สวัสดีครับ วันนี้เราจะมาทำความรู้จักกับ Multi-Factor Authentication หรือ การยืนยันตัวตนแบบหลายขั้นตอน
Multi-Factor Authentication คืออะไร ?
Multi-Factor Authentication คือการใช้ปัจจัยหลายๆอย่าง ในการตรวจสอบและยืนยันตัวบุคคล เพื่ออนุญาตเข้าใช้งาน ซอฟต์แวร์, ระบบ หรือข้อมูลต่างๆ โดยทั่วไประบบ Multi-Factor Authentication จะเป็นการใช้เครื่องมือตั้งแต่ 2 อย่างขึ้นไปในการตรวจสอบและยืนยันความถูกต้อง ในการเข้าใช้งาน
ปัจจัยในการตรวจสอบ มีอะไรบ้าง ?
ปัจจัยในการตรวจสอบมีประมาณ 5 ปัจจัย ได้แก่
ปัจจัยที่ 1. Something you know (สิ่งที่คุณรู้) โดยส่วนมากก็จะเป็น รหัสผ่าน, รหัสประจำตัว, หรือ คำถามเฉพาะเพื่อกู้รหัสผ่าน ในส่วนของรหัสผ่าน อันนี้น่าจะเป็นสิ่งที่ทุกคนใช้เป็นประจำอยู่แล้ว เพราะเวลาจะเข้าใช้งานอีเมล ก็ต้องมีการกรอก ชื่อผู้ใช้ รหัสผ่าน ซึ่งเราก็ต้องรู้รหัสผ่านที่ถูกต้องที่สามารถเข้าใช้งานได้ ในกรณีที่มีบัญชีใช้งาน หลายบัญชี ที่ต้องมีการจำรหัสผ่าน หลายๆรหัสผ่าน เราใช้สามารถใช้เครื่องมือ อย่าง Password Manager ช่วยในการจดจำรหัสผ่าน
ปัจจัยที่ 2. Something you have (สิ่งที่คุณมี) ในส่วนของปัจจัยนี้โดยมากจะเป็นสิ่งที่เราสามารถพกมันติดตัวไว้ด้วยตลอดมีทั้ง Personal Identity Verification (PIV) หรือพวก Smart Card แต่สิ่งที่พบเห็นได้บ่อยเลย และมีการใช้งานกันอย่างแพร่หลายในปัจจุบัน คือพวก Software token และ Hardware token ตัวอย่าง Software Token เช่น Google Authenticator, Microsoft Authenticator, RSA SecurID Software Token, FortiToken etc. ในส่วนของ Hardware Token จะได้รับความนิยมน้อยกว่า Software Token เนื่องจาก Hardware Token จะต้องซื้อมาใช้งานและมีลักษณะอุปกรณ์คล้าย USB Flash Drive or Card ที่ต้องพกติดตัวไว้ ซึ่งก็จะมีหลากหลายยี่ห้อ โดยที่พวก Token เหล่านี้จะทำหน้าที่ Generate OTP หรือ One-time Password ที่ใช้ครั้งเดียว โดยส่วนมากอุปกรณ์เหล่านี้จะ Automatic Generate ให้ใหม่ทุกๆ 30 วินาที โดยหลัก Standards ของเหล่า Token พวกนี้ที่ใช้ Generate OTP ให้เราคือ HMAC-based One-Time Password (HOTP) and Time-based One-Time Password (TOTP)
ปัจจัยที่ 3. Something you are (สิ่งที่คุณเป็น) ในส่วนของปัจจัยนี้ คือ ลายนิ้วมือ หรือ ระบบจดจำใบหน้า ซึ่งเริ่มเป็นที่นิยมอย่างมาก และกว้างขวางในหลายแวดวงธุรกิจที่จะนำมันมาใช้เช่น Alibaba นำ facial recognition payment มาใช้ในการชำระเงินตอน Shopping หรือโทรศัพท์ปัจุบันหลายๆรุ่นก็สามารถปลดล็อคผ่านใบหน้าหรือผ่านลายนิ้วมือได้กันเยอะแล้ว โดยสิ่งนี้เรียกมันว่า Biometrics แล้ว Biometrics คืออะไร มันก็คือการใช้ข้อมูลทางชีวภาพ ไม่ว่าจะเป็นลักษณะ เฉพาะทางกายภาพหรือพฤติกรรม มาใช้ในการตรวจสิทธิเพื่อรับรองความถูกต้อง เช่น ลายนิ้วมือ ฝ่ามือ เสียง ม่านตา เรตินา ใบหน้า ดีเอ็นเอ ลายเซ็น อะไรก็ตามแต่ที่มันคือตัวเราและเป็นเอกลักษณ์ของเรานั่นเอง
ปัจจัยที่ 4. Somewhere you are (ที่ที่คุณอยู่) ในส่วนปัจจัยนี้หลายคนคงไม่คุ้นและไม่ค่อยรู้จักมันเท่าไหร่หนัก ถ้าไม่อยู่ในสาย Security หรือเคยได้ใช้งานมัน โดย Factor นี้มันจะ Detection User location ด้วย Internet Protocol (IP) addresses เช่นเมื่อเราใช้ Service Geolocation security checks โดยบาง Applications หรือบาง Web Site เกี่ยวกับเรื่องเงินๆทอง มันจะมีให้เราระบุว่าอาศัยประเทศไหน เมื่อเราระบุ Thailand ไปเรียบร้อย อยู่ดีคืนดี มีคนมา Login ด้วย User&Password เราที่โซมาเลียแลนด์ Service มันจะ Detection ให้และส่ง Notify มาให้เราเพื่อทำการ Block ได้ทัน
ปัจจัยที่ 5. Something you do (สิ่งที่คุณทำ) สำหรับปัจจัยที่ 5 เป็นปัจจัยท้ายสุดและสุดท้ายเพราะมันไม่ค่อยจะมีคนรู้จักและนำมันไปใช้มากหนัก เช่น พฤติกรรมและนิสัย การพิมพ์ (keystroke biometrics) ซึ่งบ่งชี้ว่าเป็นตัวเราที่เป็นคนทำ หรือ Case Study ที่ออกแบบถ้าให้ใกล้ตัวเองมากเลยก็คือการ Map MAC Address/IP กับ Lan Port ถ้าเกิดมีการนำเครื่องนอกหรือเครื่องอื่นนอกเหนือจาก Setup ไว้จะมาเสียบกับ Lan port ที่ไม่ตรงกับ MAC/IP ที่กำหนดไว้มันจะไม่สามารถเข้ามาใช้ Network ขององค์กรได้
ประโยชน์ที่ได้รับจาก Multi-Factor Authentication
ประโยชน์ที่เห็นได้ชัดของ multi-factor authentication นั่นก็คือ “ความปลอดภัยที่สูงขึ้น” การเพิ่มเครื่องมือหรือปัจจัยในการรับรองความถูกต้องเข้าด้วยกัน เช่น การใช้ password, hardware token และ biometric เพื่อรับรองความถูกต้องของผู้ใช้งาน สามารถลดความเสี่ยงการละเมิดการเข้าถึงข้อมูลและซอฟต์แวร์ลงได้เป็นอย่างมาก ในปัจจุบันการพิสูจน์ตัวตนโดยใช้แค่รหัสผ่าน ในด้านความปลอดภัยอาจจะไม่เพียงพอ ระบบอาจจะเสี่ยงต่อการถูกโจมตี จากการที่ผู้ใช้ตั้งรหัสผ่านที่ง่ายที่จะถูกคาดเดา หรือ ทำข้อมูลรหัสผ่านหลุด โดย Multi-Factor Authentication เป็นการยืนยันพิสูจน์ตัวตนอีกชั้นให้กับระบบ เช่น การยืนยันตัวผ่านมือถือที่ต่อให้ผู้ใช้ ทำข้อมูลรหัสผ่านหลุดไป ก็ยังมีระบบ Multi-Factor Authentication คอยป้องกันอีกชั้นทำให้ระบบของคุณมีความปลอดภัยมากยิ่งขึ้น
อย่างไรก็ตาม ในขณะที่ Multi-Factor Authentication มีประโยชน์อย่างมากในการใช้งานเพื่อความปลอดภัยในการยืนยันผู้ใช้งานเข้าระบบ ในหลายครั้งก็มักจะตามมาซึ่งความยุ่งยากในการบริหารจัดการและการใช้งาน ผู้ใช้งานจำเป็นต้องจัดเตรียม factor ที่สอง (อย่างแรกคือสิ่งที่รู้ หรือจำได้) สำหรับบางผู้ใช้งาน การต้องจัดเตรียมโทรศัพท์สมาร์ทโฟน เพื่อรับ one-time password (OTP) ผ่าน SMS อาจจะเป็นข้อจำกัด แต่ถึงอย่างนั้น Multi-Factor Authentication ก็ยังคงเป็นรูปแบบที่ปลอดภัยที่สุดสำหรับองค์กรในการล็อคระบบเครือข่าย หรือแอพพลิเคชั่นจากการเข้าถึงที่ไม่ได้รับอนุญาต
มาถึงตรงนี้ทุกคนก็น่าจะเข้าใจเรื่อง Multi-Factor Authentication กันมากขึ้นละนะครับ ซึ่งก็หวังว่าบทความนี้จะเป็นประโยชน์ไม่มากก็น้อยสำหรับทุกคนที่สนใจนะครับ
