ปัจจุบันนี้ระบบคอมพิวเตอร์เริ่มมีความสำคัญมากขึ้นเรื่อยๆ ไม่ว่าจะเป็นการทำธุรกรรมทางการเงิน การซื้อของออนไลน์ การจองโรงแรมและอื่นๆ แล้วเราจะป้องกันตนเองให้ปลอดภัยได้อย่างไรเมื่อระบบต่างๆ จะรู้จักเราได้ผ่านการล็อกอินเท่านั้น แล้วเราจะเพิ่มความปลอดภัยของล็อกอินเราได้อย่างไร? บทความนี้จะมาอธิบายให้ฟัง...
ระบบ Multi-Factor Authentication หรือ MFA คืออะไร
สำหรับการเข้าใช้งานระบบหรือการล็อกอินเข้าไปในระบบนั้น (ภาษาเทคนิคเรียกว่าการยืนยันตัวตน หรือ Authentication) ซึ่งตามหลักแล้วแบ่งออกได้เป็น 3 ปัจจัย คือ
- สิ่งที่คุณรู้ หรือ Something you know เป็นยืนยันตัวตนแบบที่นิยมใช้งานมาที่สุด เช่น รหัสผ่าน, คำถามและคำตอบด้านความปลอดภัย (ใช้ในกรณีการกู้รหัสผ่าน), รหัสปลดล็อกหน้าจอมือถือ เป็นต้น ซึ่งการตั้งรหัสผ่านที่ดี ควรจะตั้งรหัสผ่านที่ยาวอย่างน้อยที่ 8 – 12 ตัวอักษร และเป็นรหัสผ่านที่ไม่สามารถคาดเดาได้ง่าย
- สิ่งที่คุณมี หรือ Something you have เป็นการอ้างอิงในสิ่งที่คุณมีเพื่อใช้ในการยืนยันตัวตน เช่น บัตรสมาร์การ์ด, บัตร ATM, โปรแกรมที่อยู่ในโทรศัพท์มือถือ, อุปกรณ์ฮาร์ดแวร์ Token, อีเมล, รหัส SMS เป็นต้น
ตัวอย่างฮาร์ดแวร์ Token มักจะใช้ควบคู่กับรหัสผ่าน โดยขั้นตอนการล็อกอินเข้าระบบจะมีให้ใส่ชื่อผู้ใช้งาน รหัสผ่าน และค่าที่ได้จาก Token โดยค่าที่ได้จาก Token จะเปลี่ยนทุกนาที
- สิ่งที่คุณเป็น หรือ Something you are เป็นการอ้างอิงโดยใช้สิ่งที่คุณเป็น มีความเชื่อถือได้มากที่สุด แต่ถ้าข้อมูลถูกโจกรรมไปก็ไม่สามารถเปลี่ยนแปลงได้ในอนาคต เช่น ลายนิ้วมือ ม่านตา ลักษณะใบหน้า ซึ่งรวมไปถึงลักษณะท่าทางการเดิน เสียง เป็นต้น
โดยการล็อกอิน (หรือการยืนยันตัวตน) ที่ปลอดภัยคือการใช้งานหลายปัจจัยประกอบกัน หรือที่เราเรียกว่า Multi-Factor Authentication หรือ MFA นั่นเอง ยกตัวอย่างเช่น การกดเงินจากตู้ ATM จะต้องใช้ 2 ปัจจัยประกอบกันได้แก่ บัตร ATM และรหัสผ่านเพื่อกดเงิน หรือในปัจจุบันที่สามารถกดเงินได้โดยเปลี่ยนจากบัตร ATM เป็นโปรแกรมในโทรศัพท์มือถือแทน ก็ยังถือว่าเป็น MFA เช่นเดิม โดยเปลี่ยนรูปแบบจากบัตร ATM เป็นโปรแกรมในโทรศัพท์มือถือนั่นเอง
แล้วเราควรเลือกใช้งานแบบไหนถึงจะเหมาะสม?
สำหรับระบบในปัจจุบัน หากเป็นระบบที่สำคัญมาก เช่นการทำธุรกรรมทางการเงินผ่านทาง Mobile Banking มักจะบังคับให้ใช้งานเป็นแบบ MFA โดยอัตโนมัติ ซึ่งบางธนาคารจะต้องมีการลงทะเบียนหมายเลขโทรศัพท์มือถือ รวมไปถึงบางครั้งมีการตรวจสอบว่าเป็นการทำธุรกรรมจากประเทศไหน (โดยการตรวจสอบจากไอพีแอดเดรสที่ทำธุรกรรม) เป็นต้น
เนื่องจากการใช้งาน MFA จะขึ้นอยู่กับระบบเป็นหลัก หากระบบดังกล่าวรองรับการทำ MFA แล้ว แนะนำให้เปิดใช้งาน MFA เพื่อใช้ยืนยันตัวตน ซึ่งเป็นการเพิ่มความปลอดภัยในการใช้งาน ยกตัวอย่างระบบที่ควรเปิดใช้งาน MFA แบ่งออกได้เป็น 2 ส่วนดังนี้
- การใช้งานส่วนบุคคล ตัวอย่างระบบที่แนะนำให้เปิดใช้งานมีดังนี้
- การใช้งานระบบ Mobile Banking ของธนาคารต่างๆ รวมไปถึง Digital Wallet ต่างๆ (เช่น True Money ) ด้วย และแนะนำให้จำกัดวงเงินในการทำธุรกรรมออนไลน์ด้วย เพราะหากเกิดเหตุการณ์ที่คาดไม่ถึงก็จะเป็นการจำกัดความเสียหายที่เกิดขึ้น เช่นจำกัดวงเงินการโอนต่างธนาคารเอาไว้ที่ 50,000 บาทต่อวัน หากเกิดปัญหาจริงโจรก็จะโอนเงินไปได้ไม่เกิน 50,000 บาท เป็นต้น
- การใช้งาน Social Network ต่างๆ ไม่ว่าจะเป็น Facebook, Twitter (หรือ X), LinkedIn หรือ Tiktok เป็นต้น
- การใช้งานระบบ Shopping Online เช่น Lazada หรือ Shopee เป็นต้น เนื่องจากระบบดังกล่าวมีฟีเจอร์ในการผูกบัตรเครดิต และ Digital Wallet ด้วย
- การใช้งานในองค์กร ตัวอย่างระบบที่แนะนำให้เปิดใช้งานมีดังนี้
- ระบบรีโมทจากภายนอก (หรือระบบ VPN) หากมีการใช้งานไฟร์วอลล์ FortiGate สามารถทำ MFA ผ่านทาง FortiClient ได้
- ระบบ Microsoft 365 หรือ Google Workspace โดยใช้งาน Microsoft Authenticator บนเครื่องสมาร์ทโฟน
- ระบบ ERP และระบบบัญชีภายในองค์กร หากรองรับการทำ MFA จะเป็นการเพิ่มความปลอดภัยขึ้นมากอีกระดับหนึ่ง
- ระบบการเข้าใช้งาน (Access Control) ห้อง Data Center ส่วนมากจะใช้ระบบสแกนลายนิ้วมือ (Finger Scan) หรือระบบสแกนใบหน้า (Face Scan) เป็นต้น โดยอาจจะไม่ถือว่าเป็น MFA แต่เป็นการใช้งานที่สามารถระบุตัวตนในแบบที่ 3 (Something you are) ซึ่งถือว่าดีที่สุด
- ระบบบันทึกเวลาเข้าออกพนักงานภายในบริษัท มักจะเริ่มใช้งานระบบสแกนลายนิ้วมือ หรือระบบสแกนใบหน้าเพื่อยืนยันตัวตนการทำงาน
ตัวอย่างการใช้งาน FortiClient แบบ SSLVPN ทีมีการใช้งาน MFA โดย Token รองรับได้ทั้งอีเมล
หรือโปรแกรม FortiToken ที่ติดตั้งอยู่ในสมาร์ทโฟน (มีค่าใช้จ่ายเพิ่มเติม)
บทสรุป
ระบบ MFA เป็นระบบที่ช่วยเพิ่มความปลอดภัยของระบบ ในการใช้งานให้เริ่มพิจารณาจากความเสี่ยงเป็นหลัก โดยเฉพาะความเสี่ยงที่เกี่ยวข้องทางการเงินมักจะต้องพิจารณาใช้งานเป็นอันดับต้นๆ ของการดำเนินการ สำหรับการป้องกันขององค์กรให้พิจารณาส่วนที่สามารถเข้าถึงได้จากภายนอกองค์กร (Attack Surface) เช่นระบบ VPN เป็นอันดับต้นๆ เพราะการป้องกันดังกล่าวเป็นการลดความเสี่ยงที่จะเกิดขึ้นจากแฮกเกอร์ได้เป็นอย่างดี
อ้างอิง: