Share this

ระบบยืนยันตัวตนที่ดี ควรเพิ่มความปลอดภัยข้อมูล ไม่ใช่ลด

Issues
May
Digital Transformation
Categories:
#Digital Transformation#Tech & Legal
Inspired by: Siwanad
Views

ความกลัวมากที่สุดของคนในการยืนยันตัวตน คือ ข้อมูลส่วนตัวของเราจะปลอดภัยไหม?

 

ปัญหาเรื่องการยืนยันตัวตนในโลกออนไลน์เป็นปัญหาที่มีมานานมาก หลายประเทศพยายามแก้ปัญหานี้ด้วยวิธีที่ต่างกัน ประเทศไทยก็เช่นกัน พยายามแก้ไขปัญหาด้วยหลากหลายวิธีมาก่อน
 
ดร.ภูมิ ภูมิรัตน ผู้เชี่ยวชาญด้านการออกแบบความมั่นคงปลอดภัยไซเบอร์ และที่ปรึกษาด้านเทคโนโลยี สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้มาเสริมความรู้ หาคำตอบ เพิ่มมุมมอง เจาะลึกเกี่ยวกับเรื่อง การยืนยันตัวตนในเเต่ละรูปแบบ
 

อะไรคือการยืนยันตัวตน ?

อะไรคือการยืนยันตัวตน
 
เริ่มจากการกล่าวถึงนิยามของ “ตัวตน” ที่ไม่ใช่เรื่องง่ายต่อการทำความเข้าใจนักว่า ตัวตน(Identity) คืออะไร?
 
ความเป็นตัวตน (Identity) คือ ข้อเท็จจริงหรือความเป็นไปของคนๆหนึ่ง ซึ่งการที่จะทราบถึงข้อเท็จจริงนั้นได้ ต้องอาศัยทำความรู้จักเกี่ยวกับคนๆนั้น เพื่อให้ที่จะยืนยันได้ว่าเป็นคนนั้นจริง โดยวิธีการทำความรู้จักสามารถทำได้หลายวิธี เช่น  
  • การเเสดงหลักฐานของตัวบุคคล อย่างที่รัฐใช้บัตรประชาชนเป็นเครื่องยืนยันตัวบุคคล ในการทำธุรกรรมต่างๆ เช่น การยื่นบัตรประชาชนเพื่อเปิดบัญชีธนาคาร
  • การพูดคุย เช่น เวลาคบเพื่อน เรารู้จักเพื่อจาก การพูดคุย, จำรูปลักษณ์, จำน้ำเสียง โดยยิ่งเรามีความรู้เกี่ยวกับคนหนึ่งมากเท่าไหร่ ยิ่งมั่นใจในการยืนยันว่าเป็นคนนั้น  
  • การกรอก Username-Password ที่ในโลกออนไลน์มักใช้เป็นการเเสดงตัวตน
 
ซึ่งด้านบนเป็นเพียงตัวอย่างบางวิธีการที่เรามักใช้ในการทำความรู้จักหรือยืนยันตัวตนของบุคคลหนึ่ง เเต่ยังมีอีกหลากหลายวิธีที่สามารถทำได้
 

"วิธีที่ใช้ในการทำความรู้จักหรือยืนยันตัวตน ขึ้นกับ ความสำคัญของธุรกรรมที่ทำ ยิ่งสำคัญ ยิ่งมีสิ่งที่ต้องทำเพื่อยืนยันตัวตนมากขึ้น"

 

ความเเตกต่างของการยืนยันตัวตนผ่าน กายภาพ เเละ ดิจิทัล

 
ความเเตกต่างของการยืนยันตัวตนผ่าน กายภาพ เเละ ดิจิทัล
 
ความเเตกต่างของการยืนยันตัวตน 2 ประเภท

1. การยืนยันตัวตนแบบกายภาพ (Physical) เป็นวิธีการยืนยันตัวตนเเบบต้องดำเนินกิจกรรมกันต่อหน้า เช่น การเเสดงสมุดบัญชีธนาคารในการทำธุรกรรมที่ธนาคาร หรือการแสดงบัตรประชาชนเป็นการยืนยันในการดำเนินการ  

 

2. การยืนยันตัวตนผ่านดิจิทัล (Digital) เป็นการเเสดงหลักฐานการยืนยันตัวตนบนดิจิทัล ที่สามารถใช้ระบบดิจิทัลตรวจสอบได้ เเละสามารถทำได้ปลอดภัยไม่น้อยไปกว่าการทำต่อหน้า นั้นคือเจอหน้าหรือไม่เจอหน้าต้องมีความปลอดภัยเท่าๆกัน

 

"ถ้าวิธีการยืนยันตัวตนใดใช้วิธีอิเล็กทรอนิกส์  เเต่ต้องเจอหน้ากัน

ไม่นับว่าเป็น Digital เป็นเเค่ Electronic Identification"

 

สิ่งที่ต้องคำนึงถึงของการยืนยันตัวตนผ่านดิจิทัล

 

ระบบการยืนยันตัวตนที่ดี ควรเพิ่มความปลอดภัยข้อมูลส่วนบุคคลให้มาก เนื่องจากคนกลัวข้อมูลส่วนตัวจะรั่วไหล หรือถูกนำไปขาย ดังนั้นเรื่องความปลอดภัยจึงสำคัญสุด เเละเรื่องอื่นรองลงมา ดังนี้  
  • ความเป็นส่วนตัวของข้อมูล (Privacy) คนมาใช้ต้องมั่นใจว่าข้อมูลได้รับการปกป้องอย่างดี  
  • ประสิทธิภาพ (Efficiency) การทำธุรกรรมต่างๆต้องง่ายขึ้น ยืนยันตัวตนได้ง่ายขึ้น ประหยัดต้นทุนมากขึ้น  
  • สอดคล้องตามกฎหมาย (Compliance) ลดปัญหาการตรวจสอบ ตอบโจทย์กฎหมาย  
 
เป้าหมายของการยืนยันตัวตนบนดิจิทัลจึงเป็น
การสร้างวิธีการที่รู้จักเเละยืนยันตัวตนในโลกออนไลน์ ที่ทุกประเภทธุรกรรมสามารถทำได้ โดยไม่ต้องมาทำต่อหน้า เเต่ปลอดภัยกว่ามาทำต่อหน้าได้
 

องค์ประกอบของการยืนยันตัวตนบนดิจิทัลที่ต้องมีครบ  

 

หลายประเทศได้มีการทำเรื่องการยืนยันตัวตนบนโลกดิจิทัลมาหลากหลายวิธี จนได้ข้อสรุปออกมาว่าองค์ประกอบใดที่ควรมีเพื่อให้การยืนยันตัวตนมีความปลอดภัยเเละสมบูรณ์ อ้างอิงจาก World academic forum of Digital Identity  
 
องค์ประกอบของการยืนยันตัวตนบนดิจิทัล
ที่มาจาก World academic forum of Digital Identity
 

1. มาตราฐานกลาง (Standard) ต้องมีมาตราฐานที่ทุกคนเข้าใจ ยอมรับ เเละปฏิบัติไปในทิศทางเดียวกัน 

 

2. กระบวนการที่รวบรวมข้อมูล (Attribute Collection) กระบวนการรวบรวมข้อมูลของบุคคลต้องเเม่นยำ ไม่รั่วไหลระหว่างการเก็บรวบรวมข้อมูล

 

3. การยืนยันตัวตนบนระบบ (Authentication) มีวิธีที่ผู้ใช้งานสามารถยืนยันตัวตนบนระบบได้ โดยเทคโนโลยีหรือเทคนิคที่ใช้กันโดยทั่วไป ทำได้หลากหลายแบบ เช่น การกรอกรหัสผ่าน (Username-password), การกรอกรหัสผ่านที่ใช้ได้ครั้งเดียว (OTP), การสเเกนลายนิ้วมือ (Biometric), เเละอื่นๆ ซึ่งประเด็นปัญหาของเรื่องนี้จะมีข้อพิพาทระหว่าง วิธีการยืนยันตัวตนกับความปลอดภัยของระบบ นั้นคือถ้ายืนยันตัวตนได้ง่ายความปลอดภัยอาจจะไม่สูงมาก เเต่ถ้ายืนยันตัวตนยากหลายขั้นตอนความปลอดภัยจะสูงตาม

 

4. การแลกเปลี่ยนข้อมูลบุคคล (Attribute Exchange) ต้องเเลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับคน เพื่อให้มั่นใจว่าตัวตนที่อยู่บนเเพลตฟอร์มมีตัวตนอยู่จริงบนโลกความจริง ซึ่งประเด็นหลักที่ต้องระวังจึงเป็นเรื่อง ความปลอดภัยของข้อมูลส่วนบุคคล (Data Privacy) เช่น การเช็คว่าชื่อของเลขบัตรประชาชนนี้มีอยู่จริง จากการเช็คข้อมูลกับกรมการปกครอง

 

5. สิทธิในการใช้งาน (Authorization) ไม่เพียงเเค่ยืนยันตัวตนได้ว่าผู้นั้นเป็นใคร เเต่ต้องมีการจำกัดเเละตรวจเช็คสิทธิที่สามารถทำได้ เช่น การเบิกจ่ายประกันสังคมที่เเต่ละคนจะมีสิทธิในการเบิกจ่ายได้ไม่เท่ากัน

 

6. การบริการที่เข้าถึงได้ (Service Delivery) ระบบนั้นต้องน่าเชื่อถือ เข้าถึงง่าย

 

2 วิธีที่ทั่วโลกทำเรื่อง การยืนยันตัวตนบนดิจิทัล  

 

1. ผู้สร้างข้อมูลเเละผู้ตรวจสอบการยืนยันตัวตนอยู่ในที่เดียว (Centralized)
วิธีนี้จะมีผู้สร้างเเละตรวจสอบข้อมูลในที่เดียว เช่น กรมการปกครองเก็บข้อมูลบัตรประชาชนของคนไทย, กรมขนส่งเก็บข้อมูลผู้มีสิทธิขับรถยนต์ประเภทต่างๆ, เเละกรมเเรงงานต่างด้าวที่ระบุว่าคนต่างชาติคนไหนมีสิทธิทำงานในไทย  เเละเมื่อหากบุคคลหรือนิติบุคคลอยากเช็คว่าคนที่มาทำธุรกรรมกับตนเป็นตัวจริงไหม สามารถเช็คข้อมูลจากผู้เก็บดูเเลข้อมูลส่วนกลางได้
 
ผู้สร้างข้อมูลเเละผู้ตรวจสอบการยืนยันตัวตนอยู่ในที่เดียว (Centralized)
ที่มาจาก World academic forum of Digital Identity
 
ข้อดี
  • ขึ้นอยู่กับผู้ควบคุมดูเเลข้อมูล หากผู้ดูเเลนั้นมีทักษะเเละความสามารถดี จัดการข้อมูลได้ปลอดภัย ให้บริการตรวจเช็คข้อมูลได้เร็ว การรวมข้อมูลทุกอย่างในศูนย์กลางเดียวจะเป็นข้อดี ทำให้จัดการง่าย
 
ข้อเสีย
  • ใช้เงินทุนในการพัฒนาสูง (High Cost) เพราะมีระบบอยู่เเห่งเดียว รองรับข้อมูลคนทั้งประเทศ การรักษาความปลอดภัยยิ่งต้องมีสูง จึงตามมาด้วยค่าใช้จ่ายในการดูเเลระบบที่สูงตามไปด้วย
  • ความปลอดภัยของระบบ(Low Security)  มีความเสี่ยงต่อการโดนขโมยข้อมูลสูง เพราะทุกอย่างถูกรวมไว้ในที่เดียว  
  • ความเป็นส่วนตัวของข้อมูลน้อย (Low Privacy) เนื่องจากข้อมูลทั้งหมดของเราไว้กับองค์กรเดียว  
  • ทางเลือกทางการใช้งานน้อย (Limited Usability)ต้องยืนยันตัวตนตามที่ผู้ดูเเลข้อมูลกำหนดเท่านั้น เช่น ยืนยันได้เเค่การใช้บัตรประชาชนเท่านั้น
 
ประเทศที่ใช้
  • ประเทศเล็ก จำนวนประชากรไม่มาก ดูเเลทั่วถึง เเละเงินเยอะ เช่น เอสโตรเนีย สิงคโปร์ จึงจัดการได้ดี
  • ประเทศใหญ่ กระบวนการเยอะ  ต้องคุยกับคนมาก จุดรั่วจะเยอะ เเต่ทำได้ถ้าจัดการดี เช่น จีน รัฐบาลมีข้อมูลทุกคน เเต่ไม่เชื่อมต่อให้เอกชนตรวจสอบข้อมูลได้ เอกชนหาวิธีไปเช็คข้อมูลเอง, อินเดีย สร้างระบบของตัวเองเก็บฐานข้อมูลประชาชนไว้ในที่เดียว  
 
2. ผู้สร้างข้อมูล เเละผู้ตรวจสอบการยืนยันตัวอยู่คนละที่ได้ (Federated)
มีผู้สร้างทะเบียนเพียงคนเดียว เช่น การไปออกบัตรประชาชนที่กรมการปกครองเท่านั้น เเต่ตอนตรวจสอบตัวตนสามารถให้องค์กรอื่นที่รัฐไว้วางใจทำได้ อย่างไปรษณีย์หรือธนาคาร เช่น การยื่นเอกสารขอพาสปอร์ตที่ไปรษณีย์ เเละไปรษณีย์ต่อข้อมูลตรวจเช็คตัวตนกับทางรัฐ ทำให้ผู้ทำธุรกรรมไม่ต้องเดินทางไปยื่นเอกสารถึงหน่วยงานหลัก    
ผู้สร้างข้อมูล เเละผู้ตรวจสอบการยืนยันตัวอยู่คนละที่ได้ (Federated)
ที่มาจาก World academic forum of Digital Identity
 
ข้อดี
  • ผู้ใช้งานเลือกวิธีการยืนยันตัวตนได้มากกว่า (Variety Usability) เช่น ใช้บัตรประชาชน, พาสปอร์ต, เเละอื่นๆ ในการยืนยันตัวตนได้หลายอย่าง เนื่องจากมีการเเข่งขันเกิดขึ้นจึงทำให้เกิดการพัฒนาการบริการมากขึ้น
  • ความเป็นส่วนตัวของข้อมูลสูง (High Privacy) ในหนึ่งองค์กรไม่ได้รู้เรื่องของเราทั้งหมด เเต่ละหน่วยงานมีข้อมูลเราเพียงบางส่วนเท่านั้น  
  • ต้นทุนต่ำ (Low Cost) เนื่องจากรัฐไม่ต้องพัฒนาระบบทั้งหมดเองให้มารองรับคนทั้งประเทศอย่างเเบบเเรก มีเอกชนเข้ามาช่วยพัฒนาระบบให้รองรับกับคนเพียงบางส่วน
  • ความปลอดภัยของระบบสูง (High Security) เพราะระบบรองรับคนเเค่บางภาคส่วน ความซับซ้อนของระบบจึงน้อย ง่ายต่อการดูเเลเเละควบคุม  
 
ข้อเสีย
  • ตัวเเทนที่ได้อำนาจจากรัฐให้ดำเนินการต้องมีความน่าเชื่อถือ เเละมีมาตรฐานระบบที่ดีมากพอ  
  • ฉ้อโกงได้ง่าย (Fraud) หากผู้ไม่หวังดียืนยันตัวตนกับหน่วยงานใดหน่วยงานหนึ่งที่ได้อำนาจจากรัฐไปได้ ทุกคนจะโดนหลอกได้ เรียกเหตุการณ์ลักษณะนี้ว่า การไม่สามารถควบคุมการยืนยันตัวตนได้แบบครบวงจร
 
ประเทศที่ใช้
นิวซีเเลนด์ อังกฤษ อเมริกา เอสโตเนีย
 
การยืนยันตัวตนของคนๆหนึ่ง ไม่ใช่เรื่องง่ายอย่างที่คิด โดยเฉพาะในโลกออนไลน์ ที่ไม่ได้มาทำธุรกรรมกันต่อหน้า เราจะมีวิธีใดในการยืนยันตัวตนบนออนไลน์เพื่อให้มั่นใจว่าเป็นบุคคลนั้นจริง เชื่อถือได้ เเละข้อมูลของเราปลอดภัย
 
ทั่วโลกจึงได้ศึกษาหาวิธีการยืนยันตัวตนบนโลกออนไลน์หลากหลายรูปแบบ เเละเเต่ละประเทศเลือกใช้วิธีที่ต่างกันไปตามความเหมาะสมของประเทศนั้น สำหรับประเทศไทย ดร.ภูมิ ภูมิรัตน พยายามจะนำข้อดีของทุกวิธีมาผสม ประยุกต์เเละปรับใช้ให้เหมาะกับประทศไทย จึงได้เป็นวิธีใหม่เเบบฉบับไทยที่เรียกว่า NDID (National Digital ID Infrastructure) เป็นวิธีที่กำจัดข้อเสียของทุกวิธีการยืนยันตัวตนของทั่วโลกที่ทำกัน เเละเหมาะกับคนไทยที่สุด  สามารถอ่านข้อมูลต่อได้ที่ พลิกโฉมธุรกรรมออนไลน์ด้วย National Digital ID - EconFin Talk & Share  
 
ขอบคุณที่มาข้อมูลจาก
พลิกโฉมธุรกรรมออนไลน์ด้วย National Digital ID - EconFin Talk & Share
World academic forum of Digital Identity
You may also like
ขั้นตอนการจัดทำใบกำกับภาษีอิเล็กทรอนิกส์ผ่านระบบ e-Tax Invoice & e-Receipt
ขั้นตอนการจัดทำใบกำกับภาษีอิเล็กทรอนิกส์ผ่านระบบ e-Tax Invoice & e-Receipt
มิ.ย. 06, 2024อ่านเมื่อ 6 ชั่วโมงที่แล้ว
e-Tax
Tech & Legal
3 หลักการ ทำ Digital transformation ให้ถูกหลัก
3 หลักการ ทำ Digital transformation ให้ถูกหลัก
มิ.ย. 06, 2024อ่านเมื่อ 33 นาทีที่แล้ว
Digital Transformation
ถึงเวลาก้าวหน้า! ผลักดันรัฐบาลด้วย “Digital ID”
ถึงเวลาก้าวหน้า! ผลักดันรัฐบาลด้วย “Digital ID”
มิ.ย. 06, 2024อ่านเมื่อ 2 วันที่แล้ว
Tech & Legal
Digital Transformation
รู้หรือไม่? บริษัทเป็นสมาชิกกับ NDID แล้วดีอย่างไร?
รู้หรือไม่? บริษัทเป็นสมาชิกกับ NDID แล้วดีอย่างไร?
มิ.ย. 06, 2024อ่านเมื่อ 22 วันที่แล้ว
Digital Transformation

SUBSCRIBE TO OUR

NEWS
LETTER .

Code , Consult , Communicate

โคเดียมสัญญาว่าจะให้ความคุ้มครองข้อมูลส่วนบุคคลของคุณ และเราจะใช้ข้อมูลส่วนบุคคลของคุณเท่าที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์/บริการที่คุณร้องขอมาเท่านั้น

ในบางกรณีเราอาจจะติดต่อไปหาคุณเพื่อการนำเสนอผลิตภัณฑ์, บริการ หรือกิจกรรมที่ตรงกับความต้องการของคุณ ถ้าหากคุณต้องการให้เราติดต่อไปเพื่อวัตถุประสงค์ดังกล่าว โปรดเลือกให้ความยินยอมกับเราในกรณีต่อไปนี้




* คุณสามารถถอนความยินยอมของคุณได้ทุกเมื่อ สำหรับช่องทางการติดต่อเพื่อขอถอนความยินยอม และรายละเอียดการคุ้มครองข้อมูล ส่วนบุคคลของคุณ โปรดอ่านได้ที่ ประกาศความเป็นส่วนตัวของเรา