การ Authentication

แหล่งข้อมูลจาก http://www.itgrad.mut.ac.th

เรา ต้องยอมรับว่าในปัจจุบันการใช้งานคอมพิวเตอร์เป็นเรื่องจำเป็นในชีวิตประจำ วันของเรา และ เมื่อเราต้องการใช้งานระบบต่างๆ ไม่ว่าจะเข้าไปหาข้อมูลในอินเทอร์เน็ต หรือรับส่ง e-mail เราต้องผ่านขั้นตอนอยู่ขั้นตอนหนึ่งก่อนเสมอ นั่นคือ การทำ "Authentication" หมายถึงการแสดงตนเพื่อ "Log in" หรือ "Log on" เข้าสู่ระบบ ซึ่งทุกระบบย่อมต้องมีการทำ "Access Control" เพื่อไม่ให้ผู้ที่ไม่เกี่ยวข้องกับระบบ (Unauthorized Access) หรือ ผู้ไม่หวังดีทั้งหลายไม่ว่าจะเป็นพวกแฮกเกอร์หรือพวกโปรแกรม Malicious Mobile Code ต่าง ๆ ไม่สามารถเข้าใช้งานระบบของเราได้เพราะต้องผ่านการตรวจสอบในขั้นตอนการทำ Authentication เสียก่อน

การทำ Authentication ในปัจจุบันมีอยู่ 3 ลักษณะ ได้แก่

Type 1 "Something you know" หมายถึง การใช้ User Name และ Password ในการเข้าสู่ระบบโดยทั่วไปเช่น การใช้ อินเทอร์เน็ตด้วยการหมุน Modem จากบ้านเข้าสู่ ISP หรือ การทำงานในบริษัทที่ต้องมีการ "Log in" โดยใช้ User name และ Password ซึ่งการ Authentication ในลักษณะนี้ถือเป็นแบบที่ระดับความปลอดภัยอ่อนที่สุด เพราะถ้าใครรู้ User name และ Password ของเราก็สามารถเข้าใช้งานระบบได้ทันที นอกจากนี้เรายังตรวจสอบตัวตน (Authenticity/Accountability) ของผู้ใช้ระบบไม่ได้ว่าใครเป็นใครอีกด้วย

Type 2 "Something you have" เป็นการ Authentication ในลักษณะที่เรียกว่า "Two-Factor" กล่าวคือ นอกจากจะมี password ที่ต้องจำแล้วยังต้องใช้อุปกรณ์เสริมเข้ามาใช้ในการเข้าระบบด้วยเช่น บัตร ATM, RSA Token, Swipe card, Access card และ Smart card เป็นต้น

การ ตรวจสอบผู้ใช้ระบบโดยใช้ Smart card เข้ามาช่วยนั้นจะช่วยตรวจสอบตัวตนของผู้ใช้งานระบบได้คล้าย ๆ กับที่ธนาคารตรวจสอบผู้ใช้งานบัตร ATM ของธนาคารว่าเป็นเจ้าของบัตรหรือไม่ พราะบัตรควรจะต้องอยู่กับเจ้าของบัตรเท่านั้น และเจ้าของบัตรเท่านั้นที่ทราบรหัสของตน ผู้อื่นถึงแม้จะขโมยบัตรไปแต่ก็ไม่ทราบรหัสที่อยู่ในบัตร ทำให้ยากไปอีกขั้นหนึ่งในการเจาะเข้าสู่ระบบ

การใช้ Smart card นั้นควรมีการใช้งานร่วมกับระบบ PKI หรือ "Public-Key Infrastructures" ผู้ใช้แต่ละคนจะได้รับ "Digital Certificate" ที่ได้รับรองจาก CA หรือ Certificate Authority ว่าผู้ใช้มีตัวตนจริง และ ใน Smart card จะเก็บ "Private key" ของผู้ใช้ไว้ตลอดจนมีการเข้ารหัสลับเพื่อไม่ให้แฮกเกอร์สามารถนำ Private key ไปใช้ได้ง่าย ๆ ระบบ PKI ถูกออกแบบมาให้ผู้ใช้งานคอมพิวเตอร์สามารถทำงานแบบ Mobile User ได้เพราะผู้ใช้ Smart card สามารถเข้าสู่ระบบโดยอาศัย digital certificate ที่เก็บอยู่ใน microchip บน Smart card และ Smart card ยังเหมาะที่ใช้เก็บ "Private key" ของผู้ใช้ด้วยเพราะ Smart card ถูกออกแบบมาให้ผู้ไม่หวังดีไม่สามารถเข้าถึงข้อมูลใน Smart card ได้ เพราะใน Smart Card มีระบบป้องกันหลายชั้นที่ค่อนข้างซับซ้อนพอสมควร

อีก ระบบหนื่งที่เป็นลักษณะ Two-factor Authentication เหมือนกัน เราเรียกว่าระบบ "One time password" ยกตัวอย่างได้แก่ ระบบของ RSA Security ระบบนี้จะแตกต่างจากการใช้ Smart card และ PKI ดังที่กล่าวมาแล้ว กล่าวคือ ระบบของ RSA จะใช้ Token ที่มีลักษณะคล้าย ๆ กับ พวงกุญแจที่ผู้ใช้ต้องพกติดตัว ในตัว RSA Token ซึ่งเรียกว่า SecurID Token ทุกๆ 60 วินาที Token จะ generate ตัวเลขชุดหนึ่งออกมาเพื่อใช้ประกอบในการ Log in เข้าสู่ระบบ โดยเราต้องติดตั้ง ACE Server เพื่อรองรับการ Log in จาก client ถ้าตรงกันก็จะปล่อยให้ client เข้าสู่ระบบได้ เพราะตัวเลขนี้จะใช้แค่เพียงครั้งเดียวเท่านั้น การใช้งานแบบนี้ต้องอาศัย hardware และ software เฉพาะ และ ต้องติดตั้งระบบในรูปแบบที่ทาง RSA ได้กำหนดไว้

Type 3 "Something you are" ก็คือการนำเทคโนโลยี "Biometric" เข้ามาใช้ในการตรวจสอบตัวตนโดยอาศัยอวัยวะที่คนเรามีอยู่ และ มีสักษณะที่เป็น unique คือ ไม่ซ้ำกัน ได้แก่ ลายนิ้วมือ, ม่านตา เป็นต้น การใช้งาน Smart card สามารถร่วมกับระบบ "Biometric" ได้ กล่าวคือ เราสามารถเก็บลายนิ้วมือของคนลงไปใน Microchip ที่อยู่ใน Smart card ได้ด้วย ซึ่งจะเพิ่มระดับของความปลอดภัยมากขึ้น แต่ค่าใช้จ่ายก็จะสูงขึ้นเช่นกัน

กล่าวโดยสรุปก็คือ ถ้าเราต้องการระบบการรักษาความปลอดภัยที่ดี และ สามารถตรวจสอบผู้ใช้ได้ในลักษณะของ Authenticity หรือ Accountability เรามีความจำเป็นต้องใช้ Authentication แบบ Type 2 หรือ Type 3 เท่านั้น ซึ่ง Smart card และ PKI จะมีบทบาทอย่างมากในการทำให้ระบบมีความปลอดภัยมากขึ้นแต่ค่าใช้จ่ายในการติด ตั้งระบบ ตลอดจนราคาของ Smart card ตลอดจนเครื่องอ่าน Smart card และลิขสิทธิ์ของ software ซึ่งส่วนใหญ่จะใช้ Java Technology ก็เป็นปัจจัยที่ต้องคำนึงเช่นกัน และ ที่สำคัญคือ IT Infrastructure ของผู้ให้บริการที่เป็น CA หรือ RA และผู้ให้บริการที่มีหน้าที่ออกบัตร Smart card นั้นจะต้องมีระบบความปลอดภัยที่อยู่ในระดับสูงมากกว่าหน่วยงานปกติที่ใช้ IT โดยทั่วไป จึงควรมีการทำ Risk Assessment หรือ ทำ In-depth IT Audit ระบบก่อนที่ให้บริการ เพื่อเพิ่มความมั่นใจในการใช้งาน และ เพื่อให้เกิดความคุ้มค่าที่เราได้ลงทุนไปกับเทคโนโลยี Smart Card และ PKI

nostalgia

-ที่มา http://www.thaiadmin.org/board/index.php?topic=24808.0

ปัญหาการ Authentication ในปัจจุบันที่เรากำลังเผชิญอยู่ในเวลานี้ไม่ว่าจะเป็นการเข้าใช้งานระบบผ่าน LAN หรือ การเข้าใช้งานระบบผ่าน Remote Access ก็คือ เรามักใช้ Username และ Password ในการ Log In หรือ Log On เข้าสู่ระบบ ซึ่ง Hacker สามารถดักจับข้อมูลเราได้โดยง่าย อีกทั้งเรายังไม่สามารถรู้ได้ว่าเป็นผู้ใช้ระบบของเราจริงหรือไม่ เพราะ ถ้ามีใครทราบ Username และ Password ก็สามารถเข้าสู่ระบบได้เหมือนกัน จะเห็นได้ว่าเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้แน่นอน ตลอดจนมีความเสี่ยงกับการโดนเจาะระบบโดยโปรแกรมจำพวก Packet Sniffer อีกด้วย

       การนำ ระบบ Two-Factor Authentication มาใช้จะสามารถแก้ปัญหานี้ได้ เนื่องจากผู้ใช้ระบบในองค์กรไม่ว่าจะเป็น พนักงานระดับปฏิบัติการจนถึงผู้บริหารระดับสูง จะต้องมีอุปกรณ์เพิ่มเติมซึ่งอาจอยู่ในรูปของ Hardware Token หรือ Smart Card เพื่อที่จะใช้ตรวจสอบตัวตนเมื่อต้องการเข้าสู่ระบบ และ สามารถแก้ปัญหาการแอบดักข้อมูลจากโปรแกรม Packet Sniffer ตลอดจนสามารถระบุตัวตนผู้ใช้ที่เป็นเจ้าของ Hardware Token หรือ Smart Card ได้ดีกว่าแบบที่ใช้แค่เพียง Username และ Password

       ลักษณะ การใช้งาน, ข้อดี- ข้อด้อย และ คำแนะนำ ว่าควรเลือกใช้ระบบ Smart Card และ PKI หรือ Two-Factor Hardware Token มีรายละเอียดดังนี้

ลักษณะการใช้งานระบบ One Time Password เช่น ระบบของ RSA

   1. เป็น ระบบ One Time Password (OTP) ซึ่งต้องใช้ RSA/SecurID Client Hardware Token ที่มี Battery ทำการ Generate Code เป็นตัวเลขทุกๆ 60 วินาที เพื่อที่จะ "Sync" กับ RSA ACE/Server ในการตรวจสอบตัวตนของผู้ใช้
   2. ต้องมีการเตรียมจัดซื้อ RSA ACE/Server, RSA SecurID Token Hareware และ RADIUS Server เพื่อเตรียมรับ Two-Factor Authentication

ข้อดีของการใช้ระบบ One Time Password

   1. ใช้เพื่อทำ User Authentication แบบ Two-Factor Authentication
   2. ป้องกัน การดักจับข้อมูลจากโปรแกรมจำพวก Packet Sniffer เนื่องจาก Password (PIN+token generate) ใช้ครั้งเดียว การดักด้วย Packet Sniffer จึงไม่มีผล
   3. เหมาะสำหรับการตรวจสอบการเข้าระบบที่พร้อมใช้งานกับ RSA ACE/Server
   4. เป็นระบบ One Time Password (OTP)
   5. ไม่ต้องมี CA และ PKI มาเกี่ยวข้องก็ทำงานได้
   6. ไม่ต้องมี USB Token และไม่ต้องใช้ Smart Card (ในกรณีที่ไม่ต้องการใช้ Smart Card และ PKI)

ข้อด้อยของการใช้ระบบ One Time Password

   1. ต้องลงทุนกับ RSA ACE/Server และ RSA SecurID Token Hardware ทุก Client
   2. ปัญหาเรื่อง Battery ของตัว Hardware Token
   3. ไม่สามารถทำงานแบบ Multi-Factor ได้
   4. ไม่สามารถทำงานแบบ Multi-Application ได้
   5. ไม่สามารถทำงานกับ Digital Certificate หรือ Private Key ของระบบ PKI ได้
   6. มีข้อจำกัดกับการใช้งาน Multi-Application ในแบบ SSO (Single Sign On)
   7. ROI ไม่คุ้มเท่ากับการใช้ Smart Card และ PKI ในระยะยาว (ต้องทำ Cost/ Benefit Analysis)
   8. ไม่ใช่ระบบที่ต่อกับ USB
   9. ไม่ใช่ระบบที่นำ Smart Card มาใช้
  10. ไม่รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation

ลักษณะการใช้งานระบบ Smart Card และระบบ PKI

   1. เป็นระบบที่เปิดกว้างในการนำมาใช้งานได้หลากหลายรูปแบบ
   2. เป็นระบบ Two Factor, Three Factor หรือ Multi-Factor Authentication
   3. มีการใช้งานร่วมกับระบบ PKI
   4. เป็นการใช้งานแบบ SSO (Single Sign On)

ข้อดีของการใช้งานของ Smart Card

   1. ให้ ROI ที่คุ้มค่าในระยะยาว
   2. ทำงานได้หลายแบบ และ เป็นได้มากกว่า Two Factor Authentication
   3. ทำงานร่วมกับระบบ Biometric ได้
   4. สามารถ เก็บ Private Key เพื่อไว้ทำ Electronic Transaction, Digitally sign by using Digital Signature และ ประยุกต์ใช้กับ Application ได้หลากหลาย
   5. รองรับ กฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation เพราะมีการระบุตัวตนโดยใช้ Digital Signature/ Digital Certificate
   6. เป็น SSO (Single Sign On) สมบูรณ์แบบ
   7. มีความสามารถเรื่อง Mobility เหมาะกับ Remote Access ทำให้ผู้ใช้ไม่ขึ้นกับสถานที่หรือเครื่องคอมพิวเตอร์ตัวใดตัวหนึ่ง
   8. ถ้าเป็นแบบ Smart Card using USB Token จะประหยัดค่าใช้จ่ายเรื่องตัวอ่านได้มาก
   9. สามารถใช้หลาย Application ต่อหนึ่ง Smart Card ได้
  10. ทำ Personalization ได้
  11. ป้องกัน Hacker อย่างได้ผล
  12. ลดค่าใช้จ่ายในการบริหารงาน โดยเฉพาะเรื่องการจัดการกับ Password
  13. สะดวกสบายกับผู้ใช้ และไม่ต้องพะวงเรื่องปัญหา Battery
  14. รองรับการขยายงานในอนาคต
  15. รองรับ JAVA (Smart Card ที่ออกแบบมาใช้กับ JAVA)
  16. สามารถใช้กับระบบได้หลายระบบอาทิ
          * ระบบ Employee ID Badge
          * ระบบการเข้าอาคาร (Building Access)
          * ระบบ PC/ Network Log on
          * ระบบ Remote Network Access Log on
          * ระบบ Digital Signature และ Secure E-mail
          * ระบบ Secure Storage
          * ระบบ Web Site Authentication
          * ระบบ Debit Transactions
          * ระบบ PKI Related
          * ระบบ Biometric

ข้อด้อยของการใช้งาน Smart Card

   1. ต้องลงทุนซื้อ Smart Card และเครื่องอ่าน Smart Card ถ้าเป็นแบบ USB Token Smart Card ไม่ต้องซื้อเครื่องอ่านแต่ต้องซื้อ USB token
   2. ควรทำงานร่วมกับระบบ PKI ซึ่งจะต้องมี CA ถ้าไม่มี CA เอง ต้องจ่ายค่าใบรับรอง Digital Certificate ทุกปี
   3. ผู้ใช้ต้องมีความเข้าใจในการทำงานระดับหนึ่ง
   4. ต้องเตรียม Infrastructure สำหรับระบบ PKI ในกรณีที่ต้องการเป็น CA เอง
   5. ต้องมีระบบ Card Management ที่ดี

คำแนะนำในการลงทุนกับ Two-factor Authentication

   1. ก่อนอื่นต้องทำ Cost Benefit Analysis ออกมาก่อนว่าจะใช้ระบบ One Time Password หรือใช้ระบบ Smart Card และ PKI
   2. ควรทำจากระบบเล็กๆ หรือ Pilot Project ก่อนแล้วค่อยขยายผล
   3. ควรพิจารณาเรื่องการลงทุนในระยะยาว เรื่องของ PKI/CA ซึ่งจะเห็นว่าระบบ Smart Card ที่เป็น USB Token น่าจะคุ้มค่าที่สุด
   4. การ ใช้ USB Token Smart Card เป็นเทคโนโลยีที่เหมาะสมในปัจจุบัน และ มีความคุ้มค่าในอนาคตมากที่สุด แต่อย่างไรก็ตาม ถ้าเราใช้งานเพียงแค่การ Log on เข้าสู่ระบบบางระบบเท่านั้น การใช้งาน RSA SecurID Token ก็น่าจะเพียงพอ
   5. หากเราต้องการระบบ SSO (Single Sign On) และการทำงานในลักษณะ Multi-factor Authentication การนำระบบ Smart Card และ PKI มาใช้จะเป็นทางออกที่ดีกว่าในระยะยาว

-ที่มา : http://www.oknation.net/blog/print.php?id=318183