ยืนยันตัวตนผ่าน Authenticator คืออะไร? ปลอดภัยมากน้อยแค่ไหน?
ไทย
ในปัจจุบัน มีข้อมูลมากมายจากหลายฝ่ายอยู่ในแพลตฟอร์มออนไลน์ต่างๆ ตั้งแต่ข้อมูลส่วนตัว ข้อมูลทางธุรกิจ ไปจนถึงข้อมูลที่มีความอ่อนไหว และแน่นอนว่าความเสี่ยงที่ข้อมูลจะรั่วไหลหรือถูกล้วงข้อมูล (Hacking) ก็เป็นอีกหนึ่งเรื่องที่สามารถเกิดขึ้นได้ทุกที่ทุกเวลา ทุกวันนี้เครื่องมือการพิสูจน์ตัวตน หรือ Authenticator จึงได้ถูกพัฒนาขึ้นมา เพื่อยกระดับความปลอดภัยในโลกดิจิทัลนั่นเอง
ดังนั้น วันนี้เรา จะมาพูดถึงการพิสูจน์ตัวตน (Authentication) พร้อมบอกให้รู้กันว่า Authenticator คืออะไร? การยืนยันตัวตนมีกี่รูปแบบ? และกล่าวถึงความสำคัญที่ Authenticator มีต่อทั้งธุรกิจและผู้บริโภคในยุคนี้
การพิสูจน์ตัวตน (Authentication) คืออะไร
Authentication คือ กระบวนการยืนยันตัวบุคคล ว่าผู้เข้ารหัสหรือผู้ใช้บริการนั้นเป็น “ตัวจริง” โดยมีการอ้างอิงจากหลักฐานที่นำมาประกอบว่าเป็นบุคคลที่ได้ระบุไว้จริงๆ ยกตัวอย่างให้เห็นภาพ อย่างกรณีที่เรากำลังจะซื้อของผ่านเว็บอีคอมเมิร์ซและต้องการใช้บัตรเครดิต ตัวแอปฯ จะให้กรอกเลขบัตรและรหัส CVC ที่อยู่ด้านหลังบัตร เพื่อยืนยันว่าผู้ใช้บริการมีบัตรดังกล่าวจริงๆ จากนั้นอาจจะมีการรีเควสให้เราใส่ OTP (One-Time Password) ซึ่งธนาคารจะส่งมาให้ผ่าน SMS ตามเบอร์โทรศัพท์ที่เราระบุไว้ เพื่อให้มั่นใจว่าไม่ได้มีใครสวมรอยมาใช้บัตรเครดิตของเรานั่นเอง
จะเห็นได้ว่าการพิสูจน์ตัวตนเป็นอะไรที่หลายคนคุ้นชินและเคยทำมาแล้วหลายครั้ง ถึงอย่างนั้น ผู้เขียนจึงขออธิบายว่าแต่ละขั้นตอนมีชื่อเรียกว่าอะไรบ้าง
Identification – การระบุตัวตนหรือแสดงตัวตนว่าเป็นใคร อย่างการใส่ Username และ Password หรือ PIN ซึ่งในตัวอย่างข้างต้น ก็คือการกรอกเลขบัตรและรหัส CVC
Authentication – พอแสดงตัวตนแล้วว่าผู้ใช้บริการเป็นใคร ก็จะมีการตรวจสอบหลักฐานตามมา เพื่อพิสูจน์ตัวตนว่าเป็นบุคคลที่กล่าวอ้างจริงไหม เช่น การใช้ OTP ในตัวอย่างข้างต้น การใช้อัตลักษณ์ของบุคคล บัตรประชาชน ฯลฯ
แล้ว Authenticator คืออะไรกันแน่?
พอได้ทราบกันไปแบบเบื้องต้นแล้วว่าการพิสูจน์ตัวตนเป็นกระบวนการแบบไหน เชื่อว่าคุณผู้อ่านคงพอรู้แล้วว่า Authenticator คืออะไรกันแน่ ซึ่ง “Authenticator” แปลได้ตรงตัวก็คือ “เครื่องมือพิสูจน์ตัวตน” โดยอาจจะมาในรูปแบบซอฟต์แวร์หรือระบบที่ใช้ในธุรกิจที่มีการทำธุรกรรมออนไลน์ หรือเป็นแอปพลิเคชัน Software Tokens เช่น Google Authenticator หรือ Authy เป็นต้น ไปจนถึงอุปกรณ์เข้ารหัสที่เรียกว่า Hardware Token ที่อาจจะเป็น USB Drive
ที่สำคัญคือเครื่องมือหรือซอฟต์แวร์ Authenticator จะอาศัย “ปัจจัย” หรือ “Authentication Factor” รูปแบบต่างๆ เพื่อยืนยันตัวตนของผู้ใช้บริการ ซึ่งมี 3 รูปแบบที่นิยมใช้กัน ได้แก่
Knowledge Factor: Password, PIN (Personal Identification Number) หรือ Shared Secret (รหัสหรือข้อความที่กำหนดให้ใช้ร่วมกัน)
Possession Factor: สิ่งของที่ตัวผู้ใช้งานมี อย่างเช่น เลขที่บัตร เบอร์โทรศัพท์ หรือรหัสที่แอปพลิเคชันสร้างมาให้เราเป็นครั้งๆ
Inherence Factor: ปัจจัยนี้หมายถึงข้อมูลทางชีวมิติ (Biometric) อาทิ ลายนิ้วมือ ใบหน้า ม่านตา หรือแม้กระทั่งเสียง
นอกจากปัจจัยที่ได้รับความนิยมเหล่านี้แล้ว ยังมีอีก 2 ปัจจัยที่ Authenticator สามารถใช้ในการพิสูจน์ตัวตนผู้ใช้บริการ คือ
Location Factor: เป็นการใช้ข้อมูลตำแหน่งที่กำลังทำการ Login เข้าใช้บริการ โดยอาจจะอาศัย Location Tracking จากอุปกรณ์ ซึ่งอาจใช้ GPS หรือ IP Address ในการระบุตำแหน่งก็ได้
Time Factor: การกำหนดช่วงเวลาในการ Login เช่น สามารถเข้ารหัสได้ในช่วงเวลาไหน และช่วงเวลาไหนไม่สามารถเข้ามาได้
Two-Factor Authentication พิสูจน์ตัวตนด้วยอะไร?
คำว่า Two-Factor Authentication (2FA) หรือที่หลายคนคุ้นหูกับคำว่า “การยืนยันตัวตนแบบ 2 ชั้น” ก็เป็นการพิสูจน์ตัวตนรูปแบบหนึ่งที่ใช้ปัจจัย 2 รูปแบบ หรือ 2 ขั้นตอน เพื่อยืนยันตัวตนของผู้ใช้บริการ ซึ่งถูกจัดให้เป็นหนึ่งในรูปแบบของ Multi-Factor Authentication (MFA) นั่นเอง
ส่วนใหญ่แล้ว 2FA ที่นิยมใช้ในประเทศไทย มักจะเป็นการจับคู่ Knowledge Factor และ Possession Factor เป็นสองขั้นตอน อย่างการเข้ารหัสผ่านหรือกรอกหมายเลข PIN จากนั้นก็จะมี SMS ส่งมาที่เบอร์โทรศัพท์ เพื่อให้เรากรอกยืนยันอีกรอบ ก่อนที่เราจะสามารถเข้าใช้บริการหรือทำธุรกรรมออนไลน์ได้ ในขณะที่ MFA นั้นอาจจะมีการใช้งานทั้ง 2 รูปแบบหรือใช้ปัจจัยอื่นๆ ร่วมด้วยก็ได้เช่นกัน ขึ้นอยู่กับการออกแบบระบบของผู้ให้บริการว่าสามารถรองรับวิธีการไหนได้บ้าง
การใช้ Authenticator สำคัญอย่างไร?
ถ้าให้เปรียบเทียบว่าข้อมูล (Data) ของเราบนโลกออนไลน์เป็นบ้านหลังหนึ่ง Authenticator ก็คือแม่กุญแจที่จะทำการล็อกข้อมูลเหล่านั้น เพื่อไม่ให้ตกไปในมือของผู้ไม่หวังดีหรือแฮ็กเกอร์ (Hacker) ที่ต้องการขโมยข้อมูลของเราเพื่อผลประโยชน์ทางการเงิน ซึ่งถือว่ามีความสำคัญต่อทั้งธุรกิจและผู้บริโภค ธุรกิจหรือผู้ประกอบการที่มีการทำธุรกรรมทางการเงิน อาทิ ธนาคาร ผู้ให้บริการ e-Wallet และ e-Payment ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล บริษัทซื้อขายหลักทรัพย์ หรือบริษัทประกันชีวิตและประกันวินาศภัย ล้วนต้องทำการยืนยันตัวตนของผู้เข้าใช้บริการก่อนเสมอ เพื่อให้มั่นใจได้ว่าผู้ใช้บริการดังกล่าวไม่ได้เป็นผู้ที่เข้าข่ายทุจริต ฉ้อโกง หรือเป็นผู้อื่นมาสวมรอย ทั้งนี้ก็เพื่อรักษาความปลอดภัยในการทำธุรกรรม รักษาผลประโยชน์ของธุรกิจ และป้องกันข้อมูลของฐานลูกค้าไม่ให้ถูกขโมยออกไป เป็นการสร้างความมั่นใจแก่ลูกค้า นอกจากนี้ Authenticator ยังสามารถนำมาใช้ภายในองค์กรได้อีกด้วย
ในมุมของผู้บริโภคหรือผู้ใช้บริการ แน่นอนว่า Authenticator คือแม่กุญแจที่จะล็อกบ้าน (ข้อมูล) ของเราไว้ไม่ให้ใครเข้ามาขโมยของออกไปได้ ซึ่งปัจจุบัน ทุกคนล้วนใช้งานแอปพลิเคชันที่หลากหลายในชีวิตประจำวัน ไม่ว่าจะเป็น Facebook, Instagram, LINE, Shoppee, Lazada หรืออื่นๆ ซึ่งหากไม่ได้ใส่รหัสเอาไว้ หรือมีรหัสเพียงชั้นเดียว ก็มีความเสี่ยงสูงที่จะถูกแฮ็ก ไม่ว่าจะเป็นการ Phishing หรือการแฮ็กผ่านบัญชีร่วมต่างๆ ซึ่งการเปิดใช้งาน Authenticator โดยเฉพาะในรูปแบบ Two-Factor Authentication จึงเป็นหนทางที่สามารถเพิ่มความปลอดภัยได้อย่างมาก
จบกันไปแล้วกับคำถามที่ว่า “ยืนยันตัวตนผ่าน Authenticator คืออะไร?” ที่เรียกได้ว่าเป็นอีกหนึ่งมาตรการความปลอดภัยที่ขาดไปไม่ได้ในยุคดิจิทัล
สำหรับผู้ประกอบการ บริษัท องค์กรที่ประกอบธุรกิจเกี่ยวกับการเงิน หรือการทำธุรกรรมออนไลน์ที่ต้องการโซลูชันในการพิสูจน์ตัวตนหรือ ทำความรู้จักลูกค้า
Can Google Authenticator be used on multiple devices?
สามารถใช้กับอุปกรณ์หลายเครื่องได้หรือไม่?
Google Authenticator is designed to be used on a single device at a time. However, you can set up Google Authenticator on multiple devices by scanning the same QR code or entering the same secret key during the initial setup process. This allows you to generate the same codes on multiple devices for added convenience and security. Keep in mind that if you do this, you should ensure that all the devices are kept secure to prevent unauthorized access to your accounts.
Google Authenticator ได้รับการออกแบบมาให้ใช้กับอุปกรณ์เครื่องเดียวในแต่ละครั้ง อย่างไรก็ตาม คุณสามารถตั้งค่า Google Authenticator บนอุปกรณ์หลายเครื่องได้โดยการสแกนโค้ด QR เดียวกันหรือป้อนรหัสลับเดียวกันในระหว่างขั้นตอนการตั้งค่าเริ่มต้น สิ่งนี้ช่วยให้คุณสร้างรหัสเดียวกันบนอุปกรณ์หลายเครื่องเพื่อเพิ่มความสะดวกและความปลอดภัย โปรดทราบว่าหากคุณทำเช่นนี้ คุณควรตรวจสอบให้แน่ใจว่าอุปกรณ์ทั้งหมดได้รับการรักษาความปลอดภัยเพื่อป้องกันการเข้าถึงบัญชีของคุณโดยไม่ได้รับอนุญาต
Yes, you can use Google Authenticator on multiple devices.
You can either register each as a separate authentication mechanism (depending on which service you're using an authenticator to access), or you can sync it so you get the same codes on either phone.
The former is trivial. To do the latter, you'll have to delete the existing 2fa entry if you already set it up once. Now, have both phones and when you get to the QR code part of initialization, scan it with both phones before you enter the code.
The seed is provided by the server, so now both devices will provide the same numbers at any time. Enjoy.
