การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง
การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง[1] (อังกฤษ: multi-factor authentication ตัวย่อ MFA เอ็มเอ็ฟเอ), การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (อังกฤษ: two-factor authentication ตัวย่อ 2FA) และคำทำนองเดียวกันอื่น ๆ เป็นการพิสูจน์ตัวผู้ใช้ทางอิเล็กทรอนิกส์เพื่อลงชื่อเข้าใช้บัญชีทางเว็บไซต์หรือทางแอป ซึ่งผู้ใช้ต้องให้หลักฐานหรือปัจจัยสองอย่างหรือยิ่งกว่าแก่กลไกการพิสูจน์ตัวผู้ใช้ เอ็มเอ็ฟเอจะช่วยรักษาความปลอดภัยของข้อมูลส่วนตัว ซึ่งอาจรวมข้อมูลที่ระบุตัวบุคคลได้หรือทรัพย์สินทางการเงิน ไม่ให้บุคคลที่สามเข้าถึงได้ เปรียบเทียบกับเมื่อใช้ปัจจัยเดียว เช่น รหัสผ่าน ที่อาจจะป้องกันไม่ได้
แอปออเทนทิเคเตอร์จากบริษัท/บุคคลที่สามมักใช้เป็นปัจจัยที่สองเพื่อพิสูจน์ตัวจริง แอปปกติจะแสดงเลขสุ่มที่เปลี่ยนไปเรื่อย ๆ ที่ผู้ใช้จะลงบันทึกในระบบเพื่อพิสูจน์ตน
ปัจจัยต่าง ๆ
[แก้]การพิสูจน์ตัวผู้ใช้จะเริ่มเมื่อพยายามจะลงชื่อเข้าใช้บัญชีคอมพิวเตอร์ (เช่น เครือข่ายคอมพิวเตอร์ อุปกรณ์ หรือแอป) ซึ่งอาจกำหนดให้ระบุข้อมูลบุคคลที่บริการนั้นรู้จัก บวกกับข้อมูลพิสูจน์ว่าเป็นผู้ใช้นั้นจริง ๆ ข้อมูลพิสูจน์ธรรมดาจะมีแค่ปัจจัยเดียว ซึ่งทั่วไปก็คือรหัสผ่าน แต่เพื่อเพิ่มความปลอดภัย บริการนั้นอาจบังคับให้มีปัจจัยยิ่งกว่าหนึ่งอย่าง เพื่อพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง หรือด้วยสองอย่างถ้าต้องให้หลักฐานสองอย่าง[2]
การใช้ปัจจัยหลายอย่างเพื่อพิสูจนตัวมีแนวคิดว่า ผู้ไม่ได้รับอนุญาตไม่น่าจะแสดงปัจจัยต่าง ๆ ที่ใช้เพื่อลงชื่อเข้าบัญชีได้ เพราะถึงแม้จะมีปัจจัยหนึ่งอย่าง แต่ถ้าไม่มีปัจจัยที่เหลือ ก็ยังไม่สามารถเข้าบัญชีที่ป้องกันความปลอดภัยด้วยวิธีนี้ได้ ปัจจัยที่ใช้อาจรวม[3]
- สิ่งที่ผู้ใช้มี คือสิ่งของที่ผู้ใช้มี เช่น โทเค็นความปลอดภัย (security token เช่น ยูเอสบีแฟลชไดรฟ์) บัตรเอทีเอ็ม หรือกุญแจความปลอดภัย (security hardware key)
- สิ่งที่ผู้ใช้รู้ คืออะไรบางอย่างที่ผู้ใช้เท่านั้นรู้ เช่น รหัสผ่าน, รหัส PIN
- สิ่งที่ผู้ใช้เป็น คือลักษณะทางชีวมิติของผู้ใช้ เช่น ลายนิ้วมือ ลายม่านตา เสียงพูด ลักษณะการพิมพ์คีย์บอร์ด
ตัวอย่างของการพิสูจน์ผู้ใช้ด้วยปัจจัยสองอย่างก็คือการถอนเงินจากตู้เอทีเอ็ม ต่อเมื่อมีทั้งบัตรเอทีเอ็มที่ถูกต้อง (สิ่งที่ผู้ใช้มี) และรหัส PIN (สิ่งที่ผู้ใช้รู้) จึงจะสามารถทำธุรกรรมได้ ตัวอย่างอื่น ๆ ที่บูรณาการความปลอดภัยการใช้รหัสผ่านก็คือ รหัสผ่านใช้ครั้งเดียว (OTP, one-time password) หรือเลขรหัสที่แอปออเทนทิเคเทอร์ได้รับหรือระบุ (เช่นที่พบในโทเค็นความปลอดภัยหรือสมาร์ทโฟน) ซึ่งเป็นวัตถุที่ผู้ใช้เท่านั้นมี[4]
ส่วนแอปออเทนทิเคเทอร์ของบริษัท/บุคคลที่สามปกติจะแสดงเลขรหัสสุ่มที่เปลี่ยนไปเรื่อย ๆ โดยไม่ได้ส่งมาทางข้อความเอสเอ็มเอสหรือวิธีอื่น ๆ และผู้ใช้สามารถลงบันทึกเลขนั้นเพื่อพิสูจน์ตัวได้ ข้อดียิ่งของแอปชนิดนี้ก็คือทำงานได้โดยไม่ต้องมีอินเทอร์เน็ต ตัวอย่างแอปรวมทั้ง Google Authenticator, Authy และ Microsoft Authenticator ตัวจัดการรหัสผ่านบางแอป เช่น บิตวอร์เดน ก็มีบริการนี้เช่นกัน[5]
สิ่งที่รู้
[แก้]สิ่งที่รู้ก็สามารถเป็นปัจจัยเพื่อพิสูจน์ผู้ใช้เช่นกัน คือต้องรู้ความลับอะไรบางอย่างเป็นการพิสูจน์
รหัสผ่านเป็นคำลับหรือเป็นชุดอักษรที่ใช้พิสูจน์ตัวจริงได้ นี่เป็นปัจจัยพิสูจน์ตนที่มีใช้อย่างสามัญที่สุด[3] การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างอาจใช้รหัสลับเป็นปัจจัยอย่างหนึ่งเพื่อพิสูจน์ รหัสผ่านแบบยาวรูปแบบหนึ่งก็คือการใช้คำหลาย ๆ คำหรือพาสเฟรซ หรือรูปแบบสั้นอย่างหนึ่งก็คือรหัสเป็นเลขล้วนเช่น รหัส PIN ซึ่งใช้กับเครื่องเอทีเอ็ม ทั่วไปแล้ว ผู้ใช้จะต้องจำรหัสผ่าน แต่ก็อาจเขียนไว้ในกระดาษหรือไฟล์ที่ซ่อนไว้
สิ่งที่มี
[แก้]ปัจจัยคือสิ่งที่ผู้ใช้มี ได้ใช้เป็นเครื่องพิสูจน์ตนเป็นศตวรรษ ๆ แล้ว ในรูปแบบของลูกกุญแจที่ใช้ไขตัวกุญแจ หลักก็คือลูกกุญแจจะมีความลับร่วมกันกับตัวกุญแจ เป็นหลักเดียวกันที่ใช้พิสูจน์ตัวผู้ใช้ในระบบคอมพิวเตอร์ โทเค็นความปลอดภัย (security token ในภาพ) เป็นตัวอย่างปัจจัยคือสิ่งที่มี
โทเค็นแบบไม่เชื่อม (disconnected token) เป็นโทเค็นความปลอดภัยที่ไม่ต่อกับระบบรับบริการ ปกติจะมีจอในตัวเพื่อแสดงเลขสรหัสพิสูจน์ผู้ใช้ที่สร้างขึ้น โดยผู้ใช้จะลงบันทึกรหัสในระบบรับบริการ โทเค็นชนิดนี้มักแสดง OTP คือรหัสผ่านที่ใช้ได้ครั้งเดียว[6]
โทเค็นแบบเชื่อม (connected token) เป็นอุปกรณ์ที่ต้องต่อกับคอมพิวเตอร์เมื่อใช้การ โดยโทเค็นจะเป็นตัวส่งข้อมูลเอง ผู้ใช้ไม่ต้องลงบันทึกรหัสใด ๆ[7] มีโทเค็นรูปแบบอื่น ๆ อีกรวมทั้ง โทเค็นยูเอสบี สมาร์ตการ์ด และแบบคลื่นวิทยุ[7] เริ่มตั้งแต่ปี 2015 เว็บบราวเซอร์หลัก ๆ ได้เริ่มสนับสนุนมาตรฐานโทเค็น WebAuthn ซึ่งโปรโหมตโดยสมาคมไฟโดอัลไลอานซ์ (FIDO Alliance) และเวิลด์ไวด์เว็บคอนซอร์เทียม (W3C)
อนึ่ง โทเค็นแบบซอฟต์แวร์ ก็ใช้พิสูจน์ตัวผู้ใช้ด้วยปัจจัย 2 อย่างได้เหมือนกัน โดยข้อมูลลับที่ใช้สร้างโทเค็นจะเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์ทั่วไป เช่น คอมพิวเตอร์แบบตั้งโต๊ะ แล็ปท็อป โทรศัพท์เคลื่อนที่ หรือสมาร์ทโฟน ดังนั้น อาจถูกก๊อปเอาไปได้ นี่เทียบกับโทเค็นแบบฮาร์ดแวร์ซึ่งเก็บความลับไว้ในอุปกรณ์โดยเฉพาะ ๆ และดังนั้น จึงก๊อปข้อมูลลับเอาไปไม่ได้ ยกเว้นจะเปิดทำลายอุปกรณ์เพื่อก๊อปข้อมูล
การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างก็ใช้รักษาความปลอดภัยทั่วไปได้เช่นกัน ซึ่งปกติมักเอาสิ่งที่ผู้ใช้มี เช่น การ์ดกุญแจ และสิ่งที่ผู้ใช้เป็น เช่น ลักษณะใบหน้า หรือม่านตา ตัวอย่างการใช้อย่างหนึ่งก็คือเอาไว้เปิดประตูที่ล็อกไม่ให้คนอื่นเข้า
สิ่งที่เป็น
[แก้]ปัจจัยนี้เป็นสิ่งที่ผู้ใช้มีหรือเป็นตามธรรมชาติ ซึ่งปกติก็คือลักษณะทางชีวมิติรวมทั้งลายนิ้วมือ ใบหน้า[8] เสียงพูด หรือลายม่านตา พฤติกรรมที่มีลักษณะเฉพาะ ๆ เช่น ลักษณะการพิมพ์คีย์บอร์ด ก็อาจใช้ได้เหมือนกัน
ตำแหน่งที่ตั้ง
[แก้]ตำแหน่งที่อยู่ของผู้ใช้ปัจจุบัน ก็ใช้เป็นปัจจัยพิสูจน์ตัวจริงเพิ่มขึ้นเรื่อย ๆ เช่น เมื่อกำลังใช้เครือข่ายคอมพิวเตอร์ของบริษัทอยู่ ผู้ใช้อาจสามารถลงชื่อเข้าใช้ด้วยเพียงแค่รหัส PIN แต่ถ้าใช้เครือข่ายอื่นอยู่ ก็อาจต้องใส่โค๊ดจากโทเค็นซอฟต์แวร์เพิ่มขึ้นอีกด้วย นี่อาจเป็นส่วนของมาตรฐานที่บริษัท/องค์กรต้องประพฤติตามในการเข้าถึงทรัพยากรต่าง ๆ ที่ควบคุมการเข้าถึง[ต้องการอ้างอิง]
โทรศัพท์เคลื่อนที่
[แก้]การพิสูจน์ตัวผู้ใช้ด้วยข้อความโทรศัพท์เริ่มขึ้นตั้งแต่ปี 1996 เมื่อบริษัทเอทีแอนด์ทีระบุระบบที่อนุญาตให้ทำธุรกรรมโดยอาศัยโค๊ดที่ส่งไปยังวิทยุติดตามตัว[9][10]
ระบบพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างมักจะอนุญาตให้ใช้โทรศัพท์เคลื่อนที่เป็นปัจจัยด้วย วิธีที่ใช้รวมการส่งคำขออนุญาตด้วยแอป (push-based) การส่งรหัสคิวอาร์ การใช้รหัสที่ใช้ครั้งเดียว (OTP ซึ่งใช้ได้อย่างจำกัดเวลา) และการส่งโค๊ดทางข้อความเอสเอ็มเอส
การใช้โทรศัพท์เป็นปัจจัยมีปัญหาความปลอดภัย เพราะข้อมูลที่กำหนดเบอร์โทรศัพท์ก็สามารถก๊อปได้ ข้อความเอสเอ็มเอสจึงอาจจัดให้ส่งไปที่โทรศัพท์อื่นได้ แอปที่ใช้รับรหัสก็สามารถมีได้ในอุปกรณ์อื่น ๆ ช่างที่ซ่อมโทรศัพท์ก็สามารถเข้าดูข้อความในโทรศัพท์ได้ ดังนั้น รวม ๆ แล้ว โทรศัพท์จึงยังไม่ค่อยปลอดภัย เพราะไม่ใช่อะไรที่ผู้ใช้เท่านั้นมี
นี่เทียบกับข้อเสียของการพิสูจน์ตัวผู้ใช้โดยสิ่งที่มีโดยเฉพาะ ๆ ซึ่งก็คือ ผู้ใช้ต้องถือเอาโทเค็นที่เป็นวัตถุไปด้วยอยู่ตลอดเวลา ไม่ว่าจะเป็นอุปกรณ์ยูเอสบี บัตรธนาคาร หรือกุญแจอะไรบางอย่าง ซึ่งก็อาจหายหรือถูกขโมยได้ อนึ่ง องค์กรหลายแห่งห้ามการถืออุปกรณ์อิเล็กทรอนิกส์หรืออุปกรณ์ยูเอสบีเข้าหรือออกจากอาคารเพราะกลัวมัลแวร์หรือถูกขโมยข้อมูล เหมือนกับที่เครื่องมืออุปกรณ์อันสำคัญที่สุดจะไม่มีช่องยูเอสบี อีกอย่างหนึ่ง โทเค็นฮาร์ดแวร์แบบเฉพาะ ๆ ยังขยายใช้ได้ไม่ง่าย เพราะปกติจะต้องใช้โทเค็นอันหนึ่งต่อบัญชีต่อระบบ การแจกและการต้องเปลี่ยนโทเค็นแบบนี้ยังมีค่าใช้จ่ายเพิ่ม ดังนั้น ความขัดแย้งระหว่างการใช้ง่ายกับความปลอดภัยจึงเป็นปัญหาที่เลี่ยงไม่ได้[11]
การพิสูจน์ตัวจริงด้วยปัจจัยที่สองโดยใช้โทรศัพท์เคลื่อนที่หรือสมาร์ทโฟน เป็นทางเลือกของการใช้อุปกรณ์เฉพาะอย่าง เพื่อจะพิสูจน์ตน ผู้ใช้สามารถใช้ข้อมูลลับส่วนตัวสำหรับอุปกรณ์นั้น (เป็นสิ่งที่ผู้ใช้เท่านั้นรู้) บวกกับรหัสใช้ครั้งเดียวที่สร้างขึ้นเรื่อย ๆ โดยปกติเป็นเลขรหัส 4-6 ตัว เลขรหัสอาจส่งไปที่โทรศัพท์[2] ผ่านข้อความเอสเอ็มเอส หรืออาจสร้างขึ้นโดยแอปที่สร้างรหัสใช้ครั้งเดียว ข้อดีก็คือไม่ต้องมีอุปกรณ์โทเค็นโดยเฉพาะ ๆ เพราะผู้ใช้ปกติก็มีมือถือติดตัวอยู่แล้ว
แม้การพิสูจน์ด้วยเอสเอ็มเอสจะเป็นที่นิยม แต่ก็มักจะถูกวิจารณ์ในด้านปัญหาความปลอดภัย[12] ในเดือนกรกฎาคม 2016 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้ร่างแนวทางปฏิบัติที่เสนอให้เลิกใช้ข้อความเอสเอ็มเอสเป็นเครื่องพิสูจน์ตัวจริง[13] แต่อีกปีต่อมา สถาบันก็กลับระบุเป็นวิธีพิสูจน์ตนได้เหมือนเดิม[14]
บริษัทกูเกิลในปี 2016 และบริษัทแอปเปิลในปี 2017 ได้เริ่มให้ผู้ใช้พิสูจน์ตนด้วยข้อความเตือนแบบ push notification[3] โดยใช้เป็นทางเลือกอย่างหนึ่งของปัจจัยที่สอง[15][16]
ความปลอดภัยของโทเค็นที่อาศัยโทรศัพท์เคลื่อนที่จะขึ้นอยู่กับการรักษาความปลอดภัยของผู้ใช้โทรศัพท์ โดยยังรั่วได้ง่ายเนื่องกับการดักฟังหรือการลอกซิมที่องค์กรความมั่นคงของชาติต่าง ๆ อาจจะทำ[17]
- ข้อดี
- ไม่ต้องมีอุปกรณ์ต่างหาก ๆ เพราะใช้มือถือที่ติดตัวผู้ใช้อยู่ตลอด
- เพราะรหัสเปลี่ยนไปเรื่อย ๆ จึงปลอดภัยกว่าข้อมูลนิ่งที่นำไปลงชื่อใช้
- เพราะรหัสเปลี่ยนไปเรื่อย ๆ รหัสที่สร้างขึ้นแต่ผู้ใช้ไม่ได้รับเพราะปัญหาการส่งการรับ จะไม่ขัดการลงชื่อใช้ในครั้งต่อ ๆ ไป
- ข้อเสีย
- ผู้ใช้ยังไม่พ้นปัญหาฟิชชิง เพราะคนร้ายอาจส่งข้อความเอสเอ็มเอสอันมีลิงก์ไปยังผู้ใช้โดยลิงก์ไปยังเว็บไซต์ที่ปลอมได้เหมือนจริง แล้วหลอกเอาชื่อผู้ใช้ รหัสผ่าน และโค๊ดพิสูจน์ตนจากผู้ใช้[18]
- มือถือก็ไม่ใช่จะใช้ได้อยู่ตลอดเวลา เพราะหายได้ ถูกขโมยได้ แบตหมด หรืออาจเสีย
- แม้จะนิยมขึ้นเรื่อย ๆ ผู้ใช้บางคนก็ยังอาจไม่มีมือถือ และอาจโมโหว่าถูกบังคับให้ใช้เพื่อจะเข้าถึงบริการบางอย่างที่มีให้ใช้ในคอมพิวเตอร์ของตน
- สัญญาณมือถือก็ไม่ใช่จะมีทุกที่ เพราะมีพื้นที่นอกเมืองที่ไม่มีสัญญาณ
- การลอกซิม (SIM cloning) อาจทำให้แฮ็กเกอร์ใช้โทรศัพท์มือถือที่ถูกก๊อปได้ อนึ่ง คนร้ายอาจหลอกพนักงานบริษัทมือถือให้ส่งซิมที่เหมือนกับซิมของลูกค้าไปให้ได้[19]
- ข้อความเอสเอ็มเอสที่ส่งไปยังโทรศัพท์ไม่ได้เข้ารหัสลับและยังสามารถถูกดักฟังโดยอุปกรณ์ที่เรียกว่า IMSI-catcher ดังนั้น บุคคลอื่นจึงอาจขโมยแล้วใช้โทเค็นได้[20]
- สมาร์ทโฟนปัจจุบันใช้รับทั้งอีเมลและข้อความเอสเอ็มเอส ถ้าโทรศัพท์หายหรือถูกขโมยโดยไม่มีรหัสผ่านหรือการป้องกันด้วยลักษณะทางชีวมิติเช่นลายนิ้วมือ บัญชีทุกบัญชีที่ใช้อีเมลเป็นชื่อผู้ใช้และมีโทรศัพท์เป็นปัจจัยพิสูจน์อย่างที่สองก็จะถูกแฮ็กได้ทั้งหมด
- ในบางพื้นที่ บริษัทมือถืออาจคิดค่าใช้จ่ายเพื่อรับข้อความเอสเอ็มเอส
กฎหมายและกฎบังคับ
[แก้]มาตรฐานความปลอดภัยข้อมูลของสมาคมอุตสาหกรรมบัตรจ่ายเงิน (Payment Card Industry Data Security Standard) บังคับว่า บุคคลผู้จะเข้าถึงข้อมูลบัตรจ่ายเงินจากเครือข่ายนอกระบบ จะต้องพิสูจน์ตัวด้วยปัจจัยหลายอย่าง[21] แต่ถ้าเข้าถึงข้อมูลโดยความเป็นแอดมิน ก็จะต้องใช้ปัจจัยหลายอย่างเพื่อพิสูจน์ตนทุกครั้งแม้จะใช้เครือข่ายในระบบ
สหภาพยุโรป
[แก้]คำสั่งการบริการจ่ายเงิน (Payment Services Directive) ของสหภาพยุโรปที่มีผลเป็นกฎหมายในปลายปี 2019 บังคับให้ผู้ใช้ต้องพิสูจน์ตนด้วยปัจจัยหลายอย่างสำหรับการจ่ายเงินทางอิเล็กทรอนิกส์ในเขตเศรษฐกิจยุโรป[22]
อินเดีย
[แก้]ในประเทศอินเดีย ธนาคารทุนสำรองอินเดียบังคับให้ใช้การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยสองอย่าง (2FA) สำหรับธุรกรรมออนไลน์ที่ใช้บัตรจ่ายเงินโดยต้องเพิ่มรหัสผ่านหรือเพิ่มรหัสใช้ครั้งเดียวที่ส่งไปทางเอสเอ็มเอส แม้จะเลิกบังคับใช้ในปี 2016 สำหรับการจ่ายเงินไม่เกิน 2,000 รูปีอินเดีย เมื่อการเลิกใช้ธนบัตรบางมูลค่าได้สร้างปัญหาทางเศรษฐกิจ บริษัทต่าง ๆ เช่น อูเบอร์ ก็ถูกบังคับให้เปลี่ยนระบบจัดการทางการเงินเพื่อทำตามกฎแม้บริษัทจะเชื่อว่ามีผลเสียต่อผู้บริโภคและต่อธุรกิจ[23][24][25]
สหรัฐ
[แก้]มีคำสั่งประธานาธิบดีสหรัฐในปี 2018 ซึ่งกำหนดการใช้วิธีพิสูจน์ตนสำหรับเจ้าหน้าที่ทั้งแบบบรรจุและแบบชั่วคราวของรัฐบาลกลาง[26]
มาตรฐานสำหรับการเข้าถึงระบบเทคโนโลยีสารสนเทศที่สำคัญของรัฐบาลกลางสหรัฐ บังคับให้ใช้การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง เช่น เมื่อลงชื่อเข้าใช้อุปกรณ์เครือข่ายเพื่อทำกิจของแอดมิน[27] และเมื่อใช้คอมพิวเตอร์ที่ลงชื่อเข้าใช้แบบมีสิทธิพิเศษ[28]
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้เผยแพร่เอกสาร "Special Publication 800-63-3" ที่ระบุการพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) แล้วแนะนำการใช้ในธุรกรรมที่ต้องมีความปลอดภัยในระดับต่าง ๆ[29]
ในปี 2005 คณะกรรมการตรวจสอบสถาบันการเงินของรัฐบาลกลาง (FFIEC) ได้แนะนำสถาบันทางการเงินให้ประเมินความปลอดภัยตามความเสี่ยง ให้เช็คโปรแกรมสำรวจความเข้าใจของลูกค้า แล้วใช้วิธีพิสูจน์ลูกค้าที่ลงชื่อเข้าใช้บริการทางการเงินทางไกลให้ได้ความแน่นอน โดยแนะนำอย่างเป็นทางการให้ใช้วิธีพิสูจน์ตัวผู้ใช้ด้วยปัจจัยยิ่งกว่าหนึ่งอย่าง (คือสิ่งที่ผู้ใช้รู้ มี หรือเป็น)[30] เพราะการเผยแพร่นี้ บริษัทที่ให้บริการพิสูจน์ตัวจริงเป็นจำนวนมากจึงเริ่มมีวิธีการพิสูจน์ตัวผู้ใช้โดยใช้คำถาม หรือภาพลับ หรือความรู้อะไร ๆ อย่างอื่นโดยอ้างว่า เป็นวิธีพิสูจน์ตัวด้วย "ปัจจัยหลายอย่าง" เพราะความสับสนเช่นนี้ และการนำวิธีดังที่ว่าไปใช้อย่างกว้างขวาง ปีต่อมาองค์กรจึงเผยแพร่แนวทางเสริม ซึ่งระบุว่า โดยนิยามแล้ว ระบบพิสูจน์ตัวด้วยปัจจัยหลายอย่าง "ของแท้" จะต้องใช้ปัจจัยสามชนิดที่ได้กำหนดแล้ว (คือสิ่งที่ผู้ใช้รู้ ที่มี หรือที่เป็น) ร่วมกัน ไม่ใช่การใช้ปัจจัยชนิดเดียวหลายรูปแบบหรือหลายครั้ง[31]
ความปลอดภัย
[แก้]ตามผู้สนับสนุน การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างสามารถลดจำนวนการปลอมบุคคลและการฉ้อฉลทางออนไลน์อื่น ๆ เพราะรหัสผ่านของเหยื่ออย่างเดียวไม่พอให้ผู้ร้ายสามารถเชิดบัญชีไปได้ แต่วิธีการพิสูจน์ตัวจริงเช่นนี้หลายอย่างก็ยังมีปัญหาด้านฟิชชิง[32] หรือการโจมตีแบบอื่น ๆ รวมทั้งม้าโทรจันที่เป็นมัลแวร์ในบราวเซอร์ และการแทรกตัวระหว่างกลางแบบ man-in-the-middle attack[33] การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) สำหรับเว็บแอปมีปัญหาด้านฟิชชิงเป็นพิเศษ โดยเฉพาะเมื่อส่งโค๊ดทางเอสเอ็มเอสหรืออีเมล ดังนั้น ผู้เชี่ยวชาญจึงแนะนำไม่ให้ผู้ใช้แชร์โค๊ดที่ได้รับกับใคร ๆ[34] โดยผู้ให้บริการยังอาจระบุข้อความไม่ให้แชร์โค๊ดไว้ในอีเมลและเอสเอ็มเอสที่ส่งโค๊ดด้วย[35]
การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างอาจไม่ได้ผล[36] ต่อวิธีการฉ้อฉลที่ใช้ในปัจจุบันรวมทั้งเครื่องสกิมเมอร์ที่ตู้เอทีเอ็ม ฟิชชิง และมัลแวร์[37]
ในปี 2017 บริษัทมือถือเยอรมัน O2 Telefónica รายงานว่าคนร้ายได้ใช้จุดอ่อนของโพรโทรคอลระบบโทรศัพท์ SS7 เพื่อหลีกเลี่ยงวิธีการพิสูจน์ตัวด้วยปัจจัยสองอย่างซึ่งใช้ข้อความเอสเอ็มเอส แล้วถอนเงินบัญชีธนาคารของผู้ใช้ได้ โดยต้องมีการตั้งมัลแวร์ม้าโทรจันบนคอมพ์ของผู้ใช้เพื่อขโมยข้อมูลเข้าบัญชีธนาคารและเบอร์โทรศัพท์ของผู้ใช้ไว้ก่อน แล้วซื้อบริการจากผู้ให้บริการโทรศัพท์ปลอม เปลี่ยนให้ส่งข้อความไปยังมือถือของตน ในที่สุดแล้ว ก็จะลงชื่อเข้าใช้บัญชีธนาคารของผู้ใช้ทางออน์ไลน์ได้ แล้วโอนเงินไปยังบัญชีของตน เพราะรหัสใช้ครั้งเดียวได้ส่งไปยังมือถือของคนร้าย จึงสามารถลงชื่อเข้าบัญชีและโอนเงินได้[38]
ปัญหาเบื่อเอ็มเอฟเอ
[แก้]กลวิธีหนึ่งในการแฮ็กระบบเอ็มเอฟเอที่เพิ่มขึ้นเรื่อย ๆ ในปัจจุบันก็คือ การส่งคำขอให้ยอมรับการพิสูจน์ตัวจริงไปอย่างซ้ำ ๆ จนกระทั่งผู้ใช้เบื่อจนยอมรับ[39]
การทำให้เกิดผล
[แก้]ระบบเอ็มเอฟเอบางอย่างบังคับให้ผู้ใช้ต้องมีซอฟต์แวร์รับบริการเพื่อให้ใช้การได้ บางระบบมีซอฟต์แวร์ติดตั้งต่าง ๆ กันสำหรับการลงชื่อเข้าใช้เครือข่าย เข้าใช้เว็บ และใช้เครือข่ายส่วนตัวเสมือน สำหรับผลิตภัณฑ์เช่นนี้ จึงอาจต้องติดตั้งซอฟต์แวร์ถึง 4-5 ระบบบนคอมพิวเตอร์แบบตั้งโต๊ะ เพื่อให้ใช้โทเค็นความปลอดภัยหรือสมาร์ตการ์ดได้ จึงเป็นซอฟต์แวร์ 4-5 อย่างที่ต้องติดตามรุ่นต่าง ๆ และที่ต้องเช็คดูว่ามีปัญหากับซอฟต์แวร์ที่จำเป็นอื่น ๆ ด้วยหรือเปล่า แต่ถ้าสามารถเข้าถึงสิ่งที่ต้องทำโดยผ่านหน้าเว็บเท่านั้น ก็อาจต้องมีแอปที่ว่าอย่างเดียวเท่านั้น หรือถ้าใช้เทคโนโลยีพิสูจน์ตัวอื่น ๆ เช่น โทเค็นฮาร์ดแวร์ ผู้ใช้ก็อาจไม่ต้องติดตั้งซอฟต์แวร์ใด ๆ เลย
มีข้อเสียในระบบเอ็มเอฟเอหลายอย่างที่ทำให้ไม่มีการติดตั้งแล้วใช้อย่างแพร่หลาย ผู้ใช้บางส่วนอาจมีปัญหาการเก็บโทเค็นฮาร์ดแวร์หรืออุปกรณ์ยูเอสบี บางส่วนอาจไม่สามารถติดตั้งระบบบริการด้วยตนเอง โดยทั่วไปแล้ว จะต้องลงทุนเพื่อทำให้เกิดผล และมีค่าใช้จ่ายเพื่อทะนุบำรุง ระบบที่ใช้โทเค็นฮาร์ดแวร์โดยมากเป็นกรรมสิทธิ์ของบริษัทผู้ผลิต ซึ่งอาจคิดค่าธรรมเนียมต่อผู้ใช้ทุกปี การกระจายให้ใช้โทเค็นฮาร์ดแวร์ยังลำบากทางโลจิสติกส์อีกด้วย เพราะโทเค็นฮาร์ดแวร์อาจเสียหาย การแจกจ่ายโทเค็นในอุตสาหกรรมใหญ่ ๆ เช่น ธนาคาร หรือบริษัทใหญ่ ๆ ก็จะต้องบริหารอย่างเข้มงวด นอกจากค่าใช้จ่ายเพื่อกระจายให้ใช้ ยังมีค่าใช้จ่ายเพื่อช่วยเหลือผู้ใช้อีกด้วย
งานวิจัยเกี่ยวกับการนำเทคโนโลยีนี้ไปใช้[40] พบว่า องค์กรประเภทต่าง ๆ ยอมรับเทคโนโลยีเอ็มเอฟเอต่าง ๆ ได้ไม่เหมือนกัน ตัวอย่างเช่น รัฐบาลกลางสหรัฐมักใช้ระบบโทเค็นฮาร์ดแวร์ที่ซับซ้อนซึ่งก็เป็นระบบที่รับรองด้วยการเข้ารหัสแบบกุญแจอสมมาตร และเช่นธนาคารซึ่งมักนิยมระบบเอ็มเอฟเอที่ใช้ง่ายกว่าและมีค่าใช้จ่ายน้อยกว่า เช่น ใช้แอปที่ติดตั้งในสมาร์ทโฟนของลูกค้าเอง แต่ถึงจะต่างกันอย่างนี้ เมื่อติดตั้งและใช้ระบบแล้ว ก็จะกลายเป็นปกติ โดยผู้ใช้เองก็จะรู้สึกคุ้นกับระบบแล้วยอมรับได้ว่าเป็นเรื่องธรรมดาเพื่อให้ลงชื่อเข้าใช้บัญชีที่จำเป็นได้
แม้จะดูเหมือนว่า ระบบเอ็มเอฟเอจะให้ความปลอดภัยได้อย่างบริบูรณ์[41] นักวิจารณ์ก็ยังระบุว่า ถ้าไม่ทำให้เกิดผลหรือติดตั้งอย่างสมบูรณ์ ก็ยังถูกแฮ็กได้
สิทธิบัตร
[แก้]ในปี 2013 นักประกอบการชาวฟินแลนด์-เยอรมัน คิม ด็อตคอม อ้างว่าได้ประดิษฐ์การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่างตามสิทธิบัตรที่จดในปี 2000[42] แล้วจึงสามารถขู่ฟ้องศาลผู้บริการเว็บรายใหญ่ ๆ ได้ทั้งหมดเป็นระยะเวลาสั้น ๆ แต่ต่อมาสำนักงานสิทธิบัตรยุโรปได้ยกเลิกสิทธิบัตรนี้[43] เพราะบริษัทเอทีแอนด์ทีได้จดสิทธิบัตรเยี่ยงนี้ตั้งแต่ปี 1998 แล้ว[44]
ดูเพิ่ม
[แก้]- เว็บออเทน เป็นโพรโทรคอลการให้บริการพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง
เชิงอรรถและอ้างอิง
[แก้]- ↑ "authentication", Longdo Dict, อังกฤษ-ไทย: ศัพท์บัญญัติราชบัณฑิตยสถาน, สืบค้นเมื่อ 2023-09-29,
การพิสูจน์ตัวจริง [คอมพิวเตอร์ ๑๙ มิ.ย. ๒๕๔๔]
- ↑ 2.0 2.1 "Two-factor authentication: What you need to know (FAQ) - CNET". CNET. สืบค้นเมื่อ 2015-10-31.
- ↑ 3.0 3.1 3.2 Jacomme, Charlie; Kremer, Steve (2021-02-01). "An Extensive Formal Analysis of Multi-factor Authentication Protocols". ACM Transactions on Privacy and Security (ภาษาอังกฤษ). New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566. S2CID 231791299.
- ↑ kaitlin.boeckl@nist.gov (2016-06-28). "Back to basics: Multi-factor authentication (MFA)". NIST (ภาษาอังกฤษ). คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2021-04-06. สืบค้นเมื่อ 2021-04-06.
- ↑ "Bitwarden Review". PCMag. 2022-03-15. เก็บจากแหล่งเดิมเมื่อ 2022-08-18.
- ↑ "Configuring One-Time Passwords". www.sonicwall.com. Sonic Wall. สืบค้นเมื่อ 2022-01-19.
- ↑ 7.0 7.1 van Tilborg, Henk C.A.; Jajodia, Sushil, บ.ก. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN 9781441959058.
- ↑ Cao, Liling; Ge, Wancheng (2015-03-10). "Analysis and improvement of a multi-factor biometric authentication scheme: Analysis and improvement of a MFBA scheme". Security and Communication Networks (ภาษาอังกฤษ). 8 (4): 617–625. doi:10.1002/sec.1010.
- ↑ "Does Kim Dotcom have original 'two-factor' login patent?". the Guardian (ภาษาอังกฤษ). 2013-05-23. สืบค้นเมื่อ 2022-11-02.
- ↑ EP 0745961, "Transaction authorization and alert system", issued 1996-12-04
- ↑ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. สืบค้นเมื่อ 2018-03-23.
- ↑ Greenberg, Andy (2016-06-26). "So Hey You Should Stop Using Texts For Two-factor Authentication". Wired. สืบค้นเมื่อ 2018-05-12.
- ↑ "NIST is No Longer Recommending Two-Factor Authentication Using SMS". Schneier on Security. 2016-08-03. สืบค้นเมื่อ 2017-11-30.
- ↑ "Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"". 2017-07-06. สืบค้นเมื่อ 2019-05-21.
- ↑ Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. สืบค้นเมื่อ 2017-09-11.
- ↑ Miller, Chance (2017-02-25). "Apple prompting iOS 10.3". 9to5 Mac. สืบค้นเมื่อ 2017-09-11.
- ↑ "How Russia Works on Intercepting Messaging Apps - bellingcat". bellingcat (ภาษาอังกฤษแบบอเมริกัน). 2016-04-30. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2016-04-30. สืบค้นเมื่อ 2016-04-30.
- ↑ Kan, Michael (2019-03-07). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Mag. สืบค้นเมื่อ 2019-09-09.
- ↑ Nichols, Shaun (2017-07-10). "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'". The Register. สืบค้นเมื่อ 2017-07-11.
- ↑ Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 IEEE Symposium on Computers and Communications. pp. 700–705. arXiv:1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID 5066992.
- ↑ "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. สืบค้นเมื่อ 2016-07-25.
- ↑ Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (ภาษาอังกฤษ), 2018-03-13, สืบค้นเมื่อ 2021-04-06
- ↑ Agarwal, Surabhi (2016-12-07). "Payment firms applaud RBI's move to waive off two-factor authentication for small value transactions". The Economic Times. สืบค้นเมื่อ 2020-06-28.
- ↑ Nair, Vishwanath (2016-12-06). "RBI eases two-factor authentication for online card transactions up to Rs2,000". Livemint (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-06-28.
- ↑ "Uber now complies with India's two-factor authentication requirement, calls it unnecessary and burdensome". VentureBeat (ภาษาอังกฤษแบบอเมริกัน). 2014-11-30. สืบค้นเมื่อ 2021-09-05.
- ↑ "Homeland Security Presidential Directive 12". Department of Homeland Security. 2008-08-01. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2012-09-16.
- ↑ "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
- ↑ "SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
- ↑ "Digital Identity Guidelines". NIST Special Publication 800-63-3. NIST. 2017-06-22. สืบค้นเมื่อ 2018-02-02.
- ↑ "FFIEC Press Release". 2005-10-12. สืบค้นเมื่อ 2011-05-13.
- ↑ "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). FFIEC. 2006-08-15. เก็บ (PDF)จากแหล่งเดิมเมื่อ 2012-11-15.
- ↑ Krebs, Brian (2006-07-10). "Security Fix - Citibank Phish Spoofs 2-Factor Authentication". Washington Post. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2016-08-13. สืบค้นเมื่อ 2016-09-20.
- ↑ Schneier, Bruce (March 2005). "The Failure of Two-Factor Authentication". Schneier on Security. สืบค้นเมื่อ 2016-09-20.
- ↑ Perekalin, Alex (May 2018). "Why you shouldn't ever send verification codes to anyone". Kaspersky. สืบค้นเมื่อ 2020-10-17.
- ↑ Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication". Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. S2CID 10821943.
- ↑ Shankland, Stephen. "Two-factor authentication? Not as secure as you'd expect when logging into email or your bank". CNET (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-09-27.
- ↑ "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. สืบค้นเมื่อ 2015-10-23.
- ↑ Khandelwal, Swati. "Real-World SS7 Attack - Hackers Are Stealing Money From Bank Accounts". The Hacker News (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2017-05-05.
- ↑ "MFA Fatigue: Hackers' new favorite tactic in high-profile breaches". BleepingComputer (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2023-08-12.
- ↑ Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influences on the Adoption of Multifactor Authentication" (ภาษาอังกฤษ).
- ↑ Grimes, Roger A. (2020-09-28). Hacking Multifactor Authentication. Hoboken: John Wiley & Sons. ISBN 978-1-119-65080-5.
- ↑ US 6078908, Schmitz, Kim, "Method for authorizing in data transmission systems"
- ↑ Brodkin, Jon (2013-05-23). "Kim Dotcom claims he invented two-factor authentication—but he wasn't first". Ars Technica. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2019-07-09. สืบค้นเมื่อ 2019-07-25.
- ↑ US 5708422, Blonder, et al., "Transaction authorization and alert system"
แหล่งข้อมูลอื่น
[แก้]- Brandom, Russell (2017-07-10). "Two-factor authentication is a mess". The Verge. สืบค้นเมื่อ 2017-07-10.
- Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
- Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
- Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)