TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

Knowledge Sharing

การยืนยันตัวตน ตอนที่ 1 2FA คืออะไรทำไมใครๆก็พูดถึง

e-Standard Documents
  • 28 ม.ค. 65
  • 1416

การยืนยันตัวตน ตอนที่ 1 2FA คืออะไรทำไมใครๆก็พูดถึง

2FA ย่อมาจาก two-factor authentication คือการที่ผู้ใช้บริการทำการยืนยันว่าตนเองว่าคือผู้ใช้บริการจริง โดยการแสดงว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตน (authenticators) ที่มีปัจจัยของการยืนยันตัวตน (authentication factor) จำนวน 2 ปัจจัยที่แตกต่างกัน โดยปัจจัยของการยืนยันตัวตนแบ่งออกเป็น 3 ประเภท ดังนี้

  1. สิ่งที่คุณรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น username-password หรือ PIN code
  2. สิ่งที่คุณมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น Sim card โทรศัพท์ อุปกรณ์บรรจุกุญแจเข้ารหัส (cryptographic device) หรืออุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP device)
  3. สิ่งที่คุณเป็น (something you are) คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ เช่น ใบหน้า และลายนิ้วมือ
contentA_1.jpg

ผู้อ่านบางท่านอาจเคยได้ยินถึงคำว่าการยืนยันตัวตนแบบหลายปัจจัย multi-factor authentication ที่หมายถึงการยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนสอง หรือสามปัจจัยดังกล่าว ไม่ต้องสับสนไปครับ เพราะการยืนยันตัวตนแบบสองปัจจัยก็คือรูปแบบหนึ่งของการยืนยันตัวตนแบบหลายปัจจัยนั่นเอง

การยืนยันตัวตนแบบสองปัจจัยที่พบเจอได้ในปัจจุบันโดยส่วนมากแล้วจะเลือกใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) คู่กับปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ตัวอย่างการยืนยันตัวตนแบบสองปัจจัยที่มีประวัติยาวนานและทุกคนน่าจะรู้จักกันดี นั่นก็คือการกดเงินจากตู้ ATM นั่นเอง ผู้ใช้บริการต้องทำการสอดบัตร ATM (something you have) และกดรหัส ATM (something you know) ให้ถูกต้องเพื่อที่จะถอนเงินออกมาได้

contentA_2.jpg

ตัวอย่างถัดไปจะเป็นสิ่งที่ขาช้อปออนไลน์ต้องเคยได้พบเจอบ้างในการจ่ายเงินค่าสินค้าออนไลน์ผ่านบัตรเครดิต ที่หลังจากกรอกเลขบัตรเครดิต และเลขหลังบัตร (something you know) เรียบร้อยแล้ว จะปรากฏหน้าต่างเพื่อให้กรอกรหัสลับ SMS-OTP ที่ส่งให้ตามเบอร์โทรศัพท์ (something you have) ของลูกค้าตามที่ลงทะเบียนไว้

contentA_3.jpg

ตัวอย่างสุดท้ายที่อยากพูดถึงคือการ log in เข้าระบบที่ให้ใส่ username-password (something you know) และหลังจากนั้นระบบจะบอกให้ผู้ใช้บริการไปเปิด OTP application (something you have) บนอุปกรณ์ของผู้ใช้บริการเอง เช่น Google Authenticator หรือ Microsoft Authenticator เพื่อนำรหัสมากรอกในระบบอีกรอบ

contentA_4.jpg

เห็นหรือไม่ว่าการ 2FA เป็นสิ่งที่อยู่รอบๆตัวเรามานานแล้ว ไม่ใช่เรื่องใหม่หรือเรื่องที่เข้าใจยาก ซับซ้อน แต่อย่างใด ดังนั้นเพื่อความปลอดภัยในการทำธุรกรรมออนไลน์ที่มากขึ้น ผู้เขียนจึงขอสนับสนุนให้ทุกคนทำความเข้าใจ และใช้งาน 2FA กันให้อย่างแพร่หลาย
สำหรับผู้ที่สนใจอยากศึกษาข้อมูลเกี่ยวกับการใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have)
เพิ่มเติมเรามีบทความเกี่ยวกับเรื่องนี้แยกโดยเฉพาะ สามารถอ่านได้ที่นี่เลยครับ

 

อ้างอิง
ETDA Recommendation, Digital Identity – Framework
NIST Special Publication Digital Identity Guidelines

 

Rating :
Avg: 5 (1 ratings)