|
|
| 1 |
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 | |
|
|
|
6 มีนาคม 2551
|
|
|
|
เพิ่มความปลอดภัยในการ login ด้วย Two Factor Authentication
Information Security เรื่อง Two-Factor Authentication
บทนำ หลายๆคนอาจจะคุ้นเคยกับการ Login เพื่อเข้าสู่ระบบนะครับ จริงๆแล้ว การ Login ก็คือ การพิสูจน์ตัวตนว่า เราเป็นใคร ซึ่งตรงกับภาษาอังกฤษว่า Authentication เมื่อระบบทราบแล้วว่าเราเป็นใคร ระบบคอมพิวเตอร์นั้น ก็จะดูว่าเรามีสิทธิจะใช้งานได้มากแค่ไหน หรือใช้งานอะไรได้บ้าง ซึ่งจะตรงกับภาษาอังกฤษว่า Authorization ในบทความนี้เราจะมาโฟกัสกันที่ การพิสูจน์ตัวตนนะครับ
Authentication อย่างที่เกริ่นไว้ในตอนต้นครับ Authentication คือ การพิสูจน์ตัวตน ว่าผู้ใช้ระบบคือใคร ซึ่งจะใช้กับระบบคอมพิวเตอร์ที่ต้องการความปลอดภัย ไม่ใช่ใครๆก็สามารถใช้งานได้ เช่น เมื่อเราต้องการเช็คเมล์ของ hotmail เราก็จะต้องใส่ e-mail ซึ่ง e-mail ของเราที่ใช้นั้น เพื่อนๆที่เราส่งหาก็ทราบเช่นกัน จึงต้องมีการใส่ Password เพื่อพิสูจน์ว่า เราเป็นเจ้าของ e-mail นั้นจริงๆ วิธีการ Authentication ในรูปแบบ Digital นั้นมีแพร่หลายอยู่ด้วยกัน 3 วิธีคือ 1. สิ่งที่คุณรู้ ( Something you know ) เช่น Password, PIN หรือ Out of wallet* 2. สิ่งที่คุณมี ( Something you have ) เช่น โทรศัพท์มือถือ, Security Token 3. สิ่งที่คุณเป็น ( Something you are ) เช่น ลายนิ้วมือ, การสแกนม่านตา, หรือ biometric อื่นๆ
* Out of wallet หมายถึง สิ่งที่คุณทราบ แต่ไม่ได้มีข้อมูลอยู่ในกระเป๋าคุณ เช่น รถคันแรกของคุณสีอะไร, คุณยายคุณชื่ออะไร เป็นสิ่งที่เจ้าหน้าที่มักใช้สอบถาม ในเวลาที่จะตรวจสอบลูกค้าทางโทรศัพท์ จริงๆก็เหมือนที่หลายๆเว็ปไซต์ใช้คำถามกันลืมหนะแหละครับ :)
Two Factors Authentication ( T-FA ) เดิมทีระบบจะพิสูจน์ตัวตนของผู้ใช้งาน โดยการสอบถาม User และ Password แต่สำหรับระบบที่ต้องการความปลอดภัยมากๆ คงจะต้องการความปลอดภัยที่มากไปกว่าการสอบถามแค่ User / Password เนื่องจาก การสอบถามแค่ User / Password ทำให้มีหลายๆสถาบันการเงิน ที่โดนมิจฉาชีพสร้างเว็ปไซต์หลอกลวง โดยทำหน้าเว็ปซะเหมือนเว็ปของสถาบันการเงินนั้นๆซะเปี๊ยบเลย และให้ลูกค้าป้อนข้อมูลที่เป็นความลับ ที่อาจรวมถึง User / Password ของ Internet Banking หรือข้อมูลบัตรเครดิต ที่เราเรียกวิธีการหลอกลวงดังกล่าวว่าพิชชิ่ง ( Phishing )
ปกติแล้ว two-factor authentication จะสอบถามถึง สิ่งที่คุณทราบ ( ซึ่งในที่นี้คือ Password ) เป็น 1 ใน 2 Factor และอีกหนึ่งจะเป็น สิ่งที่คุณมี หรือสิ่งที่คุณเป็นก็ได้ ( Biometrics ) ตัวอย่างของ T-FA ที่เห็นง่ายๆก็คือ บัตร ATM ที่แทบทุกคนมีใช้นั่นแหละครับ ตัวบัตร ATM คือสิ่งที่คุณมี ส่วนรหัส PIN คือสิ่งที่คุณทราบ ดังนั้นการทำรายการด้วยบัตร ATM อาจถือว่ามีความปลอดภัยมากกว่าการใช้ Internet Banking ที่สอบถามเพียงแค่ User / Password ก็เป็นได้ ทั้งนี้หากคุณจดรหัส PIN ไว้ที่ซองบัตร.. ก็เท่ากับว่า คุณทำให้มันมีความปลอดภัยน้อยลง เพราะว่า 2 factor เหลือเพียง 1 factor ในกรณีที่คุณทำบัตร ATM หาย ผู้เก็บได้ ก็ไม่ต้องเดา PIN ของคุณเลย เพียงแค่อ่านดูที่ซองบัตร... done
T-FA สามารถลดการขโมยตัวตน (identity theft) หรือการปลอมแปลงอื่นๆ เพราะว่าหาก crack ได้ Password ไป ก็จะไม่เพียงพอต่อการเข้าสู่ระบบได้ อย่างไรก็ตาม T-FA ยังคงไม่ปลอดภัยจากการโจมตีแบบ Trojan และ Man-in-the-Middle เพราะพวกนี้ก็ยังสามารถขโมย session คุณไปได้น่าตาเฉย ^^"
องค์กรต่างๆ โดยเฉพาะสถาบันทางการเงิน มีการใช้ T-FA โดยการแจก Smart cards / USB Token / Security Token เพิ่มขึ้นอย่างมาก เพื่อปกป้องข้อมูลขององค์กร อย่างไรก็ตาม มีข้อด้อยอยู่นิดหนึ่งตรงที่การ Implement Factor ที่สอง อาจจะลำบาก เนื่องจาก คนกลุ่มหนึ่งไม่ต้องการที่จะพกอุปกรณ์บางอย่างติดตัวไปด้วย ในประเทศไทย มีการใช้ T-FA กันอย่างแพร่หลาย โดยเฉพาะสถาบันการเงินจากต่างประเทศ ส่วนสถาบันการเงินภายในประเทศ ก็มีการใช้ T-FA โดยที่ประยุกต์ใช้กับอุปกรณ์ที่ประชาชนส่วนใหญ่มี นั่นก็คือโทรศัพท์มือถือ โดยระบบจะมีการ random รหัสและส่งผ่าน SMS ไปที่โทรศัพท์มือถือของลูกค้า
ก่อนสมัคร Internet Banking ลองถามธนาคารที่คุณใช้บริการอยู่นิดนึง ว่ามี Two Factor Authentication แล้วหรือยัง
( แต่สงสัยพนักงานธนาคารจะงง แล้วถามกลับมาว่า แล้วมันคืออะไรหละ )
Create Date : 06 มีนาคม 2551 |
Last Update : 7 มีนาคม 2551 10:19:35 น. |
|
7 comments
|
Counter : 8641 Pageviews. |
|
|
|
|
โดย: น้องผิง วันที่: 7 มีนาคม 2551 เวลา:15:30:37 น. |
|
|
|
โดย: Hobbit วันที่: 9 มีนาคม 2551 เวลา:20:17:51 น. |
|
|
|
โดย: byheart IP: 202.28.201.38 วันที่: 6 มกราคม 2552 เวลา:17:14:07 น. |
|
|
|
โดย: tom IP: 118.172.123.109 วันที่: 5 ตุลาคม 2553 เวลา:20:41:25 น. |
|
|
|
โดย: อารดา ปาวงค์ IP: 118.172.99.204 วันที่: 26 กันยายน 2554 เวลา:20:20:21 น. |
|
|
|
โดย: Rux IP: 202.90.6.36 วันที่: 9 พฤศจิกายน 2555 เวลา:17:38:57 น. |
|
|
|
| |
|
|
Denon |
|
|
|
|