Biometric Authentication Platform ยืนยันตัวตนด้วยชีวมิติ

Biometric Authentication Platform ยืนยันตัวตนด้วยชีวมิติ

ปัจจุบันเราใช้บริการในโลกออนไลน์เป็นจำนวนมาก ไม่ว่าจะ Google, Facebook, หรือเว็บอื่นๆ ภายในประเทศเราเอง

เช่น ธนาคาร หรือความปลอดภัยในการใช้งานของระบบต่างๆ ภายในองค์กร เหล่านี้เป็นเรื่องสำคัญที่หลายคน มองข้ามหรือไม่เข้าใจ ความมั่นคงในระบบคอมพิวเตอร์เป็นปัญหาใหญ่ของโลก และคนร้ายเริ่มใช้วิธีต่างๆ (เช่น การแฮก DDoS และอื่นๆ) ในการโจมตีมากขึ้นเรื่อยๆ ซึ่งองค์กรส่วนใหญ่ ได้เพิ่มมาตรการและวิธีการป้องกันตนเอง ในขณะที่ผู้ใช้เองยังไม่เข้าใจและเข้าไม่ถึง หลายปีที่ผ่านมา คนร้ายจึงเริ่มโจมตีที่ตัวผู้ใช้โดยตรงมากขึ้น ด้วยวิธีต่างๆ อาทิ Social Engineering, Phishing, หรือการขโมย User Credential เช่น Email, Username และ Password

สถิติจากการสำรวจของบริษัท TeleSign พบว่าผู้ใช้เน็ต 40% (2 ใน 5 คน) ถูกโจมตี Credential ไม่ว่าจะเป็นการได้รับการเตือน ว่าข้อมูลถูกขโมยออกไปจากระบบที่ตนเองใช้ บัญชีถูกแฮก หรือ รหัสผ่านถูกขโมยด้วยวิธีต่างๆ เช่น Phishing ปัญหาหลัก คือ ผู้ใช้จำนวนมากใช้รหัสผ่านซ้ำกันในหลายบริการ (54% ของ ผู้ใช้เน็ต จำรหัสผ่านไว้ใช้ล็อกอินเว็บต่างๆ ไม่เกิน 5 รหัสผ่าน) และรหัสผ่านก็เปลี่ยนไม่บ่อย (จากผลสำรวจ 47% ของผู้ใช้มี รหัสผ่านที่ใช้งานมานานเกิน 5 ปีโดยไม่มีการเปลี่ยน) ทำให้ คนร้ายมีเวลาที่จะขโมยรหัสผ่านทั้งจากตัวผู้ใช้เอง หรือจากเว็บ อื่นที่มีการปกป้องน้อยกว่า เพื่อเอารหัสผ่านมาใช้เข้าสู่ระบบที่มี มูลค่าสูงกว่า เช่น ระบบธนาคารออนไลน

วิิธีแก้ปัญหาหลักๆ ที่ใช้กันอยู่ก็คือ การใช้ 2-Factor Authentication ผ่าน Token ต่างๆ เช่น RSA Token ที่ใช้วิธีกดปุ่มให้แสดงรหัส 6-8 หลัก เพื่อใช้ในการยืนยันตัวตน หรือใช้ระบบ SMS-OTP (One-Time Password Over SMS ซึ่งเป็นรหัสผ่านที่มีไว้ใช้ครั้ง เดียว) เพื่อรับรหัสผ่านทาง SMS ในการใช้ยืนยันตัวตน

วิธีการยืนยันตัวตนนั้นเกิดขึ้นเมื่อเราต้องการล็อกอินเข้าระบบ ซึ่ง เมื่อระบบต้องการเช็คว่าเราเป็นคนที่แสดงตัวตนว่าใช่ (ยกตัวอย่าง เราต้องการล็อกอินด้วยชื่อของเรา) ระบบจะต้องเช็คข้อมูลจาก เรา 3 วิธี คือ

  • Something You Know หรือสิ่งที่เรารู้ เช่น Password หรือ คำตอบของคำถามลับบางอย่างที่เฉพาะเรากับ ระบบรู้กันเท่านั้น เรียกว่า Shared Secret
  • Something You Have หรือยืนยันว่าเรามีอุปกรณ์บาง อย่างที่พกพาอยู่ เป็นต้นว่าโทรศัพท์มือถือ หรือ Security Token บางอย่าง
  • Something You Are หรือเอกลักษณ์เฉพาะตัว เป็นการ แสดงคุณสมบัติทางชีวมิติ (Biometrics)

วิธีที่เว็บต่างๆ ใช้ในการยืนยันตัวตนนั้น คือ การใช้ Something You Know หรือ Username/Password เป็นข้อมูลลับที่เราได้ ฝากไว้กับเว็บดังกล่าวไว้ก่อนแล้ว ซึ่งวิธีนี้ติดตั้งง่าย สร้างง่าย ดูแลง่าย แต่มีปัญหาด้านไม่ปลอดภัย เพราะ Password นั้นถูก ขโมยได้ง่าย และจากที่กล่าวไปแล้ว ผู้ใช้ละเลยความปลอดภัย โดยรหัสผ่านเดาง่าย เพราะต้องการให้จำง่าย หรือใช้รหัสผ่านซ้ำ กันในหลายเว็บ บางเว็บก็เลือกที่จะใช้สองวิธีในการยืนยันตัวตน คือ ใช้ทั้ง Something You Know และ Something You Have ผ่านการใช้ Secure Token หรือ SMS OTP ร่วมกันกับ Password รวมเป็น 2 Factor Authentication หรือการยืนยันตัวตนโดยการใช้สองมิติ ขึ้นไป ซึ่งรหัสเหล่านี้ แม้จะไม่มีปัญหาการใช้ซ้ำกันในหลายเว็บ และแก้ปัญหาการจำยาก แต่ก็ยังสามารถถูกขโมยได้ ง่ายทางช่องทางออนไลน์ (เช่น Phishing) จากปัญหาข้างต้น ทำให้บริษัทและองค์กรจำนวนมาก ทั่วโลกรวมตัวกันก่อตั้ง FIDO Alliance เพื่อสร้างสรรค์ เทคโนโลยีมาตรฐานใหม่ ที่จะเอามาแก้ปัญหาการ ยืนยันตัวตนออนไลน์อย่างปลอดภัย โดย FIDO (ย่อ มาจาก Fast IDentity Online) เป็นมาตรฐานใหม่ใน การใช้เทคโนโลยี Public Key Cryptography ร่วมกับการใช้ Biometric ในการยืนยันตัวตน เกิดขึ้นเป็น Biometric Authentication Standard ใหม่ ซึ่งได้เคยกล่าวถึงมาตรฐานนี้ในบทความก่อนหน้านี้แล้ว (FIDO: Future of Online Authentication)

โดยบริษัท จีเอเบิล จำกัด ได้จับมือกับบริษัท ไฮเปอร์คอร์ป ซึ่งตั้งอยู่ ที่นิวยอร์ค และเป็นผู้นำด้านเทคโนโลยี Biometric Authentication Platform เพื่อร่วมสร้างโซลูชั่นที่จะผลักดันมาตรฐาน FIDO ใน ประเทศไทย โดยแพลตฟอร์มของไฮเปอร์ รองรับมาตรฐาน FIDO ประกอบไปด้วย HYPR Server ที่จะทำหน้าที่เก็บและประมวลผลการ ยืนยันตัวตน พร้อมทั้งมีอุปกรณ์ Token ในการยืนยันตัวตน หรือหาก ผู้ใช้มี Mobile Application ก็มี HYPR SDK ซึ่งเป็น Toolkit ที่สามารถ นำไปใช้ต่อยอด Application ให้สามารถคุยกับ Server ได้ โดยผู้ใช้ ไม่ต้อง Implement Protocol เอง ซึ่งง่ายและติดตั้งได้เร็ว

รูปแบบของโซลูชั่นของ Biometric Authentication Platform เป็นแบบ Bring Your Own Biometric ซึ่งแปลว่า ผู้นำระบบของไฮเปอร์คอร์ปไปใช้ สามารถใช้ร่วมกับเทคโนโลยี Biometric ที่หลากหลาย สามารถเลือก ซื้อหรือติดตั้งได้เอง ไม่ว่าจะเป็นรูปแบบของเสียง ลายนิ้วมือ หรืออื่นๆ เป้าหมายของโซลูชั่นที่น่าพัฒนามาใช้ Biometric Authentication คือ การนำไปใช้แทน Password ในการยืนยันตัวตน เช่น การให้พนักงานหรือลูกค้า ล็อกอินเข้าระบบองค์กร เช่น ระบบ Online Banking หรือการทำ Payment Authorization นอกจากนี้ ยังสามารถต่อยอดไปทำ Physical Access Control ได้ โดยการให้เจ้าหน้าที่หรือพนักงานต้องยืนยันตัวตนด้วย Biometric ก่อนเข้าห้อง Datacenter เป็นต้น

ปัจจุบันระบบของไฮเปอร์ได้รับการนำไปใช้แล้วในธุรกิจการเงินและ สุขภาพ โดยในธุรกิจสุขภาพนั้น มีปัญหาที่ต่างจากระบบของธนาคาร กล่าวคือ ลูกค้า (หรือผู้ป่วย) ไปโรงพยาบาลไม่บ่อย การใช้ Password เป็นปัญหามากเพราะการใช้ไม่บ่อยทำให้ลูกค้าลืมรหัสผ่าน ต้องเสีย เวลา Call Center ในการ Reset Password ดังนั้นการใช้เทคโนโลยี Biometric ก็สามารถนำมาใช้แทน Password ได้โดยไม่ต้องกลัวลูกค้า ลืมอีกต่อไป นอกจากนี้ยังสามารถใช้วิธีการยืนยันตัวตนให้หมอและ พยาบาลใช้ในการเชื่อมต่อเข้าระบบอย่างปลอดภัยมากขึ้น

SDK ของไฮเปอร์คอร์ป รองรับการใช้อุปกรณ์ TEE (Trusted Execution Environment) บนสมาร์ทโฟนเพื่อเพิ่มความปลอดภัยในการจัดการ Cryptographic Key ที่สูงที่สุดในปัจจุบันในรุ่นของสมาร์ทโฟนที่รองรับ ในระยะยาวจีเอเบิลยังมีแผนต่อยอดธุรกิจร่วมกับไฮเปอร์คอร์ป เพื่อ พัฒนาโซลูชั่นให้ครอบคลุมความต้องการมากขึ้น ทั้งการนำไปสู่ Cloud Adoption หรือการพัฒนามาตรฐานการยืนยันตัวตนในประเทศไทย

 



Top