การรับรองความถูกต้องคืออะไร

ในการรับรองความถูกต้องสมัยใหม่ เราจะมอบหมายกระบวนการรับรองความถูกต้องให้ระบบดูแลข้อมูลประจำตัวที่เชื่อถือได้และแยกจากกันเป็นผู้ดำเนินการ ซึ่งตรงข้ามกับการรับรองความถูกต้องแบบดั้งเดิมที่แต่ละระบบจะดำเนินการยืนยันด้วยตนเอง นอกจากนี้ยังมีการเปลี่ยนแปลงในประเภทของวิธีการรับรองความถูกต้องที่ใช้อีกด้วย แอปพลิเคชันส่วนใหญ่ต้องการชื่อผู้ใช้และรหัสผ่าน แต่เนื่องจากผู้ประสงค์ร้ายมีความช่ำชองในการขโมยรหัสผ่านมากขึ้น ชุมชนด้านการรักษาความปลอดภัยจึงได้พัฒนาวิธีการใหม่ๆ มากมายเพื่อช่วยปกป้องข้อมูลประจำตัว

การรับรองความถูกต้องด้วยรหัสผ่านเป็นรูปแบบการรับรองความถูกต้องที่พบได้บ่อยที่สุด แอปและบริการมากมายกำหนดให้ผู้ใช้สร้างรหัสผ่านที่ประกอบด้วยตัวเลข ตัวอักษร และสัญลักษณ์ผสมกัน เพื่อลดความเสี่ยงที่ผู้ประสงค์ร้ายจะคาดเดารหัสผ่านดังกล่าวได้ อย่างไรก็ตาม รหัสผ่านยังก่อให้เกิดความท้าทายด้านการรักษาความปลอดภัยและการใช้งานอีกด้วย การที่บุคคลจะคิดและจดจำรหัสผ่านที่ไม่ซ้ำกันสำหรับบัญชีออนไลน์แต่ละบัญชีนั้นเป็นเรื่องยาก จึงเป็นเหตุผลที่พวกเขามักใช้รหัสผ่านเดิมซ้ำ และผู้โจมตีใช้กลวิธีมากมายเพื่อคาดเดาหรือขโมยรหัสผ่าน หรือหลอกล่อให้บุคคลแบ่งปันรหัสผ่านโดยไม่เต็มใจ ด้วยเหตุนี้ องค์กรต่างๆ จึงเปลี่ยนจากการใช้รหัสผ่านเป็นการรับรองความถูกต้องในรูปแบบอื่นที่ปลอดภัยยิ่งขึ้น

การรับรองความถูกต้องด้วยใบรับรองเป็นวิธีการเข้ารหัสที่ช่วยให้อุปกรณ์และบุคคลสามารถระบุตัวตนกับอุปกรณ์และระบบอื่นๆ ได้ ตัวอย่างที่พบเห็นได้ทั่วไปสองข้อ ได้แก่ สมาร์ทการ์ดหรือเมื่ออุปกรณ์ของพนักงานส่งใบรับรองดิจิทัลไปยังเครือข่ายหรือเซิร์ฟเวอร์

ในการรับรองความถูกต้องด้วยข้อมูลไบโอเมตริก บุคคลจะยืนยันตัวตนโดยใช้คุณลักษณะทางชีวภาพ ตัวอย่างเช่น หลายคนใช้นิ้วหรือนิ้วหัวแม่มือเพื่อลงชื่อเข้าใช้โทรศัพท์ และคอมพิวเตอร์บางส่วนจะสแกนใบหน้าหรือม่านตาของบุคคลเพื่อยืนยันตัวตน ข้อมูลไบโอเมตริกยังเชื่อมโยงกับอุปกรณ์ที่กำหนดอีกด้วย ดังนั้นผู้โจมตีจึงไม่สามารถใช้งานได้หากเข้าถึงอุปกรณ์ดังกล่าวไม่ได้ การรับรองความถูกต้องประเภทนี้ได้รับความนิยมมากขึ้นเรื่อยๆ เนื่องจากเป็นวิธีการที่ง่ายดายสำหรับบุคคลซึ่งไม่ต้องจดจำสิ่งใดเลย และผู้ประสงค์ร้ายยังขโมยรหัสผ่านได้ยากอีกด้วย ซึ่งทำให้วิธีการนี้ปลอดภัยกว่ารหัสผ่าน

ในการรับรองความถูกต้องด้วยโทเค็น ทั้งอุปกรณ์และระบบจะสร้างหมายเลขเฉพาะใหม่ที่เรียกว่า PIN ที่สามารถใช้ได้เพียงครั้งเดียวแบบกำหนดเวลา (TOTP) ทุกๆ 30 วินาที หากหมายเลขตรงกัน ระบบจะยืนยันว่าผู้ใช้ครอบครองอุปกรณ์ดังกล่าว

รหัสผ่านที่สามารถใช้ได้เพียงครั้งเดียว (OTP) เป็นรหัสที่สร้างขึ้นสำหรับกิจกรรมการลงชื่อเข้าใช้ที่กำหนด ซึ่งจะหมดอายุหลังจากออกให้ไม่นาน ซึ่งจะส่งผ่านข้อความ SMS, อีเมล หรือโทเค็นฮาร์ดแวร์

แอปและบริการบางส่วนใช้การแจ้งเตือนแบบพุชเพื่อรับรองความถูกต้องของผู้ใช้ ในกรณีเหล่านี้ บุคคลจะได้รับข้อความทางโทรศัพท์ที่ขอให้อนุมัติหรือปฏิเสธคำขอในการเข้าถึง เนื่องจากบางครั้งบุคคลอาจอนุมัติการแจ้งเตือนแบบพุชโดยไม่ตั้งใจ แม้ว่าพวกเขาพยายามลงชื่อเข้าใช้บริการที่ส่งการแจ้งเตือนก็ตาม บางครั้งจึงต้องใช้วิธีการนี้ร่วมกับวิธีการ OTP OTP กำหนดให้ระบบสร้างหมายเลขเฉพาะที่ผู้ใช้ต้องป้อน ซึ่งทำให้การรับรองความถูกต้องป้องกันฟิชชิ่งได้มากขึ้น

ในการรับรองความถูกต้องด้วยเสียง บุคคลที่พยายามเข้าถึงบริการจะได้รับสายโทรศัพท์ซึ่งขอให้ป้อนรหัสหรือระบุตัวตนด้วยวาจา

หนึ่งในวิธีการที่ดีที่สุดในการลดโอกาสที่บัญชีจะถูกโจมตีคือการกำหนดให้ต้องใช้วิธีการรับรองความถูกต้องสองวิธีการขึ้นไป ซึ่งอาจรวมถึงวิธีการที่ระบุไว้ก่อนหน้านี้ด้วย แนวทางปฏิบัติที่มีประสิทธิภาพจะใช้วิธีการสองข้อดังต่อไปนี้:

• สิ่งที่ผู้ใช้ทราบ ซึ่งโดยทั่วไปแล้วคือรหัสผ่าน
• สิ่งที่ผู้ใช้ครอบครอง เช่น อุปกรณ์ที่เชื่อถือได้ซึ่งไม่สามารถทำซ้ำได้โดยง่าย เช่น โทรศัพท์หรือโทเค็นฮาร์ดแวร์
• สิ่งที่ผู้ใช้มีติดตัว เช่น การสแกนลายนิ้วมือหรือใบหน้า

ตัวอย่างเช่น องค์กรหลายแห่งขอรหัสผ่าน (สิ่งที่ผู้ใช้ทราบ) และส่ง OTP ผ่าน SMS ไปยังอุปกรณ์ที่เชื่อถือได้ (สิ่งที่ผู้ใช้ครอบครอง) ก่อนที่จะอนุญาตการเข้าถึง

การรับรองความถูกต้องด้วยสองปัจจัยเป็นการรับรองความถูกต้องโดยใช้หลายปัจจัยประเภทหนึ่งที่ใช้การรับรองความถูกต้องสองรูปแบบ