จับเข่ามานั่งเคลียร์: อันตรายของระบบสแกนลายนิ้วมือ รูม่านตา และใบหน้า คำตอบที่ดีสุดตอนนี้คือการยืนยันตัวตน 2+ ขั้นตอน ใช่หรือไม่?

รู้ได้อย่างไรว่าเว็บไซต์บริการ มีการยืนยันตัวตนแบบ 2 ขั้นตอน(2-step verification) ?

กระแสเทคโนโลยีช่วงนี้ถือว่าเป็นช่วงเปลี่ยนถ่ายของระบบการยืนยันตัวตน ที่เปลี่ยนจากการใส่รหัสผ่านมาเป็นการยืนยันตัวตนด้วยชีวมาตร(biometric) ได้แก่ การสแกนลายนิ้วมือ รูม่านตา และสแกนใบหน้า ที่แม้แต่รัฐบาลก็กำลังมีแนวคิดใช้ระบบนี้ในการลงทะเบียนซิมการ์ดและการใช้งานระบบธนาคารเพื่อทำธุรกรรมทางอิเล็กทรอนิกส์ แต่แทบทุกคนที่กำลังเห่อไปกับระบบใหม่นี้ยังไม่ตระหนักถึงอันตรายของมันที่จะตามมา นั่นคือ การที่เราอาจคิดง่าย ๆ ว่า ไม่มีใครลอกเลียนคุณลักษณะส่วนตัวนี้ของเราได้ แต่เราลืมไปว่าหากข้อมูลระบุตัวตนของเราชนิดนี้มันหายไป หรือหลุดไปอยู่ในมือคนอื่นได้ เราจะเปลี่ยนมันไม่ได้เหมือนรหัสผ่านนั่นเอง?

 touch-id

ข้อมูลหลุดที่ว่านั้น อาจหลุดในรูปแบบไฟล์อิเล็กทรอนิกส์ หรือไฟล์กายภาพ นั่นคือ การปลอมแปลงลายนิ้วมือและใบหน้า ที่ทำได้ง่ายจนเราไม่คาดคิด วันนี้ผมได้อ่านความคิดเห็นของผู้รู้ท่านหนึ่งพร้อมคลิปวิดีโอสาธิตการปลอมแปลงลายนิ้วมือ ทำให้รู้เลยว่า การยืนยันตัวตนด้วยชีวมาตร(biometric) นี่อันตรายจริง ๆ ครับ

 

โดย Thai Netizen Network

ข้อเสียของ Touch ID และการยืนยันตัวตนด้วยชีวมาตรหรือไบโอเมตริก (biometric) โดยทั่วไป ไม่ว่าจะเป็นลายนิ้วมือ ลายม่านตา รูปหน้า ก็คือ เราเปลี่ยนมันไม่ได้ มันจะติดตัวเราไปตลอด ฟังดูก็เหมือนจะดี ไม่ใช่หรือ ของที่ติดตัวเราและมีโอกาสที่จะซ้ำกับคนอื่นมีน้อยมาก … ก็น่าจะใช้ยืนยันตัวตนได้ดีสิ? ก็อาจจะใช่ แต่ไม่ใครรับประกันได้ ว่าข้อมูลชีวมาตรเหล่านี้จะหลุดรั่วไปตกอยู่ในมือใครบ้าง ไม่ว่าจะในรูปแบบอิเล็กทรอนิกส์ ในรูปแบบของรอยนิ้วมือจริงๆ ที่เราไปทิ้งไว้ตามที่ต่างๆ ในชีวิตประจำวัน (ถ้ามือมันหน่อย ก็เป็นรอยอยู่บนโทรศัพท์เราเองนี่แหละ) หรือกระทั่งถูกสร้างขึ้นมาใหม่จากรูปถ่ายความละเอียดสูงที่ถ่ายจากระยะไกลๆ ก็ได้ (เคยมีคนสาธิต สร้างลายนิ้วมือขึ้นมาใหม่ จากภาพถ่ายรัฐมนตรีกลาโหมเยอรมนีที่กำลังโบกมืออยู่)

 ถ้าข้อมูลชีวมาตรที่ถูกใช้ในการยืนยันตัวตนหลุดออกไป ก็แปลว่าจะมีคนอื่นมาทำทีเป็นตัวเราได้ แม้การใช้รหัสผ่านจะมีข้อเสีย เช่น ผู้ใช้ลืมรหัสผ่าน ผู้ใช้ตั้งรหัสผ่านง่ายเกินไป คอมพิวเตอร์เดารหัสผ่านได้เร็วขึ้น แต่ถ้าเรารู้เมื่อไรว่ามีการหลุดรั่วของฐานข้อมูลรหัสผ่าน เราสามารถเปลี่ยนมันได้  แต่ถ้าฐานข้อมูลลายนิ้วมือหลุด เราเปลี่ยนลายนิ้วมือของตัวเราไม่ได้

หลังจากกรณีการปลอมเอกสารเพื่อไปออกซิมโทรศัพท์ใหม่ เพื่อไปทำธุรกรรมทางการเงิน มีข่าวว่า ธนาคารแห่งประเทศไทย กสทช. และผู้ประกอบการกำลังพิจารณาร่วมกัน ถึงความเป็นไปได้ในการใช้ลายนิ้วมือมายืนยันการทำธุรกรรมทางอิเล็กทรอนิกส์ และจะให้ใช้ในการลงทะเบียนซิมด้วย ถ้าฐานข้อมูลลายนิ้วมือเหล่านี้หลุดออกมา จะเป็นอย่างไร?
559000008329104

 

วิดีโอนี้แสดงการทำปลายนิ้วมือปลอม เพื่อปลดล็อกโทรศัพท์ iPhone 5s อุปกรณ์ทุกอย่างที่ใช้ในวิดีโอนี้ สามารถหาซื้อได้ทั่วไปตามท้องตลาดในราคาไม่แพง (คลิปยาว 3 นาทีครึ่ง แสดงตั้งแต่การสแกนหน้าจอโทรศัพท์ เพื่อดึงเอารอยนิ้วมือที่เลอะอยู่บนจอออกมาด้วยสแกนเนอร์ธรรมดา ๆ จนถึงการสร้างปลายนิ้วมือปลอมด้วยกาวทาไม้)

 ดังนั้นส่วนตัวผมเชื่อว่าการยืนยันตัวตนแบบหลายขั้นตอนถือว่าปลอดภัยที่สุดในตอนนี้ ขั้นตอนแรกก็ใช้รหัสผ่าน ต่อมาก็ยืนยันด้วยรหัสชั่วคราวที่ส่งมาที่ SMS เป็นต้น ปัจจุบันมีเว็บไซต์และบริการมากมายเลือกวิธีการยืนยันตัวตนแบบ 2 ขั้นตอน(2-step verification) ทั้ง Facebook, hotmail, Gmail, OneDrive และอื่น ๆ แต่หลายคนยังไม่เคยเปิดใช้งานฟังก์ชันนี้เลย ซึ่งน่าเสียดายเป็นอย่างย่ิงครับ เพราะหากรหัสผ่านของเราหลุดไป มันอาจสร้างความเสียหายให้เราได้มากเกินที่เราจะคาดคิดก็เป็นได้ ขอแนะนำว่าหากบริการหรือเว็บไซต์ที่เราใช้งานอยู่มันมีระบบการยืนยันตัวตน 2 ขั้นตอน ก็เปิดใช้งานเลยครับ 
003

 แต่หากไม่แน่ใจว่าบริการหรือเว็บไซต์ที่เราใช้งานมันมีระบบนี้หรือไม่? และขี้เกียจไปค้นในเมนูการตั้งค่า เราก็สามารถเช็คได้ที่เว็บไซต์ https://twofactorauth.org ครับ เพียงเข้าไปแล้วก็กรอกชื่อเว็บไซต์ที่เราใช้งานอยู่ หรือค้นหาตามหมวดหมู่ต่าง ๆ ระบบก็จะแจ้งเราเลยครับว่าเว็บไซต์นั้นมีระบบการยืนยันตัวตน 2 ขั้นตอนหรือไม่? เมื่อค้นเจอแล้ว เราสามารถคลิกที่สัญลักษณ์ในคอลัมน์ Docs เพื่อเข้าไปดูวิธีการตั้งค่าเพื่อเปิดใช้งานระบบยืนยันตัวตนแบบ 2 ขั้นตอนได้เลยครับ
001

 เราคงพึ่งพาการยืนยันตัวตนแบบใดแบบหนึ่งไม่ได้ในปัจจุบัน บริการต่างๆ เริ่มขยับไปใช้การยืนยันตัวตนแบบหลายชั้นกันแล้ว โดยผสมผสานสิ่งที่ผู้ใช้ รู้ (เช่น รหัสผ่าน), มี (เช่น การ์ดหรือกุญแจ), และ เป็น (เช่น ลายนิ้วมือ) เข้าด้วยกัน แต่ปัญหาก็คือว่า การปลอมว่ารู้ (เดารหัสผ่านแบบเร็วจี๋) ปลอมว่ามี (สร้างการ์ดหรือกุญแจปลอมด้วยเครื่องผลิตขนาดเล็ก) และปลอมว่าเป็น (ปลอมลายนิ้วมือจากข้อมูลที่หลุด) นั้นทำได้ง่ายขึ้นๆ เรื่อย เราจะจัดการกับเรื่องเหล่านี้อย่างไร อย่างสมเหตุสมผล (คือยังไงก็คงมีความเสี่ยงอยู่บ้าง แต่เป็นความเสี่ยงในระดับที่เรายอมรับได้ จ่ายไหว) แต่ขั้นแรก ในตอนนี้ บริการในประเทศไทย ควรจะขยับไปใช้การยืนยันตัวตนแบบหลายชั้นกันก่อน

ระบบออนไลน์จะเข้ามามีส่วนในการใช้ชีวิตของเรามากขึ้นเรื่อย ๆ การป้องกันเครื่องยืนยันตัวตนของตนเอง จึงมีความสำคัญเป็นอย่างมาก คนที่อยากขโมยก็พยายามใช้เทคโนโลยีใหม่ ๆ เข้าช่วย ตัวเราเองก็ต้องพยายามศึกษาและตามให้ทันอยู่เสมอ เพื่อป้องกันตัวเองจากการถูกขโมยข้อมูล ณ เวลานี้ ส่วนตัวเชื่อว่าระบบยืนยันตัวตนแบบหลายขั้นตอนนั้นปลอดภัยที่สุดแล้ว เพื่อน ๆ เห็นว่าอย่างไรครับ??




แสดงความคิดเห็น