ระบบยืนยันตัวตนที่ดี ควรเพิ่มความปลอดภัยข้อมูล ไม่ใช่ลด
ความกลัวมากที่สุดของคนในการยืนยันตัวตน คือ ข้อมูลส่วนตัวของเราจะปลอดภัยไหม?
อะไรคือการยืนยันตัวตน ?
- การเเสดงหลักฐานของตัวบุคคล อย่างที่รัฐใช้บัตรประชาชนเป็นเครื่องยืนยันตัวบุคคล ในการทำธุรกรรมต่างๆ เช่น การยื่นบัตรประชาชนเพื่อเปิดบัญชีธนาคาร
- การพูดคุย เช่น เวลาคบเพื่อน เรารู้จักเพื่อจาก การพูดคุย, จำรูปลักษณ์, จำน้ำเสียง โดยยิ่งเรามีความรู้เกี่ยวกับคนหนึ่งมากเท่าไหร่ ยิ่งมั่นใจในการยืนยันว่าเป็นคนนั้น
- การกรอก Username-Password ที่ในโลกออนไลน์มักใช้เป็นการเเสดงตัวตน
"วิธีที่ใช้ในการทำความรู้จักหรือยืนยันตัวตน ขึ้นกับ ความสำคัญของธุรกรรมที่ทำ ยิ่งสำคัญ ยิ่งมีสิ่งที่ต้องทำเพื่อยืนยันตัวตนมากขึ้น"
ความเเตกต่างของการยืนยันตัวตนผ่าน กายภาพ เเละ ดิจิทัล
1. การยืนยันตัวตนแบบกายภาพ (Physical) เป็นวิธีการยืนยันตัวตนเเบบต้องดำเนินกิจกรรมกันต่อหน้า เช่น การเเสดงสมุดบัญชีธนาคารในการทำธุรกรรมที่ธนาคาร หรือการแสดงบัตรประชาชนเป็นการยืนยันในการดำเนินการ
2. การยืนยันตัวตนผ่านดิจิทัล (Digital) เป็นการเเสดงหลักฐานการยืนยันตัวตนบนดิจิทัล ที่สามารถใช้ระบบดิจิทัลตรวจสอบได้ เเละสามารถทำได้ปลอดภัยไม่น้อยไปกว่าการทำต่อหน้า นั้นคือเจอหน้าหรือไม่เจอหน้าต้องมีความปลอดภัยเท่าๆกัน
"ถ้าวิธีการยืนยันตัวตนใดใช้วิธีอิเล็กทรอนิกส์ เเต่ต้องเจอหน้ากัน
ไม่นับว่าเป็น Digital เป็นเเค่ Electronic Identification"
สิ่งที่ต้องคำนึงถึงของการยืนยันตัวตนผ่านดิจิทัล
- ความเป็นส่วนตัวของข้อมูล (Privacy) คนมาใช้ต้องมั่นใจว่าข้อมูลได้รับการปกป้องอย่างดี
- ประสิทธิภาพ (Efficiency) การทำธุรกรรมต่างๆต้องง่ายขึ้น ยืนยันตัวตนได้ง่ายขึ้น ประหยัดต้นทุนมากขึ้น
- สอดคล้องตามกฎหมาย (Compliance) ลดปัญหาการตรวจสอบ ตอบโจทย์กฎหมาย
องค์ประกอบของการยืนยันตัวตนบนดิจิทัลที่ต้องมีครบ
1. มาตราฐานกลาง (Standard) ต้องมีมาตราฐานที่ทุกคนเข้าใจ ยอมรับ เเละปฏิบัติไปในทิศทางเดียวกัน
2. กระบวนการที่รวบรวมข้อมูล (Attribute Collection) กระบวนการรวบรวมข้อมูลของบุคคลต้องเเม่นยำ ไม่รั่วไหลระหว่างการเก็บรวบรวมข้อมูล
3. การยืนยันตัวตนบนระบบ (Authentication) มีวิธีที่ผู้ใช้งานสามารถยืนยันตัวตนบนระบบได้ โดยเทคโนโลยีหรือเทคนิคที่ใช้กันโดยทั่วไป ทำได้หลากหลายแบบ เช่น การกรอกรหัสผ่าน (Username-password), การกรอกรหัสผ่านที่ใช้ได้ครั้งเดียว (OTP), การสเเกนลายนิ้วมือ (Biometric), เเละอื่นๆ ซึ่งประเด็นปัญหาของเรื่องนี้จะมีข้อพิพาทระหว่าง วิธีการยืนยันตัวตนกับความปลอดภัยของระบบ นั้นคือถ้ายืนยันตัวตนได้ง่ายความปลอดภัยอาจจะไม่สูงมาก เเต่ถ้ายืนยันตัวตนยากหลายขั้นตอนความปลอดภัยจะสูงตาม
4. การแลกเปลี่ยนข้อมูลบุคคล (Attribute Exchange) ต้องเเลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับคน เพื่อให้มั่นใจว่าตัวตนที่อยู่บนเเพลตฟอร์มมีตัวตนอยู่จริงบนโลกความจริง ซึ่งประเด็นหลักที่ต้องระวังจึงเป็นเรื่อง ความปลอดภัยของข้อมูลส่วนบุคคล (Data Privacy) เช่น การเช็คว่าชื่อของเลขบัตรประชาชนนี้มีอยู่จริง จากการเช็คข้อมูลกับกรมการปกครอง
5. สิทธิในการใช้งาน (Authorization) ไม่เพียงเเค่ยืนยันตัวตนได้ว่าผู้นั้นเป็นใคร เเต่ต้องมีการจำกัดเเละตรวจเช็คสิทธิที่สามารถทำได้ เช่น การเบิกจ่ายประกันสังคมที่เเต่ละคนจะมีสิทธิในการเบิกจ่ายได้ไม่เท่ากัน
6. การบริการที่เข้าถึงได้ (Service Delivery) ระบบนั้นต้องน่าเชื่อถือ เข้าถึงง่าย
2 วิธีที่ทั่วโลกทำเรื่อง การยืนยันตัวตนบนดิจิทัล
- ขึ้นอยู่กับผู้ควบคุมดูเเลข้อมูล หากผู้ดูเเลนั้นมีทักษะเเละความสามารถดี จัดการข้อมูลได้ปลอดภัย ให้บริการตรวจเช็คข้อมูลได้เร็ว การรวมข้อมูลทุกอย่างในศูนย์กลางเดียวจะเป็นข้อดี ทำให้จัดการง่าย
- ใช้เงินทุนในการพัฒนาสูง (High Cost) เพราะมีระบบอยู่เเห่งเดียว รองรับข้อมูลคนทั้งประเทศ การรักษาความปลอดภัยยิ่งต้องมีสูง จึงตามมาด้วยค่าใช้จ่ายในการดูเเลระบบที่สูงตามไปด้วย
- ความปลอดภัยของระบบ(Low Security) มีความเสี่ยงต่อการโดนขโมยข้อมูลสูง เพราะทุกอย่างถูกรวมไว้ในที่เดียว
- ความเป็นส่วนตัวของข้อมูลน้อย (Low Privacy) เนื่องจากข้อมูลทั้งหมดของเราไว้กับองค์กรเดียว
- ทางเลือกทางการใช้งานน้อย (Limited Usability)ต้องยืนยันตัวตนตามที่ผู้ดูเเลข้อมูลกำหนดเท่านั้น เช่น ยืนยันได้เเค่การใช้บัตรประชาชนเท่านั้น
- ประเทศเล็ก จำนวนประชากรไม่มาก ดูเเลทั่วถึง เเละเงินเยอะ เช่น เอสโตรเนีย สิงคโปร์ จึงจัดการได้ดี
- ประเทศใหญ่ กระบวนการเยอะ ต้องคุยกับคนมาก จุดรั่วจะเยอะ เเต่ทำได้ถ้าจัดการดี เช่น จีน รัฐบาลมีข้อมูลทุกคน เเต่ไม่เชื่อมต่อให้เอกชนตรวจสอบข้อมูลได้ เอกชนหาวิธีไปเช็คข้อมูลเอง, อินเดีย สร้างระบบของตัวเองเก็บฐานข้อมูลประชาชนไว้ในที่เดียว
- ผู้ใช้งานเลือกวิธีการยืนยันตัวตนได้มากกว่า (Variety Usability) เช่น ใช้บัตรประชาชน, พาสปอร์ต, เเละอื่นๆ ในการยืนยันตัวตนได้หลายอย่าง เนื่องจากมีการเเข่งขันเกิดขึ้นจึงทำให้เกิดการพัฒนาการบริการมากขึ้น
- ความเป็นส่วนตัวของข้อมูลสูง (High Privacy) ในหนึ่งองค์กรไม่ได้รู้เรื่องของเราทั้งหมด เเต่ละหน่วยงานมีข้อมูลเราเพียงบางส่วนเท่านั้น
- ต้นทุนต่ำ (Low Cost) เนื่องจากรัฐไม่ต้องพัฒนาระบบทั้งหมดเองให้มารองรับคนทั้งประเทศอย่างเเบบเเรก มีเอกชนเข้ามาช่วยพัฒนาระบบให้รองรับกับคนเพียงบางส่วน
- ความปลอดภัยของระบบสูง (High Security) เพราะระบบรองรับคนเเค่บางภาคส่วน ความซับซ้อนของระบบจึงน้อย ง่ายต่อการดูเเลเเละควบคุม
- ตัวเเทนที่ได้อำนาจจากรัฐให้ดำเนินการต้องมีความน่าเชื่อถือ เเละมีมาตรฐานระบบที่ดีมากพอ
- ฉ้อโกงได้ง่าย (Fraud) หากผู้ไม่หวังดียืนยันตัวตนกับหน่วยงานใดหน่วยงานหนึ่งที่ได้อำนาจจากรัฐไปได้ ทุกคนจะโดนหลอกได้ เรียกเหตุการณ์ลักษณะนี้ว่า การไม่สามารถควบคุมการยืนยันตัวตนได้แบบครบวงจร