รู้จักกับ FIDO2 มาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลกต่างเห็นตรงกันว่า Password เป็นการพิสูจน์ตัวตนที่ล้าสมัยและควรเก็บเข้ากรุได้แล้ว การดูแลรักษา Password เทียบกับประโยชน์ที่ได้จากการใช้งานในปัจจุบันห่างไกลจากความคุ้มค่ามากนัก และมักนำไปสู่เหตุ Credential Theft หรือถูกแฮ็กได้ ต่อให้เป็นรหัสผ่านที่แข็งแกร่งที่สุด ก็อาจตกเป็นเหยื่อของการถูก Phishing ได้เช่นกัน

บทความนี้ Thales จะพาทุกท่านไปรู้จักกับ FIDO2 ซึ่งเป็นมาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์ที่จะช่วยให้องค์กรก้าวออกจากการใช้ Password และสามารถยืนยันตัวตนของผู้ใช้ได้อย่างมั่นคงปลอดภัยกว่า ผู้ที่สนใจสามารถดาวน์โหลด eBook เรื่อง “The FIDO Authentication Handbook” จาก Thales ไปศึกษาเพิ่มเติมได้ที่นี่

หมดยุคการพิสูจน์ตัวตนด้วย Password แล้วหรือยัง?

สำหรับองค์กรขนาดใหญ่ การซัพพอร์ตและดูแลรักษา Password เป็นเรื่องที่น่าปวดหัวสำหรับฝ่าย IT การใช้ Password เพิ่มภาระให้กับงาน Helpdesk ทั้งยังสร้างความซับซ้อนให้ระบบและ User Experience ที่ไม่สู้ดีอันเนื่องมาจากการต้องคอยรีเซ็ตรหัสผ่านบ่อยๆ ที่สำคัญที่สุดคือ Password ไม่เพียงพอต่อการป้องกันภัยคุกคามไซเบอร์ในปัจจุบันและความจำเป็นด้านการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กรอีกต่อไป

จากรายงาน Data Breach ล่าสุดพบว่า อาชญากรไซเบอร์ใช้ประโยชน์จาก Password ที่ไม่มั่นคงปลอดภัย เช่น Password ที่เดาได้ง่าย, Password ที่ถูกแฮ็กหรือถูกขโมย ในการโจมตีองค์กรเพื่อขโมยข้อมูลส่วนบุคคลหรือปลอมแปลงเป็นบุคลากรในองค์กรเพื่อสร้างความวุ่นวายอื่นๆ ต่อ และที่น่าเป็นห่วง คือ ร้อยละ 39 ขององค์กรเคยประสบกับการโจมตีแบบ Credential Stuffing และการโจมตี Password อื่นๆ ในขณะที่ Password มีส่วนเชื่อมโยงกับเหตุ Data Breach สูงถึง 61%

“องค์กรต้องไปไกลเกินกว่าการใช้ Password เพื่อพิสูจน์ตัวตนผู้ใช้และปกป้องข้อมูล”

รู้จักมาตรฐานการพิสูจน์ตัวตน FIDO2

Fast Identity Online (FIDO2) เป็นมาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์ที่นำเสนอกลไกการพิสูจน์ตัวตนอย่างราบรื่นและมั่นคงปลอดภัย ถูกออกแบบมาให้สามารถใช้งานได้ในหลากหลายสถานการณ์โดยใช้ Multi-factor Cryptographic Tokens และไม่ต้องพึ่งพา Password แต่อย่างใด

ภาพด้านล่างแสดงการทำงานของ FIDO2 โดย Authenticator หรือที่รู้จักกันดีว่า FIDO Security Key จะมีการฝัง Private Key 1 Key หรือมากกว่านั้น โดยแต่ละ Key จะถูกใช้สำหรับแต่ละ Online Account แยกจากกัน ในขั้นตอนการยืนยันตัวตนของผู้ใช้ จำเป็นต้องมีปฏิสัมพันธ์ของผู้ใช้ (User Gesture) เข้ามาเกี่ยวข้อง เช่น การใส่รหัส PIN, Biometrics หรือ Authentication Token อื่นๆ ก่อนที่ Private Key จะถูกนำไปใช้เพื่อ Sign บน Response ในขั้นตอน Authentication Challenge

โปรโตคอลการพิสูจน์ตัวตนรูปแบบนี้มีข้อดีคือ

• มั่นคงปลอดภัย – Login Credentials แต่ละเว็บไซต์จะแตกต่างกัน และไม่มีการเก็บบน Server ซึ่งช่วยขจัดความเสี่ยงของ Phishing, Password Theft และ Replay Attacks แบบต่างๆ

• User Experience – ผู้ใช้สามารถล็อกอินได้ง่ายโดยใช้ฟีเจอร์ที่มีอยู่แล้วบนอุปกรณ์ หรือจะใช้พวก Token ที่ถูกออกแบบมาตามมาตรฐาน FIDO ก็ได้เช่นเดียวกัน

• ความเป็นส่วนบุคคล – Key ที่ใช้ในแต่ละเว็บไซต์จะแตกต่างกัน ทำให้ไม่สามารถใช้ติดตามผู้ใช้ได้ ในขณะที่ข้อมูล Biometrics จะถูกจัดเก็บอยู่บนอุปกรณ์ของผู้ใช้ ต่อให้ถึงเวลาพิสูจน์ตัวตนก็ไม่มีหลุดออกไปภายนอก

FIDO2 กับกฎหมายและข้อบังคับ

ในปัจจุบัน มีกฎหมายและข้อบังคับทางด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลหลากหลายฉบับถูกบังคับใช้ ซึ่งมาตรฐาน FIDO2 ก็เข้าไปตอบโจทย์ในส่วนของข้อกำหนดด้านการพิสูจน์ตัวตนได้เป็นอย่างดี ดังนี้

GDPR – ระบุว่าผู้ใช้ต้องมีสิทธิ์ในการเข้าถึง แก้ไข ลบ หรือโยกย้ายข้อมูลส่วนบุคคลของตนได้ หัวใจสำคัญในการทำเรื่องเหล่านี้ได้อย่างมั่นคงปลอดภัย คือ การยืนยันว่าตัวตนที่กำลังจัดการกับข้อมูลเหล่านั้น เป็นบุคคลนั้นๆ จริงๆ ซึ่งมาตรฐาน FIDO2 และอุปกรณ์ที่รองรับต่างสามารถสนับสนุนการพิสูจน์ตัวตนอย่างมั่นคงปลอดภัยและการปกป้องข้อมูลส่วนบุคคล โดย FIDO2 ใช้เทคนิคการเข้ารหัสแบบ Public Key ซึ่ง Key จะถูกสร้างและจัดเก็บบนอุปกรณ์ที่ใช้พิสูจน์ตัวตนและไม่มีการแชร์ออกไปยังเซิร์ฟเวอร์ภายนอก ในขณะที่ Response ของการพิสูจน์ตัวตนจะถูกเข้ารหัสเพื่อป้องกัน Phishing และการโจมตีแบบ Man-in-the-Middle สำหรับข้อมูล Biometrics ก็จะถูกจัดเก็บและประมวลผลเฉพาะบนอุปกรณ์ของผู้ใช้เช่นกัน

PSD2 (Payment Services Directive ของสหภาพยุโรป) – หนึ่งในข้อกำหนดสำคัญของ PSD2 คือต้องมี Strong Customer Authentication (SCA) โดยใช้การพิสูจน์ตัวตนแบบ MFA ซึ่งธนาคารและผู้ให้บริการการชำระเงินสามารถใช้ประโยชน์จากอุปกรณ์ที่รองรับมาตรฐาน FIDO2 เพื่อดำเนินการตามข้อกำหนดดังกล่าวได้ การเข้ารหัสแบบ Public Key ของ FIDO2 สามารถป้องกันการโจมตีที่พุ่งเป้ามายัง Shared Credentials เช่น Password ได้ ในขณะที่ Biometrics และ Security Keys ที่ใช้ตอบโจทย์การพิสูจน์ตัวตันทั้งแบบ “What you are” และ “What you have” ได้ ทั้งยังเพิ่มความสะดวกให้แก่ผู้ใช้อีกด้วย

นอกจาก 2 รายการที่กล่าวไป FIDO2 ยังสามารถประยุกต์ใช้กับกฎหมายและข้อบังคับอื่นๆ ในไทยได้เช่นกัน ทั้ง พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

จำเป็นหรือไม่ที่จะต้องแทนที่การพิสูจน์ตัวตนที่มีอยู่ด้วย FIDO2

เพื่อยกระดับการรักษาความมั่นคงปลอดภัยในการเข้าถึงระบบต่างๆ หลายองค์กรเลือกที่จะลงทุนกับระบบการพิสูจน์ตัวตนที่แข็งแกร่งมาก เช่น การใช้ PKI ร่วมกับฮาร์ดแวร์ OTP หรือโซลูชันบนอุปกรณ์สมาร์ตโฟน อย่างไรก็ตาม ไม่ใช่ทุกสถานการณ์จะเหมาะกับการพิสูจน์ตัวตนรูปแบบนี้ ทั้งในมุมของค่าใช้จ่าย การดำเนินการ และ User Experience แนะนำให้องค์กรประเมินการพิสูจน์การตัวตนหลายๆ แบบ และเลือกโซลูชันที่เหมาะสมกับแต่ละสถานการณ์ ดังแสดงในตารางด้านล่าง

สำหรับองค์กรที่มีการวางระบบ PKI สำหรับการพิสูจน์ตัวตนไปแล้ว ไม่จำเป็นต้องปรับเปลี่ยนหรือหาโซลูชันอื่นมาแทนที่แต่อย่างใด กลับกัน สามารถใช้มาตรฐาน FIDO2 มาเป็นส่วนเสริมเพื่อยกระดับวิธีการพิสูจน์ตัวตนให้ทันสมัย โดยเฉพาะอย่างย่ิงเพื่อปกป้องการเข้าถึงแอปพลิเคชันบน Cloud

Thales FIDO โซลูชันการพิสูจน์ตัวตนที่ครอบคลุมทุก Use Cases

Thales เป็นผู้ให้บริการโซลูชันด้าน Cybersecurity & Trust เพียงรายด้วยที่นำเสนออุปกรณ์มาตรฐาน FIDO2 ที่ครอบคลุมการพิสูจน์ตัวตนครบทุกรูปแบบในทุกสถานการณ์ ทั้งยังรองรับการทำงานร่วมกับ Azure AD ได้อย่างไร้รอยต่อ ช่วยให้องค์กรสามารถวางระบบพิสูจน์ตัวตนที่มีทั้งความมั่นคงปลอดภัยและความสะดวกสบายจากการใช้งานแบบ Passwordless หมดกังวลเรื่อง Password ถูกขโมยและขจัดภาระเรื่องการรีเซ็ต Password บ่อยๆ

อุปกรณ์ตามมาตรฐาน FIDO2 ของ Thales ประกอบด้วย

• PKI-FIDO Smart Card สำหรับใช้งานในระบบ PKI และ FIDO

• FIDO Smart Card with NFC Support ช่วยให้สามารถพิสูจน์ตัวตนตามมาตรฐาน FIDO ได้ผ่านทางอุปกรณ์พกพา

• FIDO Smart Card with Combined Logical Access สำหรับการใช้งานที่ต้องใช้บัตรในการเข้าถึงระบบแบบ Logical Access

• USB FIDO สำหรับการเข้าถึงบริการบน Cloud แบบ Remote Access อย่างมั่นคงปลอดภัย

สอบถามรายละเอียดเพิ่มเติมเกี่ยวกับ FIDO2 ของ Thales Group ได้ที่

Mr. Payathai Kalyawogsa

E-mail: payathai@bangkoksystem.com

Phone: 080-608-4551