ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลกต่างเห็นตรงกันว่า Password เป็นการพิสูจน์ตัวตนที่ล้าสมัยและควรเก็บเข้ากรุได้แล้ว การดูแลรักษา Password เทียบกับประโยชน์ที่ได้จากการใช้งานในปัจจุบันห่างไกลจากความคุ้มค่ามากนัก และมักนำไปสู่เหตุ Credential Theft หรือถูกแฮ็กได้ ต่อให้เป็นรหัสผ่านที่แข็งแกร่งที่สุด ก็อาจตกเป็นเหยื่อของการถูก Phishing ได้เช่นกัน
บทความนี้ Thales จะพาทุกท่านไปรู้จักกับ FIDO2 ซึ่งเป็นมาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์ที่จะช่วยให้องค์กรก้าวออกจากการใช้ Password และสามารถยืนยันตัวตนของผู้ใช้ได้อย่างมั่นคงปลอดภัยกว่า ผู้ที่สนใจสามารถดาวน์โหลด eBook เรื่อง “The FIDO Authentication Handbook” จาก Thales ไปศึกษาเพิ่มเติมได้ที่นี่
หมดยุคการพิสูจน์ตัวตนด้วย Password แล้วหรือยัง?
สำหรับองค์กรขนาดใหญ่ การซัพพอร์ตและดูแลรักษา Password เป็นเรื่องที่น่าปวดหัวสำหรับฝ่าย IT การใช้ Password เพิ่มภาระให้กับงาน Helpdesk ทั้งยังสร้างความซับซ้อนให้ระบบและ User Experience ที่ไม่สู้ดีอันเนื่องมาจากการต้องคอยรีเซ็ตรหัสผ่านบ่อยๆ ที่สำคัญที่สุดคือ Password ไม่เพียงพอต่อการป้องกันภัยคุกคามไซเบอร์ในปัจจุบันและความจำเป็นด้านการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กรอีกต่อไป
จากรายงาน Data Breach ล่าสุดพบว่า อาชญากรไซเบอร์ใช้ประโยชน์จาก Password ที่ไม่มั่นคงปลอดภัย เช่น Password ที่เดาได้ง่าย, Password ที่ถูกแฮ็กหรือถูกขโมย ในการโจมตีองค์กรเพื่อขโมยข้อมูลส่วนบุคคลหรือปลอมแปลงเป็นบุคลากรในองค์กรเพื่อสร้างความวุ่นวายอื่นๆ ต่อ และที่น่าเป็นห่วง คือ ร้อยละ 39 ขององค์กรเคยประสบกับการโจมตีแบบ Credential Stuffing และการโจมตี Password อื่นๆ ในขณะที่ Password มีส่วนเชื่อมโยงกับเหตุ Data Breach สูงถึง 61%
“องค์กรต้องไปไกลเกินกว่าการใช้ Password เพื่อพิสูจน์ตัวตนผู้ใช้และปกป้องข้อมูล”
รู้จักมาตรฐานการพิสูจน์ตัวตน FIDO2
Fast Identity Online (FIDO2) เป็นมาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์ที่นำเสนอกลไกการพิสูจน์ตัวตนอย่างราบรื่นและมั่นคงปลอดภัย ถูกออกแบบมาให้สามารถใช้งานได้ในหลากหลายสถานการณ์โดยใช้ Multi-factor Cryptographic Tokens และไม่ต้องพึ่งพา Password แต่อย่างใด
ภาพด้านล่างแสดงการทำงานของ FIDO2 โดย Authenticator หรือที่รู้จักกันดีว่า FIDO Security Key จะมีการฝัง Private Key 1 Key หรือมากกว่านั้น โดยแต่ละ Key จะถูกใช้สำหรับแต่ละ Online Account แยกจากกัน ในขั้นตอนการยืนยันตัวตนของผู้ใช้ จำเป็นต้องมีปฏิสัมพันธ์ของผู้ใช้ (User Gesture) เข้ามาเกี่ยวข้อง เช่น การใส่รหัส PIN, Biometrics หรือ Authentication Token อื่นๆ ก่อนที่ Private Key จะถูกนำไปใช้เพื่อ Sign บน Response ในขั้นตอน Authentication Challenge
โปรโตคอลการพิสูจน์ตัวตนรูปแบบนี้มีข้อดีคือ
-
- มั่นคงปลอดภัย – Login Credentials แต่ละเว็บไซต์จะแตกต่างกัน และไม่มีการเก็บบน Server ซึ่งช่วยขจัดความเสี่ยงของ Phishing, Password Theft และ Replay Attacks แบบต่างๆ
- User Experience – ผู้ใช้สามารถล็อกอินได้ง่ายโดยใช้ฟีเจอร์ที่มีอยู่แล้วบนอุปกรณ์ หรือจะใช้พวก Token ที่ถูกออกแบบมาตามมาตรฐาน FIDO ก็ได้เช่นเดียวกัน
- ความเป็นส่วนบุคคล – Key ที่ใช้ในแต่ละเว็บไซต์จะแตกต่างกัน ทำให้ไม่สามารถใช้ติดตามผู้ใช้ได้ ในขณะที่ข้อมูล Biometrics จะถูกจัดเก็บอยู่บนอุปกรณ์ของผู้ใช้ ต่อให้ถึงเวลาพิสูจน์ตัวตนก็ไม่มีหลุดออกไปภายนอก
FIDO2 กับกฎหมายและข้อบังคับ
ในปัจจุบัน มีกฎหมายและข้อบังคับทางด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลหลากหลายฉบับถูกบังคับใช้ ซึ่งมาตรฐาน FIDO2 ก็เข้าไปตอบโจทย์ในส่วนของข้อกำหนดด้านการพิสูจน์ตัวตนได้เป็นอย่างดี ดังนี้
GDPR – ระบุว่าผู้ใช้ต้องมีสิทธิ์ในการเข้าถึง แก้ไข ลบ หรือโยกย้ายข้อมูลส่วนบุคคลของตนได้ หัวใจสำคัญในการทำเรื่องเหล่านี้ได้อย่างมั่นคงปลอดภัย คือ การยืนยันว่าตัวตนที่กำลังจัดการกับข้อมูลเหล่านั้น เป็นบุคคลนั้นๆ จริงๆ ซึ่งมาตรฐาน FIDO2 และอุปกรณ์ที่รองรับต่างสามารถสนับสนุนการพิสูจน์ตัวตนอย่างมั่นคงปลอดภัยและการปกป้องข้อมูลส่วนบุคคล โดย FIDO2 ใช้เทคนิคการเข้ารหัสแบบ Public Key ซึ่ง Key จะถูกสร้างและจัดเก็บบนอุปกรณ์ที่ใช้พิสูจน์ตัวตนและไม่มีการแชร์ออกไปยังเซิร์ฟเวอร์ภายนอก ในขณะที่ Response ของการพิสูจน์ตัวตนจะถูกเข้ารหัสเพื่อป้องกัน Phishing และการโจมตีแบบ Man-in-the-Middle สำหรับข้อมูล Biometrics ก็จะถูกจัดเก็บและประมวลผลเฉพาะบนอุปกรณ์ของผู้ใช้เช่นกัน
PSD2 (Payment Services Directive ของสหภาพยุโรป) – หนึ่งในข้อกำหนดสำคัญของ PSD2 คือต้องมี Strong Customer Authentication (SCA) โดยใช้การพิสูจน์ตัวตนแบบ MFA ซึ่งธนาคารและผู้ให้บริการการชำระเงินสามารถใช้ประโยชน์จากอุปกรณ์ที่รองรับมาตรฐาน FIDO2 เพื่อดำเนินการตามข้อกำหนดดังกล่าวได้ การเข้ารหัสแบบ Public Key ของ FIDO2 สามารถป้องกันการโจมตีที่พุ่งเป้ามายัง Shared Credentials เช่น Password ได้ ในขณะที่ Biometrics และ Security Keys ที่ใช้ตอบโจทย์การพิสูจน์ตัวตันทั้งแบบ “What you are” และ “What you have” ได้ ทั้งยังเพิ่มความสะดวกให้แก่ผู้ใช้อีกด้วย
นอกจาก 2 รายการที่กล่าวไป FIDO2 ยังสามารถประยุกต์ใช้กับกฎหมายและข้อบังคับอื่นๆ ในไทยได้เช่นกัน ทั้ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
จำเป็นหรือไม่ที่จะต้องแทนที่การพิสูจน์ตัวตนที่มีอยู่ด้วย FIDO2
เพื่อยกระดับการรักษาความมั่นคงปลอดภัยในการเข้าถึงระบบต่างๆ หลายองค์กรเลือกที่จะลงทุนกับระบบการพิสูจน์ตัวตนที่แข็งแกร่งมาก เช่น การใช้ PKI ร่วมกับฮาร์ดแวร์ OTP หรือโซลูชันบนอุปกรณ์สมาร์ตโฟน อย่างไรก็ตาม ไม่ใช่ทุกสถานการณ์จะเหมาะกับการพิสูจน์ตัวตนรูปแบบนี้ ทั้งในมุมของค่าใช้จ่าย การดำเนินการ และ User Experience แนะนำให้องค์กรประเมินการพิสูจน์การตัวตนหลายๆ แบบ และเลือกโซลูชันที่เหมาะสมกับแต่ละสถานการณ์ ดังแสดงในตารางด้านล่าง
สำหรับองค์กรที่มีการวางระบบ PKI สำหรับการพิสูจน์ตัวตนไปแล้ว ไม่จำเป็นต้องปรับเปลี่ยนหรือหาโซลูชันอื่นมาแทนที่แต่อย่างใด กลับกัน สามารถใช้มาตรฐาน FIDO2 มาเป็นส่วนเสริมเพื่อยกระดับวิธีการพิสูจน์ตัวตนให้ทันสมัย โดยเฉพาะอย่างย่ิงเพื่อปกป้องการเข้าถึงแอปพลิเคชันบน Cloud
By : Mr. Payathai Kalyawogsa
————————————————————————————————————————————
ที่มา : techtalkthai.com / วันที่เผยแพร่ 27 ก.ย.2564
Link : https://www.techtalkthai.com/the-fido-authentication-handbook-by-thales/
