ในโลกดิจิทัล… ความเป็นเจ้าของ และ สิทธิ์ต่างๆ มักจะถูกออกแบบให้ยืนยันด้วยรหัสสารพัดรูปแบบ ซึ่งแต่ละแบบก็มีจุดแข็งจุดอ่อน และเชื่อถือเรื่องความปลอดภัยได้ระดับหนึ่ง… ไม่ต่างจากระบบล็อคประตูบ้านหรือประตูรถยนต์ ซึ่งระบบเข้ารหัสที่สร้างใช้เพื่อแยกแยะ และ ยืนยันสิทธิ์ในระบบดิจิทัลเอง ก็ถูกออกแบบให้สามารถปิดกั้นการบุกรุกจากคนที่ไม่มีสิทธิ์ หรือ ไม่มีรหัสเปิดเข้าไปใช้งานระบบเช่นกัน… แต่ถ้ามีรหัสเปิดเข้าไปได้ หรือ แม้แต่บุกรุกเข้าไปได้… ระบบดิจิทัลก็มักจะ “มีอะไรเสียหาย” ไม่ต่างจากประตูบ้านถูกงัดเข้าไป หรือ ประตูรถยนต์ถูกไขด้วยกุญแจผีเข้าไปเหมือนกัน
ในโลกดิจิทัล… การพัฒนากลไกความปลอดภัยผ่านการตรวจสอบสิทธิ์ หรือ Authentication แบบต่างๆ จึงยังสำคัญที่จะต้องพัฒนาต่อไป… เพื่อให้เจ้าของสิทธิ์สะดวกใช้งาน โดยยังป้องกันการบุกรุกได้อย่างยอดเยี่ยม… เหมือนประตูบ้าน หรือ ประตูรถยนต์ที่เจ้าของต้องเปิดเข้าออกสะดวก แต่ป้องกันคนอื่นที่ไม่มีกุญแจได้อย่างมั่นใจ
ประเด็นเป็นแบบนี้ครับ… โลกดิจิทัลในปัจจุบันมีข้อมูลสำคัญมากมายของแต่ละคน ตั้งแต่รูปส่วนตัวไปจนถึงบัญชีธนาคาร ซึ่งถูกแยกแยะและปิดกั้นด้วยระบบเข้ารหัส ไม่ต่างจากประตูบานหนึ่งที่ปิดล็อคสมบัติส่วนตัวเอาไว้แค่อีกฟากหนึ่งโดยมีเพียงประตูบานเดียวกั้น… หรือที่ถูกคือ ปิดล็อคไว้ด้วย “เดือยล็อคประตู” ที่ออกแบบไว้ให้เปิดเข้าไปได้ไม่ยากเย็นจนเกินไป…
สิ่งที่สำคัญก็คือ… โลกดิจิทัลที่สร้างขึ้นเป็นแพลตฟอร์ม มักจะมี “ข้อมูลสำคัญของหลายๆ คน” กองรวมกันอยู่ โดยมีเพียงระบบเข้ารหัสของแพลตฟอร์มเท่านั้นที่ถูกสร้างไว้ให้ทำหน้าที่ “แยกแยะ หรือ ปิดกั้น” สิทธิ์ต่างๆ ในแพลตฟอร์มออกจากกัน… วิธีการยืนยันตัวตนเพื่อเข้าใช้ระบบ ซึ่งผู้ใช้มักจะเห็นเป็น “ระบบล็อคอิน หรือ Login System” ซึ่งก็คือการใส่ “รหัสเปิดเพื่อเข้าถึงข้อมูล และ สิทธิ์เฉพาะของตนบนแพลตฟอร์ม” โดยระบบจะตรวจสอบผ่านระบบล็อคอินว่า… ใช่คนที่แสดงตัวตน หรือ ยืนยันตัวตน ซึ่งโดยหลักการจะมีรูปแบบการตรวจสอบข้อมูลด้วยวิธีหลักๆ อยู่ 3 รูปแบบคือ
- Something You Know หรือ ตรวจสอบจากสิ่งที่ท่านรู้… เช่น รหัสผ่าน หรือ Password… คำถามลับและคำตอบเฉพาะที่เคยตั้งค่าไว้แบบรู้กันเฉพาะเจ้าตัวกับแพลตฟอร์ม เป็นต้น
- Something You Have หรือ ตรวจสอบจากสิ่งที่ท่านมี… เช่น ล็อคอินผ่านมือถือที่เคยใช้ประจำ รวมทั้งการใช้ Security Token ที่กำหนดขึ้นแบบต่างของแพลตฟอร์ม เป็นต้น
- Something You Are หรือ ตรวจสอบจากสิ่งที่เป็นท่าน… เช่น ล็อคอินด้วยน้ำเสียง… ลายนิ้วมือ… ใบหน้า หรือ ม่านตา เป็นต้น
นอกจากนั้นยังมีการใช้ 2FA หรือ 2-Factor Authentication เพื่อตรวจสอบ และ ยืนยันซ้ำ เช่น การใช้ SMS-OTP หรือ One-Time Password Over SMS รวมทั้งการใช้งานระบบ RSA Token ลิขสิทธิ์ของ RSA Security LLC ซึ่งจะสุ่มรหัส 6-8 หลักเปลี่ยนไปเรื่อยๆ ทุกนาที ซึ่งมีใช้ทั้งแบบ Software หรือ App และแบบ Hardware ครับ
แต่กลไกการตรวจสอบสิทธิ์ทุกรูปแบบต่างก็มีจุดเด่นจุดด้อยแทบจะไม่ต่างกัน การพัฒนาระบบตรวจสอบสิทธิ์ ในช่วงหลังจึงมุ่งพัฒนาให้… ผู้ใช้ หรือ เจ้าของสิทธิ์สะดวกสบายโดยไม่เสี่ยง โดยเฉพาะกรณีเจ้าตัวทำรหัสผ่านหาย หรือ ลืมเสียเอง… จนคนส่วนหนึ่งยอมตั้งรหัสผ่านที่คนทั้งโลกเดาได้ จนกลายเป็นหายนะลามไปไกลเกินจะคาดคิดก็มี
แพลตฟอร์มและระบบที่เข้มงวดเรื่อง การตรวจสอบสิทธิ์ หรือ Authentication ส่วนใหญ่จึงมักจะใช้งานรูปแบบการตรวจสอบสิทธิ์ผสมกัน และ เน้นใช้งานรูปแบบที่ 3 หรือ Something You Are โดยมี Biometric Authentication หรือ การยืนยันสิทธิ์ด้วยข้อมูลทางชีวภาพส่วนบุคคล เป็นรูปแบบหลัก… จะได้ไม่หายและไม่ลืมเป็นอันดับแรก
สิ่งที่น่าสนใจก็คือ… ข้อมูลทางชีวภาพส่วนบุคคลเช่น ลายนิ้วมือ น้ำเสียง ใบหน้า หรือ ม่านตา… แม้จะปลอดภัยสูง ปลอมยาก และ ใช้สะดวกสบาย… ซึ่งก็สามารถใช้ยืนยันตัวตน และ ปกป้องสิทธิ์ได้ค่อนข้างดี แต่ก็มีจุดอ่อนมากมายตั้งแต่เรื่องสยองขวัญเหมือนในหนัง ที่อาชญากรสามารถตัดนิ้ว หรือ ควักลูกตาไปเปิดตู้เซฟก็ยังได้… รวมทั้งจุดอ่อนแบบตลกร้าย แบบร้องคาราโอเกะเส้นเสียงแตกจนใช้เสียง Login อะไรไม่ได้… หรือกาวตราช้างหยดโดนนิ้วที่ต้องใช้ลายนิ้วมือ หรือ โดนคู่สมรสตบคางโย้ตาบวมจนถ่างไม่ขึ้น!!!
แต่ไม่ว่าจะอย่างไร… Biometric Authentication ถือเป็นกลไกหลักในการตรวจสอบสิทธิ์ และ ยืนยันตัวตนที่สำคัญ ซึ่งอีกด้านหนึ่งจะหมายถึง… ข้อมูล Biometric เป็นข้อมูลสำคัญที่ต้องระมัดระวัง และ ปกป้องให้มาก…
ส่วนฝั่งของแพลตฟอร์ม และ นักพัฒนาระบบ… ข้อมูล Biometric ของลูกค้า หรือ สมาชิกที่ระบบใช้ และ บันทึกไว้ใช้… ก็ต้องจัดการอย่างเหมาะสม ปลอดภัย และ ไม่ขัดกฏหมาย PDPA หรือ Personal Data Protection Act ทั้งของไทย และ ของสากล… รายละเอียดเพิ่มเติมสำหรับท่านที่กำลังออกแบบและพัฒนาแพลตฟอร์มที่จำเป็นต้องใช้ 2FA ขั้นสูง หรือ Biometric Authentication… ทักไลน์ส่วนตัวที่ ID: dr.thum ครับ!
References…