EP2 การยืนยันตัวตนก่อนเข้าใช้งานระบบสำคัญ
หลักการยืนยันตัวตนประกอบไปด้วย 5 ส่วนสำคัญ คือ identification, authentication, authorization, auditing, and accounting.
1) Identification
คือ การระบุตัวตน เป็นจุดเริ่มต้นของการยืนยันตัวตน เช่น การใช้ username หรือ account ที่ไม่ซ้ำกับผู้อื่น เนื่องจาก account ที่เหมือนกันจะทำให้ไม่สามารถใช้ในการยืนยันตัวตนได้
2) Authentication
คือการยืนยันตัวตนว่าเป็นบุคคลนั้นจริงๆ เช่นการใช้ password , PIN, หรือ ID code เป็นต้น (ซึ่งจะต้องเก็บไว้เป็นความลับ เพื่อป้องกันการถูกสวมรอยโดยผู้ไม่ประสงค์ดี) โดยวิธีการ (method) ในการยืนยันตัวตนจะมีอยู่ด้วยกัน 2 ประเภทหลักๆ คือ single-factor authentication (SFA) และ multi-factor authentication (MFA)
Single-factor authentication (SFA) คือ การยืนยันตัวตนเพียงวิธีเดียว เช่น การยืนยันตัวตนด้วย password โดยส่วนใหญ่ ณ ปัจจุบันถือว่ามีความเสี่ยงสูง ถ้าเป็น password ที่สามารถคาดเดาง่าย, ไม่มีความซับซ้อน, ไม่เคยเปลี่ยน password เลย, หรือใช้ password เดียวกันในทุกๆ account
ตัวอย่างวิธีการการตรวจสอบว่า password ของ email ที่ใช้อยู่ ณ ปัจจุบันถูกขโมย หรือหลุดไปบนโลก internet แล้วหรือยัง สามารถตรวจสอบได้ที่
ตัวอย่างการตรวจสอบ password email รั่วไหล
วิธีการตั้ง password ให้ปลอดภัย เช่น
- ●ตั้งโดยให้มีความยาวตัวอักษรตั้งแต่ 12-16 ตัวอักษรเป็นต้นไป
- ●ต้องประกอบไปด้วย ตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข, และอักขระพิเศษ
- ●ไม่ใช้ข้อมูลส่วนตัว เช่น วันเกิด
- ●ไม่ใช้คำศัพท์จากพจนานุกรม และ password ที่ถูกจัดอันดับยอดแย่ เช่น password, P@ssw0rd
- ●อย่าใช้ password ซ้ำ
- ●ไม่ใช้ password เดียวกันทุกๆ account
- ●อย่าบอก password ให้ผู้อื่นรู้
- ●ไม่จด password ใส่ post it, notepad, excel, หรืออื่นๆ
วิธีการอื่นๆ ที่สามารถเพิ่มความปลอดภัยกับ password ของเราได้ เช่น
- ●ใช้งาน program password safe สำหรับจัดเก็บ password เช่น KeePass
- ●ไม่ login account บนอุปกรณ์ที่ไม่ใช่ของตนเอง
- ●ไม่ใช้ wifi สาธาณะ เช่น wifi จากโรงแรม
- ●ติดตั้ง next generation antivirus เพื่อตรวจจับโปรแกรมไม่พึงประสงค์ที่จะขโมย password ของเรา
- ●ยืนยันตัวตนด้วย 2FA
Multi-factor authentication (MFA) คือการยืนยันตัวตนด้วย Factor ที่ 2 เป็นต้นไป เช่น การใช้ password และตามด้วย one time password (OTP) อีกครั้ง จะทำให้การยืนยันตัวตนมีความปลอดภัยสูงขึ้น เพราะถ้าผู้ไม่ประสงค์ดีจะทำการแอบอ้างตัวตนเพื่อสวมรอย จะต้องขโมย password, และ otp ทั้ง 2 อย่างพร้อมกัน
การยืนยันตัวตนด้วย Factor ที่ 2 มีได้หลายรูปแบบ เช่น
- ●Something you know : ได้แก่ การใช้ passwords, หรือ paraphrases เป็นต้น
- ●Something you have : ได้แก่ การใช้ tokens, หรือ memory cards, หรือ smart cards เป็นต้น
- ●Something you are : ได้แก่ การใช้ Biometrics เป็นต้น
3) Authorization
คือ การอนุญาตการเข้าถึงระบบ, ข้อมูล, หรือทรัพยากรต่างๆ เท่าที่จำเป็น เช่น สามารถเข้าถึงไฟล์เพื่ออ่าน แต่ไม่สามารถลบไฟล์ได้ เป็นต้น
4) Auditing
คือ การจัดเก็บ log หรือเหตุการณ์ต่างๆ เพื่อทำให้สามารถตรวจสอบพฤติกรรมที่ต้องสงสัย หรือ ผิดปกติย้อนหลังได้
5) Accounting (Accountability)
คือ การรับผิดชอบต่อการกระทำของตน โดยการตรวจสอบ log (review) จากขั้นตอน auditing เพื่อตรวจสอบการปฏิบัติตามและการละเมิดนโยบายความปลอดภัยขององค์กร
การยืนยันตัวตนนั้นมีความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์มาก ในกรณีที่การยืนยันตัวตนล้มเหลว เช่น ผู้ไม่ประสงค์ดีสามารถขโมย password และนำมาใช้ในการ login ได้ จะทำให้ผู้ไม่ประสงค์ดีสามารถทำการเข้าถึงข้อมูลที่ไม่ควรเข้าถึงได้ (confidentiality ล้มเหลว) ทำการแก้ไข หรือเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต (integrity ล้มเหลว) ส่งผลทำให้ข้อมูลไม่สามารถนำมาใช้งานจริงได้เมื่อต้องการ (availability ล้มเหลว)
เพราะฉะนั้นสิ่งที่สำคัญ คือการรักษาความปลอดภัยในการยืนยันตัวตนทุกๆขั้นตอน และหมั่นตรวจสอบข้อมูล password รั่วไหล เป็นต้น
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
