ่งที่คุณมี หรือสิ่งที่คุณเป็นก็ได้ ( Biometrics ) ตัวอย่างของ T-FA ที่เห็นง่ายๆก็คือ บัตร ATM ที่แทบทุกคนมีใช้นั่นแหละครับ ตัวบัตร ATM คือสิ่งที่คุณมี ส่วนรหัส PIN คือสิ่งที่คุณทราบ ดังนั้นการทำรายการด้วยบัตร ATM อาจถือว่ามีความปลอดภัยมากกว่าการใช้ Internet Banking ที่สอบถามเพียงแค่ User / Password ก็เป็นได้ ทั้งนี้หากคุณจดรหัส PIN ไว้ที่ซองบัตร.. ก็เท่ากับว่า คุณทำให้มันมีความปลอดภัยน้อยลง เพราะว่า 2 factor เหลือเพียง 1 factor ในกรณีที่คุณทำบัตร ATM หาย ผู้เก็บได้ ก็ไม่ต้องเดา PIN ของคุณเลย เพียงแค่อ่านดูที่ซองบัตร... done

T-FA สามารถลดการขโมยตัวตน (identity theft) หรือการปลอมแปลงอื่นๆ เพราะว่าหาก crack ได้ Password ไป ก็จะไม่เพียงพอต่อการเข้าสู่ระบบได้ อย่างไรก็ตาม T-FA ยังคงไม่ปลอดภัยจากการโจมตีแบบ Trojan และ Man-in-the-Middle เพราะพวกนี้ก็ยังสามารถขโมย session คุณไปได้น่าตาเฉย ^^"

องค์กรต่างๆ โดยเฉพาะสถาบันทางการเงิน มีการใช้ T-FA โดยการแจก Smart cards / USB Token / Security Token เพิ่มขึ้นอย่างมาก เพื่อปกป้องข้อมูลขององค์กร อย่างไรก็ตาม มีข้อด้อยอยู่นิดหนึ่งตรงที่การ Implement Factor ที่สอง อาจจะลำบาก เนื่องจาก คนกลุ่มหนึ่งไม่ต้องการที่จะพกอุปกรณ์บางอย่างติดตัวไปด้วย
ในประเทศไทย มีการใช้ T-FA กันอย่างแพร่หลาย โดยเฉพาะสถาบันการเงินจากต่างประเทศ ส่วนสถาบันการเงินภายในประเทศ ก็มีการใช้ T-FA โดยที่ประยุกต์ใช้กับอุปกรณ์ที่ประชาชนส่วนใหญ่มี นั่นก็คือโทรศัพท์มือถือ โดยระบบจะมีการ random รหัสและส่งผ่าน SMS ไปที่โทรศัพท์มือถือของลูกค้า

ก่อนสมัคร Internet Banking ลองถามธนาคารที่คุณใช้บริการอยู่นิดนึง ว่ามี Two Factor Authentication แล้วหรือยัง

( แต่สงสัยพนักงานธนาคารจะงง แล้วถามกลับมาว่า แล้วมันคืออะไรหละ )


Create Date : 06 มีนาคม 2551
Last Update : 7 มีนาคม 2551 10:19:35 น. 7 comments
Counter : 8641 Pageviews.  
Share

 
เข้ามาเก็บความรู้คะ ^^


โดย: น้องผิง วันที่: 7 มีนาคม 2551 เวลา:15:30:37 น.  

 
ตามน้องผิงมาเก็บด้วยคนแล้วเดินงงๆออกไป


โดย: Hobbit วันที่: 9 มีนาคม 2551 เวลา:20:17:51 น.  

 
uuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu


โดย: byheart IP: 202.28.201.38 วันที่: 6 มกราคม 2552 เวลา:17:14:07 น.  

 
ผมว่า T-FA นี่ดีนะครับ แต่สำหรับ internet banking ที่ต้องป้อน code จากตัว code generator เพิ่มเติมจาก password นี่ผมว่ามันลำบากมากนะครับ เพราะผมไม่อยากที่จะพกพาไปด้วยน่ะครับ บางทีจำเป็นต้องทำ transaction on the go โดยที่ไม่ได้คาดเอาไว้ก่อน ตัวอย่างนะครับ Hong Kong Bank เลยครับ ต้องมีตัว code generator เท่านั้นถึงจะใช้ internet banking ได้ โดยที่ไม่มีช่องทางทดแทนในส่วนที่มีครับ แต่ในขณะที่ ธ.ทหารไทย ต้องใช้ code generator เหมือนกันนะครับ แต่ว่าถ้าไม่มีก็สามารถที่จะ switch ไปใช้การขอ code ผ่านทางอีเมล์ ซึ่งผมถือว่าสำคัญครับที่จะต้องมีช่องทางทดแทนกับ factor ที่สอง อีกตัวอย่างนะครับ Chase Bank ที่อเมริกา ก็จะต้องให้ใส่ random code ด้วยนอกเหนือจาก password ที่ตั้งไว้ ซึ่งเราจะขอให้ส่งไปที่มือถือ หรือส่งไปที่เมล์ได้ครับ ซึ่งผมว่าก็มีประสิทธิภาพได้เหมือนกันครับ สิ่งที่มี ผมว่าควรจะมีทางเลือกที่มากกว่าหนึ่งครับ code generator, mobile phone, email, หรืออื่น ๆ ครับ อีกตัวอย่างที่ผมเห็นว่าปรับปรุงได้ครับ คือ ธ.กรุงศรีฯ ถ้าจะโอนเงินหรือจะจ่ายเงินให้กับ biller ต้องขอ code ก่อนแล้วทำได้ทางเดียวคือผ่านทางมือถือครับ ซึ่งผมอยู่อเมริกา ไม่มีมือถือเมืองไทยแล้วทำไงครับ คือปัจจัยที่ว่าโลกนี่ borderless ไปแล้วนี่สำคัญมากครับ users อยู่กระจัดกระจายอยู่ทั่วโลกครับ ดังนั้นระบบต้องปลอดภัยแล้วต้องดูถึงความสะดวกด้วยครับ (ธ.กรุงศรีฯสามารถขอ code ได้ทางอีเมล์ แต่ผมต้องพิมพ์จดหมาย เซ็นต์แล้วส่งไปให้ธ.อนุมัติก่อนครับ ผมถือว่ากระบวนการ verification ผ่านทางไปรษณีย์มันล้าหลัง และช้ามากครับ)

ความเห็นส่วนตัวผมว่า internet banking ของธ.ในประเทศไทยยังปรับปรุงได้อีกมากครับ อย่างที่ผมบอกไปตอนต้น ความปลอดภัยเป็นสิ่งสำคัญแน่นอนครับ แต่ความเข้าถึงระบบของ users ก็ไม่สำคัญยิ่งหย่อนไปกว่ากันครับ ขอบคุณกับความรู้ดี ๆ ครับ


โดย: องค์ชายข่าหลอ วันที่: 27 พฤษภาคม 2552 เวลา:6:37:00 น.  

 
ขอบคุณ มากครับ เป็น กระทู้ ที่เป็น ประโยชน์มากครับ


โดย: tom IP: 118.172.123.109 วันที่: 5 ตุลาคม 2553 เวลา:20:41:25 น.  

 

เข้ามาเก็บเกี่ยวข้อมูล ขอบคุณที่มีข้อมูลเอื้อเฟื้อเผื่อสำหรับคนที่ไม่เข้าใจในเนื้อหาแต่ตอนนี้แจ่มค่ะ
ขอบพระคุณอีกครั้งค่ะ


โดย: อารดา ปาวงค์ IP: 118.172.99.204 วันที่: 26 กันยายน 2554 เวลา:20:20:21 น.  

 
ขอบคุณสำหรับความรู้ดีๆ ครับ


โดย: Rux IP: 202.90.6.36 วันที่: 9 พฤศจิกายน 2555 เวลา:17:38:57 น.  

ชื่อ :
Comment :
  *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิกช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 

Denon
Location :
กรุงเทพ Thailand

[ดู Profile ทั้งหมด]

ฝากข้อความหลังไมค์
Rss Feed

ผู้ติดตามบล็อก : 1 คน [?]

Love Me Love My Dog :-)
[Add Denon's blog to your web]