ว่ากันด้วยเรื่อง Identity

ว่ากันด้วยเรื่อง Identity

หลายคนน่าจะรู้เรื่อง “Identity” มาบ้างนะครับ “Identity” จริงๆแล้วไม่ได้มีอะไรซับซ้อน ถ้าแบบง่ายๆก็ “อะไรก็ตามที่ใช้ยืนยันกับสิ่งอื่น หรือระบบว่านี่คือเรา” เป็นเรื่องที่มีมาตั้งแต่สมัยโบราณ ก่อนจะมีคอมพิวเตอร์จนมาถึงตอนนี้ที่เป็น “Mobile first” , “BlockChain”, “IoT” และจะพัฒนาต่อไป ตามการใช้งานของผู้ใช้และ Application ที่มีความหลากหลายมากขึ้นไปด้วย แต่หลักๆก็จะวนไปวนมาอยู่ใน 3 ส่วน สุดคลาสสิคไม่ได้เปลี่ยนไปไหนมากมาย คือ

1. Something you know – อะไรที่เรา “รู้” (คนเดียว) เช่น username , password, ATM Pin, Hint ต่างๆ
2. Something you have – อะไรที่เรา “มี” (คนเดียว) เช่น บัตร ATM, Smart Card, Security token เป็นต้น
3. Something you are – อะไรที่เรา “เป็น” (คนเดียว) เช่น ลายนิ้วมือ, หน้าตา (แบบ FaceID), ม่านตา เป็นต้น

Multi-Factor Authentication

Source : https://store.hp.com/us/en/cv/taw-article?ai=16&ap=5&au=3-ways-to-create-more-secure-passwords&am=Nov&ay=2015#false

บางระบบก็ใช้ Factor เดียว ก็เพียงพอ เช่น user / password แต่ต้องตั้งยากๆนะ ไม่ใช่ มี pattern แบบ “1234567”, “admin123”, “password” หรือตาม http://time.com/5071176/worst-passwords-2017/ ถ้าตั้งแบบนั้น แนะนำว่าอย่าตั้งจะดีกว่า 🙂

บางเรื่อง Factor เดียวไม่พอเพียง ก็ต้องการจะเพิ่มความแข็งแกร่งขึ้นไปอีก โดยเพิ่ม Factor อื่นเสริมเข้าไปอีก สำหรับเรื่องที่สำคัญๆ เช่น ถอนเงินผ่านตู้ ATM จะต้องใช้บัตร ATM (Have) + PIN (Know), เข้า Internet Banking ต้องใช้ username/password + SMS PIN (ตามภาพด้านล่าง) เป็นต้น ทีนี้ก็แล้วแต่ความสำคัญแล้วว่าจะเลือกใช้ 1FA (One Factor Authentication), 2FA (Two Factor Authentication) จนถึง Multi Factor Authentication ซึ่งทุกๆ Factor ที่เพิ่มเข้าไป ก็จะไปเพิ่มความซับซ้อน ยุ่งยากให้กับผู้ใช้มากขึ้นเรื่อยๆ ก็เป็นเรื่องที่ต้องแลกระหว่าง Usability (ความง่ายในการใช้งาน) vs Security (ความปลอดภัย) ว่าแค่ไหน จึงจะเหมาะสม

Two-Factor Authentication

Source : https://www.cloudways.com/blog/two-factor-authentication/

ระยะหลังๆจะมีเรื่องที่เพิ่มเข้ามาคือ Adaptive Authentication กับ Risk Base Authentication มักจะใช้ใน Social Network และ Banking Industry ที่เน้นพวกการป้องกันการโกง (Fruad) เป็นหลัก ซึ่งเป็นการเอาข้อมูลเกี่ยวกับผู้ใช้งานหลายๆส่วนมาประกอบกันในการตัดสินใจ Authorized ให้เข้าใช้ระบบ เช่น ผุ้ใช้งานทำการ Login ด้วย user / password ที่ถูกต้อง (1FA) เข้ามาผ่าน Mobile ตัว Mobile ส่ง Location กลับไปบอกว่าการ Login ครั้งที่แล้วทำที่ กรุงเทพ อีก 10 นาทีต่อมา Login ที่เชียงใหม่ ซึ่งเป็นไปไม่ได้ที่จะเกิดขึ้นในทางปฏิบัติ ก็มองว่ามีความเสี่ยงว่าจะไม่ใช่ผู้ใช้งานตัวจริง ระบบสามารถกำหนดได้ว่าจะ Denied Access หรือ Challenge SMS ไปที่ มือถือ เพื่อ Validate อีกรอบ เป็นต้น ซึ่งเทคนิคต่างๆนั้น ออกแบบมาเพื่อช่วยให้ผู้ใช้งาน และระบบงานมีความปลอดภัยมากขึ้น ง่ายต่อการใช้งานมากขึ้น ซึ่งในอนาคตน่าจะมีเทคนิคใหม่ๆ เพิ่มเติมเข้ามาอีก ตามเทคโนโลยี และแนวโน้มการใช้งานของผู้ใช้

Adaptive Authentication

Source : https://www.secureauth.com/resources/blog/what-is-adaptive-authentication

บทความนี้ ขอแนะนำให้ทราบเรื่อง Identity ในภาพรวมแบบรวบรัดตัดความ แต่เราพยายามสรุปให้เห็นภาพกว้างๆในเชิงเทคโนโลยี และศัพท์แสงที่จำเป็น เพื่อจะได้เข้าใจมากขึ้น จะได้ไปต่อในเรื่องอื่นๆในบทความต่อๆไปครับ  ไม่ได้เน้นทฤษฏีเพราะถ้าจะลงรายละเอียดแนวทฤษฎี อาจจะต้องคุย (เผลอๆจะต้องสอน) กันยาว  ดังนั้นเนื้อหาบางส่วน อาจจะไม่ครบถ้วน ก็ต้องศึกษาเพิ่มเติมหรือสอบถามทีมงานได้ครับ

พบกัน Blog หน้านะครับ เนื้อหาจะค่อยๆ ลงรายละเอียดไปเรื่อยๆ โดยเฉพาะเรื่อง Identity & Access Management เรื่องที่เป็นทั้งศาสตร์ และศิลป์ ไม่มีถูก ไม่มีผิด มีแต่เหมาะสมแค่ไหน ความเสี่ยงเป็นอย่างไรครับ

TAMA Team


Leave a Reply