ระบบยืนยันตัวตนที่ดี ควรเพิ่มความปลอดภัยข้อมูล ไม่ใช่ลด
ความกลัวมากที่สุดของคนในการยืนยันตัวตน คือ ข้อมูลส่วนตัวของเราจะปลอดภัยไหม?
อะไรคือการยืนยันตัวตน ?
![](https://new-dev.codium.co/uploads/Identity_v2_39da2cbf0b.png)
- การเเสดงหลักฐานของตัวบุคคล อย่างที่รัฐใช้บัตรประชาชนเป็นเครื่องยืนยันตัวบุคคล ในการทำธุรกรรมต่างๆ เช่น การยื่นบัตรประชาชนเพื่อเปิดบัญชีธนาคาร
- การพูดคุย เช่น เวลาคบเพื่อน เรารู้จักเพื่อจาก การพูดคุย, จำรูปลักษณ์, จำน้ำเสียง โดยยิ่งเรามีความรู้เกี่ยวกับคนหนึ่งมากเท่าไหร่ ยิ่งมั่นใจในการยืนยันว่าเป็นคนนั้น
- การกรอก Username-Password ที่ในโลกออนไลน์มักใช้เป็นการเเสดงตัวตน
"วิธีที่ใช้ในการทำความรู้จักหรือยืนยันตัวตน ขึ้นกับ ความสำคัญของธุรกรรมที่ทำ ยิ่งสำคัญ ยิ่งมีสิ่งที่ต้องทำเพื่อยืนยันตัวตนมากขึ้น"
ความเเตกต่างของการยืนยันตัวตนผ่าน กายภาพ เเละ ดิจิทัล
![](https://new-dev.codium.co/uploads/Physical_Digital_v2_c29b09ea41.png)
1. การยืนยันตัวตนแบบกายภาพ (Physical) เป็นวิธีการยืนยันตัวตนเเบบต้องดำเนินกิจกรรมกันต่อหน้า เช่น การเเสดงสมุดบัญชีธนาคารในการทำธุรกรรมที่ธนาคาร หรือการแสดงบัตรประชาชนเป็นการยืนยันในการดำเนินการ
2. การยืนยันตัวตนผ่านดิจิทัล (Digital) เป็นการเเสดงหลักฐานการยืนยันตัวตนบนดิจิทัล ที่สามารถใช้ระบบดิจิทัลตรวจสอบได้ เเละสามารถทำได้ปลอดภัยไม่น้อยไปกว่าการทำต่อหน้า นั้นคือเจอหน้าหรือไม่เจอหน้าต้องมีความปลอดภัยเท่าๆกัน
"ถ้าวิธีการยืนยันตัวตนใดใช้วิธีอิเล็กทรอนิกส์ เเต่ต้องเจอหน้ากัน
ไม่นับว่าเป็น Digital เป็นเเค่ Electronic Identification"
สิ่งที่ต้องคำนึงถึงของการยืนยันตัวตนผ่านดิจิทัล
- ความเป็นส่วนตัวของข้อมูล (Privacy) คนมาใช้ต้องมั่นใจว่าข้อมูลได้รับการปกป้องอย่างดี
- ประสิทธิภาพ (Efficiency) การทำธุรกรรมต่างๆต้องง่ายขึ้น ยืนยันตัวตนได้ง่ายขึ้น ประหยัดต้นทุนมากขึ้น
- สอดคล้องตามกฎหมาย (Compliance) ลดปัญหาการตรวจสอบ ตอบโจทย์กฎหมาย
องค์ประกอบของการยืนยันตัวตนบนดิจิทัลที่ต้องมีครบ
![](https://new-dev.codium.co/uploads/Screen_Shot_2564_07_05_at_13_33_04_b8402a4b3d.png)
1. มาตราฐานกลาง (Standard) ต้องมีมาตราฐานที่ทุกคนเข้าใจ ยอมรับ เเละปฏิบัติไปในทิศทางเดียวกัน
2. กระบวนการที่รวบรวมข้อมูล (Attribute Collection) กระบวนการรวบรวมข้อมูลของบุคคลต้องเเม่นยำ ไม่รั่วไหลระหว่างการเก็บรวบรวมข้อมูล
3. การยืนยันตัวตนบนระบบ (Authentication) มีวิธีที่ผู้ใช้งานสามารถยืนยันตัวตนบนระบบได้ โดยเทคโนโลยีหรือเทคนิคที่ใช้กันโดยทั่วไป ทำได้หลากหลายแบบ เช่น การกรอกรหัสผ่าน (Username-password), การกรอกรหัสผ่านที่ใช้ได้ครั้งเดียว (OTP), การสเเกนลายนิ้วมือ (Biometric), เเละอื่นๆ ซึ่งประเด็นปัญหาของเรื่องนี้จะมีข้อพิพาทระหว่าง วิธีการยืนยันตัวตนกับความปลอดภัยของระบบ นั้นคือถ้ายืนยันตัวตนได้ง่ายความปลอดภัยอาจจะไม่สูงมาก เเต่ถ้ายืนยันตัวตนยากหลายขั้นตอนความปลอดภัยจะสูงตาม
4. การแลกเปลี่ยนข้อมูลบุคคล (Attribute Exchange) ต้องเเลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับคน เพื่อให้มั่นใจว่าตัวตนที่อยู่บนเเพลตฟอร์มมีตัวตนอยู่จริงบนโลกความจริง ซึ่งประเด็นหลักที่ต้องระวังจึงเป็นเรื่อง ความปลอดภัยของข้อมูลส่วนบุคคล (Data Privacy) เช่น การเช็คว่าชื่อของเลขบัตรประชาชนนี้มีอยู่จริง จากการเช็คข้อมูลกับกรมการปกครอง
5. สิทธิในการใช้งาน (Authorization) ไม่เพียงเเค่ยืนยันตัวตนได้ว่าผู้นั้นเป็นใคร เเต่ต้องมีการจำกัดเเละตรวจเช็คสิทธิที่สามารถทำได้ เช่น การเบิกจ่ายประกันสังคมที่เเต่ละคนจะมีสิทธิในการเบิกจ่ายได้ไม่เท่ากัน
6. การบริการที่เข้าถึงได้ (Service Delivery) ระบบนั้นต้องน่าเชื่อถือ เข้าถึงง่าย
2 วิธีที่ทั่วโลกทำเรื่อง การยืนยันตัวตนบนดิจิทัล
![](https://new-dev.codium.co/uploads/Screen_Shot_2564_07_05_at_15_47_47_3f1d8bf092.png)
- ขึ้นอยู่กับผู้ควบคุมดูเเลข้อมูล หากผู้ดูเเลนั้นมีทักษะเเละความสามารถดี จัดการข้อมูลได้ปลอดภัย ให้บริการตรวจเช็คข้อมูลได้เร็ว การรวมข้อมูลทุกอย่างในศูนย์กลางเดียวจะเป็นข้อดี ทำให้จัดการง่าย
- ใช้เงินทุนในการพัฒนาสูง (High Cost) เพราะมีระบบอยู่เเห่งเดียว รองรับข้อมูลคนทั้งประเทศ การรักษาความปลอดภัยยิ่งต้องมีสูง จึงตามมาด้วยค่าใช้จ่ายในการดูเเลระบบที่สูงตามไปด้วย
- ความปลอดภัยของระบบ(Low Security) มีความเสี่ยงต่อการโดนขโมยข้อมูลสูง เพราะทุกอย่างถูกรวมไว้ในที่เดียว
- ความเป็นส่วนตัวของข้อมูลน้อย (Low Privacy) เนื่องจากข้อมูลทั้งหมดของเราไว้กับองค์กรเดียว
- ทางเลือกทางการใช้งานน้อย (Limited Usability)ต้องยืนยันตัวตนตามที่ผู้ดูเเลข้อมูลกำหนดเท่านั้น เช่น ยืนยันได้เเค่การใช้บัตรประชาชนเท่านั้น
- ประเทศเล็ก จำนวนประชากรไม่มาก ดูเเลทั่วถึง เเละเงินเยอะ เช่น เอสโตรเนีย สิงคโปร์ จึงจัดการได้ดี
- ประเทศใหญ่ กระบวนการเยอะ ต้องคุยกับคนมาก จุดรั่วจะเยอะ เเต่ทำได้ถ้าจัดการดี เช่น จีน รัฐบาลมีข้อมูลทุกคน เเต่ไม่เชื่อมต่อให้เอกชนตรวจสอบข้อมูลได้ เอกชนหาวิธีไปเช็คข้อมูลเอง, อินเดีย สร้างระบบของตัวเองเก็บฐานข้อมูลประชาชนไว้ในที่เดียว
![](https://new-dev.codium.co/uploads/Screen_Shot_2564_07_05_at_15_38_07_d57e573690.png)
- ผู้ใช้งานเลือกวิธีการยืนยันตัวตนได้มากกว่า (Variety Usability) เช่น ใช้บัตรประชาชน, พาสปอร์ต, เเละอื่นๆ ในการยืนยันตัวตนได้หลายอย่าง เนื่องจากมีการเเข่งขันเกิดขึ้นจึงทำให้เกิดการพัฒนาการบริการมากขึ้น
- ความเป็นส่วนตัวของข้อมูลสูง (High Privacy) ในหนึ่งองค์กรไม่ได้รู้เรื่องของเราทั้งหมด เเต่ละหน่วยงานมีข้อมูลเราเพียงบางส่วนเท่านั้น
- ต้นทุนต่ำ (Low Cost) เนื่องจากรัฐไม่ต้องพัฒนาระบบทั้งหมดเองให้มารองรับคนทั้งประเทศอย่างเเบบเเรก มีเอกชนเข้ามาช่วยพัฒนาระบบให้รองรับกับคนเพียงบางส่วน
- ความปลอดภัยของระบบสูง (High Security) เพราะระบบรองรับคนเเค่บางภาคส่วน ความซับซ้อนของระบบจึงน้อย ง่ายต่อการดูเเลเเละควบคุม
- ตัวเเทนที่ได้อำนาจจากรัฐให้ดำเนินการต้องมีความน่าเชื่อถือ เเละมีมาตรฐานระบบที่ดีมากพอ
- ฉ้อโกงได้ง่าย (Fraud) หากผู้ไม่หวังดียืนยันตัวตนกับหน่วยงานใดหน่วยงานหนึ่งที่ได้อำนาจจากรัฐไปได้ ทุกคนจะโดนหลอกได้ เรียกเหตุการณ์ลักษณะนี้ว่า การไม่สามารถควบคุมการยืนยันตัวตนได้แบบครบวงจร
![ขั้นตอนการจัดทำใบกำกับภาษีอิเล็กทรอนิกส์ผ่านระบบ e-Tax Invoice & e-Receipt](https://new-dev.codium.co/uploads/Frame_649_ac97c1f356.png)
![3 หลักการ ทำ Digital transformation ให้ถูกหลัก](https://new-dev.codium.co/uploads/3_Digital_transformation_851004a308.png)
![ถึงเวลาก้าวหน้า! ผลักดันรัฐบาลด้วย “Digital ID”](https://new-dev.codium.co/uploads/Blog_mobilecover_3_fc20ad3ea8.png)
![รู้หรือไม่? บริษัทเป็นสมาชิกกับ NDID แล้วดีอย่างไร?](https://new-dev.codium.co/uploads/NDID_Mobile_cover_8580b9ee3d.png)
![hero](/images/bg-subscribe.png)