Identity Thefts

การพิสูจน์ตัวตนของผู้ใช้ที่แข็งแกร่งคืออะไร

การพิสูจน์ตัวตนของลูกค้าอย่างน่าเชื่อถือเป็นสิ่งที่หลีกเลี่ยงไม่ได้สำหรับสถาบันการเงินที่ให้บริการธนาคารหรือการค้าขายแบบอิเล็กทรอนิกส์ ระบบพิสูจน์ตัวตนที่มีประสิทธิภาพช่วยให้สถาบันการเงินลดการโกงและเพิ่มความแข็งแกร่งของโครงสร้างด้านความปลอดภัยที่ทำงานรองรับแอพพลิเคชั่นนั้น ๆ การใช้งานระบบพิสูจน์ตัวตนของลูกค้าที่แข็งแกร่งยังจำเป็นในการบังคับใช้มาตรการป้องกันการฟอกเงินและช่วยให้สถาบันการเงินสามารถตรวจหาและลดการปลอมแปลงตัวบุคคล (identity thefts) ด้วย

การปฏิสัมพันธ์ของลูกค้ากับสถาบันการเงินเปลี่ยนแปลงจากการใช้การรู้จักทางกายภาพและเอกสารที่เป็นกระดาษมาเป็นการใช้การเข้าถึงและทำธุรกรรมทางอิเล็กทรอนิกส์จากระยะไกล ความเสี่ยงของการทำธุรกิจกับบุคคลที่ไม่ได้รับอนุญาตหรือระบุตัวตนอย่างไม่ถูกต้องในสภาวะแวดล้อมแบบธนาคารอิเล็กทรอนิกส์อาจมีผลให้ขาดทุนและเสียชื่อเสียงที่เกิดจากการโกง การเปิดเผยข้อมูลข่าวสารที่เป็นความลับ ข้อมูลได้รับความเสียหาย
และข้อตกลงต่าง ๆ ที่องค์การดังกล่าวอาจไม่สามารถบังคับใช้ได้

การพิสูจน์ตัวตนแบบสองปัจจัย และ nonrepudiation

ภาระความรับผิด (accountability หรือ norepudiation) เป็นความกังวลหลักขององค์การหลาย ๆ แห่ง เป็นสิ่งสำคัญและในหลายกรณีมีความสำคัญมาก เพื่อให้แน่ใจได้ว่าลูกจ้างและลูกค้าสามารถรับผิดชอบกับธุรกรรมทางอิเล็กทรอนิกส์ที่พวกเขาทำไว้ได้

ตัวอย่างเช่น บัตรอิเล็กทรอนิกส์และบัตรอัจฉริยะ ช่วยให้มั่นใจถึงภาระความรับผิดได้เพราะลูกจ้างหรือลูกค้าแต่ละคนได้รับการคาดหวังว่าจะเป็นผู้ครอบครองบัตรอิเล็กทรอนิกส์/บัตรอัจฉริยะของพวกเขาเอง และแต่ละคนควรเป็นคน ๆ เดียวที่รู้หมายเลขใช้เฉพาะที่ใช้เพื่อการเข้าถึงบริการด้วยอุปกรณ์นั้น สิ่งนี้เป็นปัญหาทางด้านนโยบาย แต่เนื่องจากอุปกรณ์เหล่านี้ช่วยบังคับนโยบายนั้น เพราะอุปกรณ์ดังกล่าวมีลักษณะเฉพาะพิเศษสำหรับลูกจ้างหรือลูกค้าคนนั้น ๆ ธุรกรรมใด ๆ เช่นการล็อกออนเข้าระบบ ธุรกรรมที่ทำในระบบโดยอาศัยอุปกรณ์นั้นเป็นที่แน่นอนว่าทำโดยบุคคลที่เป็นเจ้าของอุปกรณ์นั้น อุปกรณ์เหล่านั้นทำให้ลูกจ้างหรือลูกค้าปฏิเสธถึงธุรกรรมที่พวกเขาทำได้ยากมาก

สำหรับผู้ใช้คนหนึ่งที่สามารถเข้าถึงทรัพยากรหนึ่งได้ ต้องสามารถระบุได้ว่าบุคคลนี้เป็นคนที่อ้างถึงจริง หรือเขามีหนังสือรับรองที่จำเป็นหรือไม่ และเขาได้รับสิทธิ์ที่จำเป็นในการปฏิบัติตามที่เขาร้องขอหรือไม่ การระบุตัวตนและพิสูจน์ตัวตนอธิบายถึงวิธีการที่ทำให้แน่ใจได้ว่าผู้ใช้คนนั้นเป็นบุคคลที่อ้างถึงจริง ๆ หลังจากขั้นตอนเหล่านี้เสร็จสิ้นโดยสมบูรณ์แล้ว ผู้ใช้คนนั้นสามารถเข้าถึงและใช้ทรัพยากรของระบบได้ อย่างไรก็ตามยังจำเป็นที่จะต้องมีการติดตามกิจกรรมของผู้ใช้คนดังกล่าวและบังคับใช้ภาระความรับผิดสำหรับการกระทำของเขา โดยการควบคุมผ่านทางบันทึกการเข้าใช้และทำงานของผู้ใช้

การเลือกเครื่องมือที่เหมาะสมสำหรับการระบุตัวตนและการพิสูจน์ตัวตนขึ้นอยู่กับช่องทางต่าง ๆ ที่องค์การหนึ่งต้องการจะให้บริการ ความยืดหยุ่นที่ต้องการให้บริการกับผู้ใช้และลูกค้า และความเสี่ยงที่สังเกตเห็นได้
วิธีพิสูจน์ตัวตนของผู้ใช้อยู่สามวิธีคือ

Some thing you have บางสิ่งที่คุณมี สิ่งนี้รวมถึงลูกกุญแจไขประตูหรือบัตรอิเล็กทรอนิกส์
Some thing you know บางสิ่งที่คุณรู้ รหัสผ่านหรือหมายเลขใช้เฉพาะซึ่งอาจจัดอยู่ในประเภทนี้ได้
Some thing you are บางสิ่งที่คุณเป็น รวมถึงการพิสูจน์ตัวตนโดยการพิสูจน์ตัวตนแบบชีวมาตร (biometric) เช่น ลายนิ้วมือ ระบบรู้จำเสียง ระบบสแกนม่านตาหรือม่านตาดำ

วิธีการอย่างหนึ่งอย่างใดจากทั้งสามวิธีนี้ล้วนแต่มีปัญหาต่าง ๆ "บางสิ่งที่คุณมี" อาจถูกขโมยได้ "บางสิ่งที่คุณรู้" อาจถูกเดา ถูกผู้อื่นล่วงรู้หรือคุณอาจลืมได้ "บางสิ่งที่คุณเป็น" แข็งแกร่งที่สุด แต่มักมีราคาแพงและอาจไม่เหมาะกับการใช้ร่วมกับแอพพลิเคชั่นบางตัวสำหรับผู้ใช้เสมอไป

เนื่องจากการพิสูจน์ตัวตนแบบปัจจัยเดียว (single-factor) มีปัญหาเกิดขึ้น ขั้นต่อไปคือการใช้การพิสูจน์ตัวตนแบบสองปัจจัย (two-factor) ตัวอย่างเช่นเครื่องเอทีเอ็มที่ใช้บัตรพลาสติก (บางสิ่งที่คุณมี) ร่วมกับหมายเลขใช้เฉพาะสี่ตัว (บางสิ่งที่คุณรู้)

การบังคับใช้การพิสูจน์ตัวตนแบบสองปัจจัยช่วยยกระดับความปลอดภัยขึ้นอย่างมาก เพราะการพิสูจน์ตัวตนที่ใช้ปัจจัยเดียวอาจไม่สามารถไว้วางใจได้ นอกจากนี้การพิสูจน์ตัวตนแบบสองปัจจัยช่วยให้มั่นใจได้ว่าธุรกรรมใด ๆ ที่ผู้ใช้คนนั้นทำไม่สามารถปฏิเสธได้และผู้ใช้คนนั้น ซึ่งอาจเป็นลูกจ้างหรือลูกค้าขององค์การนั้น จะต้องรับภาระความผิดสำหรับการกระทำของเขาในระบบ

วิธีพิสูจน์ตัวตนที่ใช้มากกว่าหนึ่งปัจจัยมักจะยากต่อการถูกทำให้เสียหายกว่าระบบพิสูจน์ตัวตนที่ใช้เพียงหนึ่งปัจจัย ดังนั้นวิธีการพิสูจน์ตัวตนแบบหลายปัจจัยที่ออกแบบและสร้างมาอย่างเหมาะสมจึงเป็นตัวบ่งชี้การพิสูจน์ตัวตนและขัดขวางการโกงที่น่าเชื่อถือมากกว่า ตัวอย่างเช่น การใช้ชื่อผู้ใช้และรหัสผ่านเป็นการพิสูจน์ตัวตนแบบปัจจัยเดียว (บางสิ่งที่ผู้ใช้รู้) ส่วนการทำธุรกรรมโดยใช้เครื่องเอทีเอ็มมักจะอาศัยการพิสูจน์ตัวตนแบบสองปัจจัย คือบางสิ่งที่ผู้ใช้เป็นเจ้าของ (บัตร) ใช้ร่วมกับบางสิ่งที่ผู้ใช้รู้ (หมายเลขใช้เฉพาะ)

โดยทั่วไปแล้ว การพิสูจน์ตัวตนแบบหลายปัจจัยควรใช้ในระบบที่มีความเสี่ยงสูง เช่น การเข้าถึงเครือข่ายจากระยะไกลหรือการให้บริการผ่านทางอินเทอร์เน็ต เช่น บริการธนาคารอิเล็กทรอนิกส์ เป็นต้น มีสถาบันทางการเงินจำนวนมากที่ให้บริการธนาคารอิเล็กทรอนิกส์ที่อาศัยเพียงหมายเลขใช้เฉพาะเท่านั้น อย่างไรก็ตามมีสถาบันทางการเงินจำนวนมากที่กำลังอัพเกรดระบบของพวกเขาเพื่อให้สามารถใช้ระบบพิสูจน์ตัวตนแบบหลายปัจจัยด้วย

วิธีการพิสูจน์ตัวตนที่มีประสิทธิผลควรจะต้องได้รับการยอมรับจากลูกค้า ใช้งานง่าย การทำงานที่น่าเชื่อถือ ความสามารถในการรองรับและขยายระบบต่อการขยายตัว และความสามารถในการทำงานกับระบบที่มีอยู่แล้วและสอดคล้องกับแผนทางกลยุทธ์ขององค์การ

ความสำคัญไม่ได้อยู่ที่การเลือกใช้การพิสูจน์ตัวตนแบบสองปัจจัยชนิดใด แต่องค์การดังกล่าวควรให้ความสนใจกับการสร้างระบบอย่างเหมาะสมซึ่งเป็นหัวใจของความน่าเชื่อถือและความปลอดภัยของระบบ ตัวอย่างเช่นระบบสองปัจจัยที่สร้างขึ้นมาไม่ดีอาจมีความปลอดภัยน้อยกว่าระบบปัจจัยเดียวที่สร้างขึ้นมาอย่างเหมาะสม เพราะนโยบาย วิธีการปฏิบัติ และมาตรฐานขององค์การที่ไม่ดีพอ ที่เป็นเช่นนี้เพราะมนุษย์เป็นจุดอ่อนในแอพพลิเคชั่นด้านความปลอดภัยหรือระบบใด ๆ ก็ตาม

ความสำเร็จของการพิสูจน์ตัวตนวิธีหนึ่ง ๆ นอกจากเป็นเรื่องของเทคโนโลยีนั้น ๆ แล้ว ยังต้องอาศัยนโยบาย วิธีการปฏิบัติและการควบคุมที่เหมาะสม ในเรื่องนี้ องค์การต่าง ๆ อาจจะต้องนำมาตรฐาน MSA ISO/IEC 17799:2001 ซึ่งเป็นกฎเกณฑ์ที่เกี่ยวกับการจัดการความปลอดภัยสารสนเทศมาใช้ ผู้บริหารควรให้การสนับสนุนเต็มที่เพื่อให้แน่ใจได้ว่ามีการสร้างระบบอย่างถูกต้องและยึดมั่นกับนโยบาย

SRAN Dev
0507

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License