ผู้ใช้:Panjapol2846/การยืนยันตัวตนหลายขั้นตอน

จากวิกิพีเดีย สารานุกรมเสรี

การยืนยันตัวตนหลายขั้นตอน MFA(Multi-factor authentication) ; รวมถึง การยืนยันตัวตนสองขั้นตอน หรือ 2FA(two-factor authentication) คลอบคลุมถึงคำที่มีความหมายคล้ายกัน) เป็นกระบวนการ ยืนยันตัวตนทางอิเล็กทรอนิกส์ ที่ผู้ใช้จะได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอปพลิเคชันได้หลังจากแสดงหลักฐานสองชิ้นขึ้นไปต่อกลไกการยินยันตัวตนได้สำเร็จแล้วเท่านั้น ตัวอย่างเช่น ความรู้ (บางสิ่งที่ผู้ใช้เท่านั้นรู้) ความครอบครอง (บางสิ่งที่ผู้ใช้เท่านั้นมี) และการสืบทอด (บางสิ่งที่ผู้ใช้เท่านั้นที่เป็น) MFA ปกป้องข้อมูลผู้ใช้ ซึ่งรวมถึงข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินจากบุคคลที่สามโดยไม่ได้รับอนุญาตที่อาจเข้าถึงได้จากการพบรหัสผ่านเพียงอย่างเดียว

แอพ ยืนยันตัวตนจากบุคคลที่สาม (TPA(A third-party authenticator)) เป็นแอปพลิเคชั่นที่ทำการสร้างรหัสแบบสุ่มอยู่ตลอดเวลาเพื่อใช้ในการยืนยันตัวตน

ขั้นตอน[แก้]

การยืนยันตัวตนเกิดขึ้นเมื่อมีคนพยายาม เข้าถึง ข้อมูลของคอมพิวเตอร์ (เช่น เครือข่าย อุปกรณ์ หรือแอปพลิเคชัน) เพื่อที่จะเข้าถึงข้อมูลผู้ใช้จะต้องมีสิทธ์การเข้าถึงรวมถึงหลักฐานที่จะยืนยันตัวตนของผู้ใช้ การรับรองความถูกต้องอย่างง่ายต้องการหลักฐาน (ขั้นตอน) เพียงอย่างเดียว ซึ่งโดยทั่วไปคือรหัสผ่าน เพื่อความปลอดภัยที่แน่นหนามากขึ้น ข้อมูลอาจต้องการมากกว่าหนึ่งขั้นตอนเพื่อให้เกิดการยืนยันตัวตนหลังจากตรวจสอบหลักฐานทั้งหมด [1]

การยืนยันตัวตนหลายขั้นตอนถูกใช่เพื่อไม่ให้ผู้ที่ไม่ได้รับอนุญาตสามารถยืนยันตัวตนได้ด้วยขั้นตอนใดขั้นตอนหนึ่ง หากในความพยายามในการยืนยันตัวตน หากมีขั้นตอนใดขาดหายไปหรือไม่ถูกต้อง ตัวตนของผู้ใช่จะไม่ได้รับการยืนยันเนื่องจากหลักฐานที่ไม่เพียงพอทำให้ไม่สามารถเข้าถึงข้อมูลได้ เนื่องจากถูกจำกัดจากการยืนยันตัวตนหลายขั้นตอน หลักฐานที่ใช่ในการยืนยันตัวตนหลายขั้นตอนอาจรวมถึง: [2]

  • สิ่งที่ผู้ใช้มี: วัตถุทางกายภาพ ที่อยู่ในความครอบครองของผู้ใช้ เช่น โทเค็นความปลอดภัย ( USB ) บัตรธนาคาร กุญแจ ฯลฯ
  • สิ่งที่ผู้ใช้รู้: สิ่งที่ผู้ใช้เท่านั้นรู้ เช่น รหัสผ่าน, PIN เป็นต้น
  • สิ่งที่ผู้ใช้เป็น: ลักษณะทางกายภาพบางอย่างของผู้ใช้ (ไบโอเมตริก) เช่น ลายนิ้วมือ ม่านตา เสียง ความเร็วในการพิมพ์ รูปแบบในช่วงเวลาการกดปุ่ม เป็นต้น

ตัวอย่างของการยืนยันตัวตนแบบสองขั้นตอนคือการถอนเงินจาก ตู้เอทีเอ็ม ต้องใช่ บัตรธนาคาร (สิ่งที่ผู้ใช้มี) และ PIN (สิ่งที่ผู้ใช้รู้) ร่วมกันอย่างถูกต้องเท่าเพื่อที่จะอนุญาตให้ทำธุรกรรมได้ อีกสองตัวอย่างคือรหัสผ่านที่ผู้ใช่ควบคุม ใช้ครั้งเดียว (OTP) หรือรหัสที่สร้างหรือได้รับโดยตัว ตรวจสอบสิทธิ์ (เช่น โทเค็นความปลอดภัยหรือสมาร์ทโฟน) ที่มีเฉพาะผู้ใช้เท่านั้นที่มี [3]

แอพยืนยันตัวตนผ่านบุคคลที่สามทำการยืนยันตัวตนสองขั้นตอนในแบบที่ต่างออกไปโดยทำการสร้างรหัสที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาโดยไม่ใช่การส่ง SMS ข้อดีที่สำคัญของแอปเหล่านี้คือแอปเหล่านี้สามารถทำงานต่อไปได้แม้ไม่ได้เชื่อมต่ออินเทอร์เน็ต ตัวอย่างของแอพยืนยันตัวตนของบุคคลที่สาม ได้แก่ Google Authenticator, Authy และ Microsoft Authenticator ; ตัวจัดการรหัสผ่านบางตัวเช่น LastPass ก็มีการให้บริการเช่นกัน

สิ่งที่ผู้ใช้รู้[แก้]

สิ่งที่ผู้ใช้รู้ คือการเครื่องมือยืนยันตัวตนรูปแบบหนึ่งที่มีแค่ผู้ใช่ที่รู้

รหัสผ่านคือคำลับหรือชุดอักขระที่ใช้สำหรับการยืนยันตัวตนผู้ใช้ และเป็นกลไกการยืนยันตัวตนที่ใช้บ่อยที่สุด [2] เทคนิคการยืนยันตัวตนแบบหลายขั้นตอนใช้รหัสผ่านเป็นปัจจัยหนึ่งในการตรวจสอบสิทธิ์ รูปแบบต่างๆ มีทั้งรูปแบบที่ยาวขึ้นจากการใช่คำหลายคำ ( วลีรหัสผ่าน ) และ PIN ที่สั้นกว่าซึ่งเป็นตัวเลขอย่างเดียว PIN ที่ใช้กันทั่วไปสำหรับการเข้าถึง ATM โดยปกติรหัสผ่านจะต้องถูก จดจำ ได้

สิ่งที่ผู้ใช้ครอบครอง[แก้]

RSA SecurID token คือ ตัวอย่างของตัวสร้างโทเค็นที่ไม่ได้เชื่อมต่ออินเทอร์เน็ต

สิ่งที่ผู้ใช้ครอบครอง ("สิ่งที่ผู้ใช้เท่านั้นที่มี") ถูกนำมาใช้ในการยืนยันตัวตนผู้ใช้มานานหลายศตวรรษ ในรูปแบบของกุญแจ หลักการพื้นฐานคือกุญแจจะมีรูปแบบลับที่ใช้ร่วมกันระหว่างแม่กุญแจและลูกกุญแจ และหลักการเดียวกันนี้ถูกนำมาประยุกใช่การยืนยันตัวตนด้วยสิ่งที่ผู้ใช้ครอบครองในระบบคอมพิวเตอร์ โทเค็น รักษาความปลอดภัยเป็นหนึ่งในตัวอย่างของสิ่งที่ผู้ใช้ครอบครอง

โทเค็นที่ไม่มีการเชื่อมต่อ ไม่มีการเชื่อมต่อกับคอมพิวเตอร์ โดยทั่วไปจะใช้หน้าจอในตัวเพื่อแสดงข้อมูลการยืนยันตัวตนที่สร้างขึ้นเพื่อผู้ใช้พิมพ์ด้วยตนเอง โทเค็นประเภทนี้ส่วนใหญ่ใช้ OTP ที่สามารถใช้ได้ครั้งเดียวเท่านั้น [4]

โทเค็นความปลอดภัยแบบ USB

โทเค็นที่มีการเชื่อมต่อ คือ เครื่องมือ ที่เชื่อมต่อ โดยตรง กับคอมพิวเตอร์เพื่อใช้งาน เครื่องมือ พวกนี้การส่งต่อข้อมูลโดยอัตโนมัติ [5] มีหลายประเภท ได้แก่ โทเค็น USB สมาร์ทการ์ด และ แท็กไร้สาย [5] โทเค็น FIDO2 มีความปลอดภัยเพิ่มมากขึ้น ซึ่งสนับสนุนโดย FIDO Alliance และ World Wide Web Consortium (W3C) ได้รับความนิยมและการรองรับเบราว์เซอร์ส่วนใหญ่ตั้งแต่ปี 2015

โทเค็นซอฟต์แวร์ (หรือที่รู้จักกันในชื่อ ซอฟต์โทเค็น ) เป็นอุปกรณ์รักษาความปลอดภัยการตรวจสอบสิทธิ์แบบสองขั้นตอนที่อาจใช้เพื่อยืนยันการใช้บริการอิเล็กทรอนิกส์ โทเค็นซอฟต์แวร์จะถูกเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์ที่ใช้งานทั่วไป เช่น คอมพิวเตอร์เดสก์ ท็อป แล็ปท็อป พีดีเอ หรือ โทรศัพท์มือถือ และสามารถทำซ้ำได้ (ตรงกันข้าม กับโทเค็นฮาร์ดแวร์ ที่ซึ่งข้อมูลถูกจัดเก็บไว้ในอุปกรณ์เฉพาะ ดังนั้นจึงไม่สามารถทำซ้ำได้ ยกเว้นมีการบุกรุกทางกายภาพของอุปกรณ์ ) ซอฟต์โทเค็นอาจไม่ใช่อุปกรณ์ที่ผู้ใช้โต้ตอบด้วย โดยทั่วไปแล้วใบรับรอง X.509v3 จะถูกโหลดลงในอุปกรณ์ที่มีการรองรับและจัดเก็บไว้อย่างปลอดภัยเพื่อตอบสนองวัตถุประสงค์นี้

การรับรองความถูกต้องด้วยหลายขั้นตอนยังมีการประยุกต์ใช้ในระบบความปลอดภัยทางกายภาพ ระบบรักษาความปลอดภัยทางกายภาพเรียกโดยทั่วไปว่าการควบคุมการเข้าถึง โดยทั่วไปแล้วการรับรองความถูกต้องด้วยหลายขั้นตอนจะนำไปใช้ในระบบควบคุมการเข้าถึง ขั้นแรก การครอบครองทางกายภาพ (เช่น fob คีย์การ์ด หรือรหัส QR ที่แสดงบนอุปกรณ์) ซึ่งทำหน้าที่เป็นข้อมูลรับรองการระบุตัวตน และขั้นที่สอง การตรวจสอบความถูกต้อง ของตัวตนเช่นไบโอเมตริกซ์ใบหน้าหรือการสแกนจอประสาทตา รูปแบบของการยืนยันตัวตนแบบหลายหลายขั้นตอนเรียกโดยทั่วไปว่าการยืนยันตัวตนด้วยใบหน้าหรือการพิสูจน์ตัวตนด้วยใบหน้า

โดยธรรมชาติ[แก้]

สิ่งเหล่านี้คือปัจจัยที่เกี่ยวข้องกับผู้ใช้ และโดยทั่วไปเป็นกระบวนการทาง ไบโอเมตริก เช่น ลายนิ้วมือ ใบหน้า เสียง [6] หรือ ม่านตา นอกจากนี้ยังสามารถใช้ไบโอเมตริกพฤติกรรม เช่น วิธีการกดแป้นพิมพ์

สถานที่[แก้]

ปัจจัยที่สี่กำลังเข้ามามีบทบาทมากขึ้นซึ่งเกี่ยวข้องกับตำแหน่งทางกายภาพของผู้ใช้ ในขณะที่ผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรโดยตรง ผู้ใช้สามารถเข้าสู่ระบบได้โดยใช้รหัสพินเท่านั้น ในขณะที่หากผู้ใช้ไม่ได้ชื่อมต่อโดยตรงกับเครือข่าย อาจจำเป็นต้องป้อนรหัสจากซอฟต์โทเค็นเช่นกัน นี่อาจถูกมองว่าเป็นมาตรฐานที่ยอมรับได้ในการควบคุมการเข้าถึงสำนักงาน

ระบบควบคุมผ่านเครือข่ายก็ทำงานในลักษณะเดียวกัน โดยที่ระดับการเข้าถึงเครือข่ายอาจขึ้นอยู่กับเครือข่ายเฉพาะที่อุปกรณ์เชื่อมต่ออยู่ เช่น Wi-Fi เทียบกับการเชื่อมต่อแบบมีสาย นอกจากนี้ยังช่วยให้ผู้ใช้สามารถย้ายระหว่างสำนักงานโดยได้รับการเข้าถึงเครือข่ายในระดับเดียวทุกที่

การยืนยันตัวตนผ่านโทรศัพท์มือถือ[แก้]

การยืนยันตัวตนสองขั้นตอนผ่านข้อความได้รับการพัฒนาขึ้นในปี 1996 เมื่อ AT&T เปิดตัวระบบสำหรับการยืนยันการทำธุรกรรมโดยผ่านการแลกเปลี่ยนรหัสผ่านเพจเจอร์สองทาง [7]

ผู้ให้บริการการยืนยันตัวตนลายขั้นตอนส่วนใหญ่มีการใช่การยืนยันตัวตนผ่านโทรศัพท์มือถือ รวมถึงการยันตัวตนแบบพุช การยันตัวตนโดยใช้รหัส QR การยันตัวตนด้วยรหัสผ่านแบบใช้ครั้งเดียว (ตามเหตุการณ์และตาม เวลา ) และการยืนยันผ่าน SMS การยืนยันทาง SMS มีปัญหาด้านความปลอดภัยหลายข้อ สามารถคัดลอกโทรศัพท์ได้ แอพสามารถทำงานบนโทรศัพท์หลายเครื่อง และเจ้าหน้าที่ดูแลโทรศัพท์มือถือสามารถอ่านข้อความ SMS ได้ อย่างน้อยที่สุด โทรศัพท์มือถือสามารถถูกบุกรุกได้โดยง่าย หมายความว่าโทรศัพท์ไม่ใช่สิ่งที่ผู้ใช้มีเท่านั้นอีกต่อไป

ข้อเสียเปรียบที่สำคัญของการพิสูจน์ตัวตนรวมถึงบางสิ่งที่ผู้ใช้มีคือผู้ใช้ต้องพกโทเค็น (แท่ง USB, บัตรธนาคาร, กุญแจหรือที่คล้ายกัน) ติดตัวตลอดเวลา การสูญหายและการโจรกรรมถือเป็นความเสี่ยง องค์กรหลายแห่งห้ามไม่ให้พกพา USB และอุปกรณ์อิเล็กทรอนิกส์เข้าหรือออกจากสถานที่เนื่องจากความเสี่ยงด้าน มัลแวร์ และการโจรกรรมข้อมูล และเครื่องที่สำคัญส่วนใหญ่จึงไม่มีพอร์ต USB ด้วยเหตุผลเดียวกัน โทเค็นทางกายภาพมักจะไม่ปรับปรุง โดยทั่วไปต้องใช้โทเค็นใหม่สำหรับแต่ละบัญชีและระบบใหม่ การจัดหาและการเปลี่ยนโทเค็นประเภทนี้จึงมีค่าใช่จ่าย นอกจากนี้ยังมีข้อขัดแย้งกันเองและการแลกเปลี่ยนที่หลีกเลี่ยงไม่ได้ระหว่างความสามารถในการใช้งานและความปลอดภัย [8]

การยืนยันตัวตนแบบสองขั้นตอนโดยใช้โทรศัพท์มือถือและสมาร์ทโฟนเป็นอีกทางเลือกหนึ่งสำหรับอุปกรณ์ทางกายภาพ ในการยืนยันตัวตน ผู้ใช้สามารถใช้รหัสการเข้าถึงส่วนบุคคลของตนกับอุปกรณ์ (นั่นคือรหัสที่ผู้ใช้แต่ละรายทราบเท่านั้น) บวกกับรหัสผ่านแบบที่ใช้ได้ครั้งเดียว ซึ่งโดยทั่วไปจะประกอบด้วยตัวเลข 4 ถึง 6 หลัก รหัสผ่านสามารถส่งไปยังอุปกรณ์เคลื่อนที่ได้ [1] ทาง SMS หรือสร้างโดยแอปสร้างรหัสผ่านแบบใช้ครั้งเดียว ในทั้งสองกรณี ข้อดีของการใช้โทรศัพท์มือถือคือไม่จำเป็นต้องมีโทเค็นเฉพาะเพิ่มเติม เนื่องจากผู้ใช้มักจะพกอุปกรณ์พกพาติดตัวตลอดเวลา

แม้ว่าการยืนยันตัวตนทาง SMS จะได้รับความนิยม แต่ผู้สนับสนุนด้านความปลอดภัยได้วิจารณ์การยืนยันตัวตนทาง SMS อย่างเปิดเผย และในเดือนกรกฎาคม 2559 ร่างหลักเกณฑ์ NIST ของสหรัฐอเมริกาได้เสนอให้เลิกใช้การยืนยันตัวตนในรูปแบบหนึ่ง [9] หนึ่งปีต่อมา NIST ได้ยืน SMS เป็นช่องทางการพิสูจน์ตัวตนที่ถูกต้องตามหลักเกณฑ์ที่สรุปแล้ว [10]

ในปี 2559 และ 2560 ตามลำดับ ทั้ง Google และ Apple เริ่มให้บริการการยืนยันตัวตนแบบสองขั้นตอนแก่ผู้ใช้ด้วยการ แจ้งเตือนแบบพุช [2] เป็นทางเลือกเพิ่มเติม [11] [12]

โทเค็นความปลอดภัยที่ส่งมอบผ่านมือถือนั้นขึ้นอยู่กับความปลอดภัยในการดำเนินงานของผู้ให้บริการมือถือทั้งหมด และสามารถถูกละเมิดได้ง่ายโดยการดักฟังโทรศัพท์หรือการ โคลนซิม โดยหน่วยงานความมั่นคงแห่งชาติ [13]

ข้อดี:

  • ไม่จำเป็นต้องใช้โทเค็นเพิ่มเติมเนื่องจากใช้อุปกรณ์พกพาที่ (ปกติ) พกติดตัวตลอดเวลา
  • เนื่องจากมีการเปลี่ยนแปลงอยู่ตลอดเวลา รหัสผ่านที่สร้างขึ้นแบบนี้จึงปลอดภัยกว่าการใช้ข้อมูลการเข้าสู่ระบบแบบตายตัว
  • รหัสผ่านที่ใช้จะถูกแทนที่โดยอัตโนมัติ ทั้งนี้ขึ้นอยู่กับวิธีแก้ปัญหา เพื่อให้แน่ใจว่ารหัสที่ถูกต้องจะพร้อมใช้งานเสมอ ดังนั้นปัญหาการส่ง/รับจะไม่กระทบการเข้าสู่ระบบ

ข้อเสีย:

  • ผู้ใช้ยังคงไม่ระวังการฟิชชิ่ง ผู้โจมตีจึงสามารถส่งข้อความที่เชื่อมโยงไปยัง เว็บไซต์ปลอม ที่มีลักษณะเหมือนกับเว็บไซต์จริง จากนั้นผู้โจมตีจะได้รับรหัสยืนยันตัวตน ชื่อผู้ใช้ และรหัสผ่าน [14]
  • โทรศัพท์มือถือไม่สามารถใช้งานได้ตลอดเวลา—อาจสูญหาย ถูกขโมย แบตเตอรี่หมด หรือใช้งานไม่ได้
  • แม้จะได้รับความนิยมเพิ่มขึ้น ผู้ใช้บางรายอาจไม่ได้เป็นเจ้าของอุปกรณ์เคลื่อนที่ด้วยซ้ำ และไม่พอใจที่ต้องเป็นเจ้าของอุปกรณ์ดังกล่าวเป็นเงื่อนไขในการใช้บริการบางอย่างบนพีซีที่บ้าน
  • สัญญานมือถือไม่ได้คลอบคลุมทุกพื้นที่ พื้นที่ขนาดใหญ่ โดยเฉพาะนอกเมือง ขาดความครอบคลุม
  • การ โคลนซิม ช่วยให้แฮ็กเกอร์เข้าถึงการเชื่อมต่อโทรศัพท์มือถือได้ การโจมตี ทางจิตวิทยา ต่อบริษัทผู้ให้บริการมือถือส่งผลให้มีการส่งมอบซิมการ์ดที่ซ้ำกันให้กับอาชญากร [15]
  • การส่งข้อความไปยังโทรศัพท์มือถือโดยใช้ SMS นั้นไม่ปลอดภัยและอาจถูกขัดขวางโดย IMSI-catchers บุคคลที่สามสามารถขโมยและใช้โทเค็นได้ [16]
  • โดยทั่วไปการกู้คืนบัญชีจะข้ามการยืนยันตัวตนแบบสองปัจจัยของโทรศัพท์มือถือ [1]
  • สมาร์ทโฟนสมัยใหม่ใช้สำหรับรับอีเมลและ SMS ดังนั้นหากโทรศัพท์สูญหายหรือถูกขโมย และไม่ได้รับการป้องกันด้วยรหัสผ่านหรือไบโอเมตริกซ์ บัญชีทั้งหมดที่มีอีเมลเป็นกุญแจสำคัญอาจถูกแฮ็กได้ เนื่องจากโทรศัพท์สามารถถูกใช่สำหรับการยืนยันตัวตน
  • ผู้ให้บริการมือถืออาจเรียกเก็บค่าธรรมเนียมการส่งข้อความจากผู้ใช้

กฎหมายและข้อบังคับ[แก้]

มาตรฐานความปลอดภัยของPayment Card Industry (PCI) ข้อกำหนด 8.3 กำหนดให้ใช้ MFA สำหรับการเข้าถึงเครือข่ายระยะไกลทั้งหมดที่มาจากภายนอกไปยัง Card Data Environment (CDE) [17] ตั้งแต่ PCI-DSS เวอร์ชัน 3.2 จำเป็นต้องใช้ MFA สำหรับการเข้าถึง CDE ระดับผู้ดูแลระบบทั้งหมด แม้ว่าผู้ใช้จะอยู่ภายในเครือข่ายที่เชื่อถือได้ก็ตาม

สหภาพยุโรป[แก้]

คำสั่งบริการการชำระเงิน ฉบับที่สองกำหนดให้มี " การรับรองความถูกต้องของลูกค้าที่รัดกุม " สำหรับการชำระเงินทางอิเล็กทรอนิกส์ส่วนใหญ่ใน เขตเศรษฐกิจยุโรป ตั้งแต่วันที่ 14 กันยายน 2019 [18]

อินเดีย[แก้]

ในอินเดีย ธนาคารกลางอินเดีย ได้กำหนดให้มีการยืนยันตัวตนสองขั้นตอนสำหรับธุรกรรมออนไลน์ทั้งหมดที่ทำโดยใช้บัตรเดบิตหรือบัตรเครดิตโดยใช้รหัสผ่านหรือรหัสผ่านแบบใช้ครั้งเดียวที่ส่ง ทาง SMS ถูกถอนออกชั่วคราวในปี 2559 สำหรับการทำธุรกรรมที่มากกว่า ₹2,000 หลังจากการเลิก ใช้ธนบัตรในเดือนพฤศจิกายน 2559 ผู้ให้บริการเช่น Uber ได้รับคำสั่งจากธนาคารให้แก้ไขระบบการประมวลผลการชำระเงินของตนให้สอดคล้องกับการเปิดตัวการยืนยันตัวตนด้วยสองปัจจัยนี้ [19] [20] [21]

สหรัฐ[แก้]

รายละเอียดสำหรับการยืนยันตัวตนพนักงานและผู้ทำสัญญาของรัฐบาลกลางในสหรัฐอเมริกาถูกกำหนดไว้ใน Homeland Security Presidential Directive 12 (HSPD-12) [22]

วิธีการยืนยันตัวตนที่เกี่ยวกับ "ปัจจัย" พื้นฐานสามประเภทที่อธิบายไว้ วิธีการยืนยันตัวตนที่ขึ้นอยู่กับปัจจัยมากกว่าหนึ่งอย่างนั้นยากต่อการจัดการมากกว่าการยืนยันตัวตนใช้ปัจจัยเดียว[ต้องการอ้างอิง]

มาตรฐานการกำกับดูแลด้านไอทีสำหรับการเข้าถึงระบบของรัฐบาลกลางกำหนดให้ใช้การยืนยันตัวตนแบบหลายปัจจัยเพื่อเข้าถึงทรัพยากรด้านไอทีที่ละเอียดอ่อน เช่น เมื่อเข้าสู่ระบบอุปกรณ์เครือข่ายเพื่อทำงานด้านการดูแลระบบ [23] และเมื่อเข้าถึงคอมพิวเตอร์ใดๆ โดยใช้การเข้าสู่ระบบที่มีสิทธิพิเศษ [24]

NIST Special Publication 800-63-3 กล่าวถึงรูปแบบต่างๆ ของการยืนยันตัวตนด้วยสองปัจจัย และให้คำแนะนำเกี่ยวกับการใช้รูปแบบเหล่านี้ในกระบวนการทางธุรกิจที่ต้องการระดับความปลอดภัยที่แตกต่างกัน [25]

ในปี พ.ศ. 2548 สภาตรวจสอบสถาบันการเงินแห่ง สหรัฐอเมริกาได้ออกคำแนะนำสำหรับสถาบันการเงิน โดยแนะนำให้สถาบันการเงินดำเนินการประเมินตามความเสี่ยง ประเมินความตื่นตัวลูกค้า และระบบการรักษาความปลอดภัยเพื่อยืนยันตัวตนลูกค้าที่เข้าใช่ บริการทางการเงินออนไลน์ ทางไกลได้อย่างน่าเชื่อถือ แนะนำอย่างเป็นทางการให้ใช้การยืนยันตัวตนด้วยวิธีการที่ขึ้นอยู่กับปัจจัยมากกว่าหนึ่งปัจจัยอย่าง (โดยเฉพาะ สิ่งที่ผู้ใช้รู้ มี และสิ่งที่ผู้ใช้เป็น) เพื่อระบุตัวตนของผู้ใช้ [26] เนื่องจากความสับสนที่เกิดขึ้นและการนำวิธีการดังกล่าวไปใช้อย่างแพร่หลาย เมื่อวันที่ 15 สิงหาคม 2549 FFIEC ได้เออกกฏเกณฑ์เพิ่มเติม — ระบุว่าตามคำนิยามแล้ว ระบบการยืนยันตัวตนแบบหลายปัจจัย "จริง" ต้องใช้ปัจจัยที่แตกต่างกันของสามอุปกรณ์ในการยืนยันตัวตน ได้กำหนดไว้และไม่ใช่แค่ใช้หลายปัจจัยของอุปกรณ์เดียว [27]

ความปลอดภัย[แก้]

ตามที่ผู้เสนอ การยืนยันตัวตนแบบหลายปัจจัยสามารถลดอัตรา การโการปลอมตัวตน ทางออนไลน์และ การฉ้อโกง ทางออนไลน์อื่นๆ ได้อย่างมาก เนื่องจากรหัสผ่านของเหยื่อจะไม่เพียงพอที่จะให้ขโมยเข้าถึงข้อมูลของพวกเขาได้อย่างถาวรอีกต่อไป อย่างไรก็ตาม วิธียืนยันตัวตนแบบหลายปัจจัยยังคงมีความเสี่ยงต่อ ฟิชชิง [28] การโจมตีด้วย คนในเบราว์เซอร์ และ การโจมตีด้วยคนตรงกลาง [29] การยืนยันตัวตนด้วยสองปัจจัยในเว็บแอปพลิเคชันมีความอ่อนแอเป็นพิเศษต่อการโจมตีแบบฟิชชิ่ง โดยเฉพาะอย่างยิ่งใน SMS และอีเมล และเพื่อเป็นการตอบโต้ ผู้เชี่ยวชาญหลายคนจึงแนะนำให้ผู้ใช้อย่าเปิดเผยรหัสยืนยันของตนกับผู้ใด [30] และผู้ให้บริการหลายรายจะ มีคำแนะนำในอีเมลหรือ SMS [31]

การยืนยันตัวตนแบบหลายปัจจัยอาจไม่ได้ผล [32] ต่อภัยคุกคามสมัยใหม่ เช่น การสกิมมิ่งบัตร ATM ฟิชชิง และมัลแวร์ [33]

ในเดือนพฤษภาคม 2560 O2 Telefónica ผู้ให้บริการโทรศัพท์มือถือของเยอรมัน ยืนยันว่าอาชญากรไซเบอร์ใช้ประโยชน์จากช่องโหว่ SS7 เพื่อเลี่ยงการยืนยันตัวตนแบบสองขั้นตอนที่ใช้ SMS เพื่อถอนเงินโดยไม่ได้รับอนุญาตจากบัญชีธนาคารของผู้ใช้ อาชญากรได้ ปล่อยไวรัส ไปยังคอมพิวเตอร์ของเจ้าของบัญชีเป็นครั้งแรกเพื่อพยายามขโมยข้อมูลประจำตัวของบัญชีธนาคารและหมายเลขโทรศัพท์ของพวกเขา จากนั้นผู้โจมตีได้ซื้อการเข้าถึงผู้ให้บริการโทรคมนาคมปลอมและตั้งค่าการเปลี่ยนเส้นทางหมายเลขโทรศัพท์ของเหยื่อไปยังโทรศัพท์มือถือที่ควบคุมโดยพวกเขา สุดท้าย ผู้โจมตีได้เข้าสู่ระบบบัญชีธนาคารออนไลน์ของเหยื่อและขอให้ถอนเงินในบัญชีไปยังบัญชีที่อาชญากรเป็นเจ้าของ รหัสผ่าน SMS ถูกส่งไปยังหมายเลขโทรศัพท์ที่ควบคุมโดยผู้โจมตี และอาชญากรก็โอนเงินออกไป [34]

การดำเนินการ[แก้]

บริการการยืนยันตัวตนแบบหลายปัจจัยกำหนดให้ผู้ใช้ใช้ ไคลเอนต์ ซอฟต์แวร์ เพื่อให้ระบบการยืนยันตัวตนแบบหลายปัจจัยทำงานได้ ผู้ให้บริการบางรายได้สร้างแพ็คเกจแยกต่างหากสำหรับการเข้าสู่ระบบ เครือข่าย ข้อมูลรับรอง การเข้าถึง เว็บ และข้อมูล รับรอง การเชื่อมต่อ VPN สำหรับบริการดังกล่าว อาจมีแพ็คเกจ ซอฟต์แวร์ ที่แตกต่างกันสี่หรือห้าชุดเพื่อส่งไปยัง ไคลเอนต์ พีซีเพื่อใช้ โทเค็น หรือ สมาร์ทการ์ด สิ่งนี้แปลงเป็นสี่หรือห้าแพ็คเกจที่ต้องทำการควบคุมเวอร์ชัน และสี่หรือห้าแพ็คเกจเพื่อตรวจสอบความขัดแย้งกับแอปพลิเคชันทางธุรกิจ หากสามารถดำเนินการเข้าถึงได้โดยใช้ หน้าเว็บ เป็นไปได้ที่จะจำกัดค่าโที่ระบุไว้ข้างต้นสำหรับแอปพลิเคชันเดียว ด้วยเทคโนโลยีการยืนยันตัวตนแบบหลายปัจจัยอื่นๆ เช่น ผลิตภัณฑ์โทเค็นฮาร์ดแวร์ ผู้ใช้ปลายทางก็ไม่จำเป็นต้องติดตั้งซอฟต์แวร์

มีข้อเสียในการยืนยันตัวตนหลายปัจจัยที่ทำให้วิธีการต่างๆ แพร่หลาย ผู้ใช้บางรายมีปัญหาในการตามหาโทเค็นฮาร์ดแวร์หรือ USB ผู้ใช้จำนวนมากไม่มีทักษะทางเทคนิคที่จำเป็นในการติดตั้งซอฟต์แวร์ฝั่งผู้ใช้ด้วยตนเอง โดยทั่วไป การยืนยันตัวตนแบบหลายปัจจัยจำเป็นต้องมีการลงทุนเพิ่มเติมสำหรับการนำไปใช้งานและค่าใช้จ่ายในการบำรุงรักษา ระบบที่ใช้โทเค็นฮาร์ดแวร์ส่วนใหญ่เป็นกรรมสิทธิ์และผู้ขายบางรายเรียกเก็บค่าธรรมเนียมรายปีต่อผู้ใช้ การปรับใช้ โทเค็นของฮาร์ดแวร์ มีความท้าทายด้านลอจิสติกส์ โทเค็น ฮาร์ดแวร์อาจเสียหายหรือสูญหาย และการออก โทเค็น ในอุตสาหกรรมขนาดใหญ่ เช่น การธนาคาร หรือแม้แต่ภายในองค์กรขนาดใหญ่จำเป็นต้องได้รับการจัดการที่เหมาะสม นอกจากค่าใช้จ่ายในการนำมาใช้แล้ว การตรวจสอบสิทธิ์แบบหลายปัจจัยมักมีค่าใช้จ่ายเพิ่มเติมจำนวนมาก การสำรวจในปี 2551 [35] จาก สหภาพเครดิตกว่า 120 แห่งของสหรัฐ โดย Credit Union Journal รายงานเกี่ยวกับค่าใช้จ่ายในการสนับสนุนที่เกี่ยวข้องกับการยืนยันตัวตนสองปัจจัย ในรายงานของพวกเขา มีการรายงานว่าใบรับรองซอฟต์แวร์และแนวทางแถบเครื่องมือซอฟต์แวร์มีค่าใช้จ่ายสูงสุด

การวิจัยเกี่ยวกับการปรับใช้แผนการรับรองความถูกต้องหลายขั้นตอน [36] ได้แสดงให้เห็นว่าหนึ่งในองค์ประกอบที่มีแนวโน้มที่จะส่งผลกระทบต่อการยอมรับระบบดังกล่าวคือภาคธุรกิจขององค์กรที่ปรับใช้ระบบการพิสูจน์ตัวตนแบบหลายขั้นตอน ตัวอย่างที่อ้างถึง ได้แก่ รัฐบาลกลางของสหรัฐอเมริกา ซึ่งใช้ระบบที่ซับซ้อนของโทเค็นทางกายภาพ (ซึ่งได้รับการสนับสนุนโดย โครงสร้างพื้นฐานคีย์สาธารณะ ที่มีประสิทธิภาพ) เช่นเดียวกับธนาคารเอกชน ซึ่งมักจะใช่แบบการยืนยันตัวตนแบบหลายปัจจัยสำหรับลูกค้าที่เกี่ยวข้องกับการเข้าถึงได้มากกว่า วิธีการยืนยันตัวตนที่มีราคาไม่แพง เช่น แอปที่ติดตั้งบนสมาร์ทโฟนของลูกค้า แม้จะมีความหลากหลายที่มีอยู่ในระบบที่องค์กรอาจต้องเลือกใช้ แต่เมื่อมีการนำระบบการยืนยันหลายขั้นตอนมาใช้ภายในองค์กร ระบบก็มักจะยังคงอยู่ เนื่องจากผู้ใช้มักจะคุ้นเคยกับการมีอยู่และการใช้ระบบและยอมรับ เมื่อเวลาผ่านไปเป็นองค์ประกอบปกติของกระบวนการโต้ตอบรายวันกับระบบข้อมูลที่เกี่ยวข้อง

ในขณะที่มีการรับรู้ว่าการยืนยันตัวตนด้วยหลายปัจจัยนั้นอยู่ในขอบเขตของการรักษาความปลอดภัยที่สมบูรณ์แบบ Roger Grimes เขียนว่า [37] ว่าหากไม่ได้รับการติดตั้งและตั้งค่าอย่างเหมาะสม ความจริงแล้วการยืนยันตัวตนด้วยหลายปัจจัยสามารถถูกทำลายอย่างง่ายดาย

สิทธิบัตร[แก้]

ในปี 2556 Kim Dotcom อ้างว่าได้คิดค้นการรับรองความถูกต้องด้วยสองขั้นตอนในสิทธิบัตรปี 2543 และขู่ว่าจะฟ้องร้องผู้ให้บริการรายใหญ่ทั้งหมด อย่างไรก็ตาม สำนักงานสิทธิบัตรแห่งยุโรปได้เพิกถอนสิทธิบัตรของเขา [38] เนื่องจากสิทธิบัตรของสหรัฐที่ถือโดยเอทีแอนด์ทีเมื่อปี 2541

สิ่งที่เกี่ยวข้อง[แก้]

  • การรับรองความถูกต้องทางอิเล็กทรอนิกส์
  • การจัดการข้อมูลประจำตัว
  • การอนุญาตหลายฝ่าย
  • การรับรองความถูกต้องร่วมกัน
  • การรับรองความถูกต้องพึ่งพา
  • การรับรองความถูกต้องที่แข็งแกร่ง
  • ปัจจัยที่ 2 สากล

อ้างอิง[แก้]

  1. 1.0 1.1 1.2 "Two-factor authentication: What you need to know (FAQ) – CNET". CNET. สืบค้นเมื่อ 2015-10-31.
  2. 2.0 2.1 2.2 Jacomme, Charlie; Kremer, Steve (February 1, 2021). "An Extensive Formal Analysis of Multi-factor Authentication Protocols". ACM Transactions on Privacy and Security (ภาษาอังกฤษ). New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566.
  3. kaitlin.boeckl@nist.gov (2016-06-28). "Back to basics: Multi-factor authentication (MFA)". NIST (ภาษาอังกฤษ). คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2021-04-06. สืบค้นเมื่อ 2021-04-06.
  4. "Configuring One-Time Passwords". www.sonicwall.com. Sonic Wall. สืบค้นเมื่อ 19 January 2022.
  5. 5.0 5.1 van Tilborg, Henk C.A.; Jajodia, Sushil, บ.ก. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN 9781441959058.
  6. Cao, Liling; Ge, Wancheng (2015-03-10). "Analysis and improvement of a multi-factor biometric authentication scheme: Analysis and improvement of a MFBA scheme". Security and Communication Networks (ภาษาอังกฤษ). 8 (4): 617–625. doi:10.1002/sec.1010.
  7. "Does Kim Dotcom have original 'two-factor' login patent?". the Guardian (ภาษาอังกฤษ). 2013-05-23. สืบค้นเมื่อ 2022-11-02.
  8. Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. สืบค้นเมื่อ 2018-03-23.
  9. "NIST is No Longer Recommending Two-Factor Authentication Using SMS". Schneier on Security. August 3, 2016. สืบค้นเมื่อ November 30, 2017.
  10. "Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA"". July 6, 2017. สืบค้นเมื่อ May 21, 2019.
  11. Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. ZD Net. สืบค้นเมื่อ 11 September 2017.
  12. Chance Miller (2017-02-25). "Apple prompting iOS 10.3". 9to5 Mac. 9to5 Mac. สืบค้นเมื่อ 11 September 2017.
  13. "How Russia Works on Intercepting Messaging Apps – bellingcat". bellingcat (ภาษาอังกฤษแบบอเมริกัน). 2016-04-30. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2016-04-30. สืบค้นเมื่อ 2016-04-30.
  14. Kan, Michael (7 March 2019). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Mag. สืบค้นเมื่อ 9 September 2019.
  15. Nichols, Shaun (10 July 2017). "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'". The Register. สืบค้นเมื่อ 2017-07-11.
  16. Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 IEEE Symposium on Computers and Communications. pp. 700–705. arXiv:1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4.
  17. "Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. สืบค้นเมื่อ 2016-07-25.
  18. Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (ภาษาอังกฤษ), 2018-03-13, สืบค้นเมื่อ 2021-04-06
  19. Agarwal, Surabhi (7 December 2016). "Payment firms applaud RBI's move to waive off two-factor authentication for small value transactions". The Economic Times. สืบค้นเมื่อ 28 June 2020.
  20. Nair, Vishwanath (6 December 2016). "RBI eases two-factor authentication for online card transactions up to Rs2,000". Livemint (ภาษาอังกฤษ). สืบค้นเมื่อ 28 June 2020.
  21. "Uber now complies with India's two-factor authentication requirement, calls it unnecessary and burdensome". VentureBeat (ภาษาอังกฤษแบบอเมริกัน). 2014-11-30. สืบค้นเมื่อ 2021-09-05.
  22. "Homeland Security Presidential Directive 12". Department of Homeland Security. August 1, 2008. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ September 16, 2012.
  23. "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
  24. "SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges". คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-01-28. สืบค้นเมื่อ 2013-02-11.
  25. "Digital Identity Guidelines". NIST Special Publication 800-63-3. NIST. June 22, 2017. สืบค้นเมื่อ February 2, 2018.
  26. "FFIEC Press Release". 2005-10-12. สืบค้นเมื่อ 2011-05-13.
  27. FFIEC (2006-08-15). "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (PDF). สืบค้นเมื่อ 2012-01-14.
  28. Brian Krebs (July 10, 2006). "Security Fix – Citibank Phish Spoofs 2-Factor Authentication". Washington Post. สืบค้นเมื่อ 20 September 2016.
  29. Bruce Schneier (March 2005). "The Failure of Two-Factor Authentication". Schneier on Security. สืบค้นเมื่อ 20 September 2016.
  30. Alex Perekalin (May 2018). "Why you shouldn't ever send verification codes to anyone". Kaspersky. สืบค้นเมื่อ 17 October 2020.
  31. Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication" (PDF). Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. สืบค้นเมื่อ 17 October 2020.
  32. Shankland, Stephen. "Two-factor authentication? Not as secure as you'd expect when logging into email or your bank". CNET (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-09-27.
  33. "The Failure of Two-Factor Authentication – Schneier on Security". schneier.com. สืบค้นเมื่อ 23 October 2015.
  34. Khandelwal, Swati. "Real-World SS7 Attack – Hackers Are Stealing Money From Bank Accounts". The Hacker News (ภาษาอังกฤษแบบอเมริกัน). สืบค้นเมื่อ 2017-05-05.
  35. "Study Sheds New Light On Costs, Effects Of Multi-Factor". 4 April 2008.
  36. Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "Influences on the Adoption of Multifactor Authentication" (ภาษาอังกฤษ).
  37. "Hacking Multifactor Authentication | Wiley". Wiley.com (ภาษาอังกฤษ). สืบค้นเมื่อ 2020-12-17.{{cite web}}: CS1 maint: url-status (ลิงก์)
  38. Brodkin, Jon (23 May 2013). "Kim Dotcom claims he invented two-factor authentication—but he wasn't first". Ars Technica. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 9 July 2019. สืบค้นเมื่อ 25 July 2019.

อ่านเพิ่มเติม[แก้]

 

External links[แก้]

เข้าถึงจาก "https://th.wikipedia.org/w/index.php?title=ผู้ใช้:Panjapol2846/การยืนยันตัวตนหลายขั้นตอน&oldid=10436916"