by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ปัญหาการ Authentication ในปัจจุบันที่เรากำลังเผชิญอยู่ในเวลานี้ไม่ว่าจะเป็นการเข้าใช้งานระบบผ่าน LAN หรือ การเข้าใช้งานระบบผ่าน Remote Access ก็คือ เรามักใช้ Username และ Password ในการ Log In หรือ Log On เข้าสู่ระบบ ซึ่ง Hacker สามารถดักจับข้อมูลเราได้โดยง่าย อีกทั้งเรายังไม่สามารถรู้ได้ว่าเป็นผู้ใช้ระบบของเราจริงหรือไม่ เพราะ ถ้ามีใครทราบ Username และ Password ก็สามารถเข้าสู่ระบบได้เหมือนกัน จะเห็นได้ว่าเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้แน่นอน ตลอดจนมีความเสี่ยงกับการโดนเจาะระบบโดยโปรแกรมจำพวก Packet Sniffer อีกด้วย

การนำระบบ Two-Factor Authentication มาใช้จะสามารถแก้ปัญหานี้ได้ เนื่องจากผู้ใช้ระบบในองค์กรไม่ว่าจะเป็น พนักงานระดับปฏิบัติการจนถึงผู้บริหารระดับสูง จะต้องมีอุปกรณ์เพิ่มเติมซึ่งอาจอยู่ในรูปของ Hardware Token หรือ Smart Card เพื่อที่จะใช้ตรวจสอบตัวตนเมื่อต้องการเข้าสู่ระบบ และ สามารถแก้ปัญหาการแอบดักข้อมูลจากโปรแกรม Packet Sniffer ตลอดจนสามารถระบุตัวตนผู้ใช้ที่เป็นเจ้าของ Hardware Token หรือ Smart Card ได้ดีกว่าแบบที่ใช้แค่เพียง Username และ Password
ลักษณะการใช้งาน, ข้อดี- ข้อด้อย และ คำแนะนำ ว่าควรเลือกใช้ระบบ Smart Card และ PKI หรือ Two-Factor Hardware Token มีรายละเอียดดังนี้

ลักษณะการใช้งานระบบ One Time Password เช่น ระบบของ RSA

1. เป็นระบบ One Time Password (OTP) ซึ่งต้องใช้ RSA/SecurID Client Hardware Token ที่มี Battery ทำการ Generate Code เป็นตัวเลขทุกๆ 60 วินาที เพื่อที่จะ “Sync” กับ RSA ACE/Server ในการตรวจสอบตัวตนของผู้ใช้
2. ต้องมีการเตรียมจัดซื้อ RSA ACE/Server, RSA SecurID Token Hareware และ RADIUS Server เพื่อเตรียมรับ Two-Factor Authentication

ข้อดีของการใช้ระบบ One Time Password

1. ใช้เพื่อทำ User Authentication แบบ Two-Factor Authentication
2. ป้องกันการดักจับข้อมูลจากโปรแกรมจำพวก Packet Sniffer เนื่องจาก Password (PIN+token generate) ใช้ครั้งเดียว การดักด้วย Packet Sniffer จึงไม่มีผล
3. เหมาะสำหรับการตรวจสอบการเข้าระบบที่พร้อมใช้งานกับ RSA ACE/Server
4. เป็นระบบ One Time Password (OTP)
5. ไม่ต้องมี CA และ PKI มาเกี่ยวข้องก็ทำงานได้
6. ไม่ต้องมี USB Token และไม่ต้องใช้ Smart Card (ในกรณีที่ไม่ต้องการใช้ Smart Card และ PKI)

ข้อด้อยของการใช้ระบบ One Time Password 

1. ต้องลงทุนกับ RSA ACE/Server และ RSA SecurID Token Hardware ทุก Client
2. ปัญหาเรื่อง Battery ของตัว Hardware Token
3. ไม่สามารถทำงานแบบ Multi-Factor ได้
4. ไม่สามารถทำงานแบบ Multi-Application ได้
5. ไม่สามารถทำงานกับ Digital Certificate หรือ Private Key ของระบบ PKI ได้
6. มีข้อจำกัดกับการใช้งาน Multi-Application ในแบบ SSO (Single Sign On)
7. ROI ไม่คุ้มเท่ากับการใช้ Smart Card และ PKI ในระยะยาว (ต้องทำ Cost/ Benefit Analysis)
8. ไม่ใช่ระบบที่ต่อกับ USB
9. ไม่ใช่ระบบที่นำ Smart Card มาใช้
10. ไม่รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation

ลักษณะการใช้งานระบบ Smart Card และระบบ PKI

1. เป็นระบบที่เปิดกว้างในการนำมาใช้งานได้หลากหลายรูปแบบ
2. เป็นระบบ Two Factor, Three Factor หรือ Multi-Factor Authentication
3. มีการใช้งานร่วมกับระบบ PKI
4. เป็นการใช้งานแบบ SSO (Single Sign On)

ข้อดีของการใช้งานของ Smart Card 

1. ให้ ROI ที่คุ้มค่าในระยะยาว
2. ทำงานได้หลายแบบ และ เป็นได้มากกว่า Two Factor Authentication
3. ทำงานร่วมกับระบบ Biometric ได้
4. สามารถเก็บ Private Key เพื่อไว้ทำ Electronic Transaction, Digitally sign by using Digital Signature และ ประยุกต์ใช้กับ Application ได้หลากหลาย
5. รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation เพราะมีการระบุตัวตนโดยใช้ Digital Signature/ Digital Certificate
6. เป็น SSO (Single Sign On) สมบูรณ์แบบ
7. มีความสามารถเรื่อง Mobility เหมาะกับ Remote Access ทำให้ผู้ใช้ไม่ขึ้นกับสถานที่หรือเครื่องคอมพิวเตอร์ตัวใดตัวหนึ่ง
8. ถ้าเป็นแบบ Smart Card using USB Token จะประหยัดค่าใช้จ่ายเรื่องตัวอ่านได้มาก
9. สามารถใช้หลาย Application ต่อหนึ่ง Smart Card ได้
10. ทำ Personalization ได้
11. ป้องกัน Hacker อย่างได้ผล
12. ลดค่าใช้จ่ายในการบริหารงาน โดยเฉพาะเรื่องการจัดการกับ Password
13. สะดวกสบายกับผู้ใช้ และไม่ต้องพะวงเรื่องปัญหา Battery
14. รองรับการขยายงานในอนาคต
15. รองรับ JAVA (Smart Card ที่ออกแบบมาใช้กับ JAVA)
16. สามารถใช้กับระบบได้หลายระบบอาทิ

• ระบบ Employee ID Badge
• ระบบการเข้าอาคาร (Building Access)
• ระบบ PC/ Network Log on
• ระบบ Remote Network Access Log on
• ระบบ Digital Signature และ Secure E-mail
• ระบบ Secure Storage
• ระบบ Web Site Authentication
• ระบบ Debit Transactions
• ระบบ PKI Related
• ระบบ Biometric

ข้อด้อยของการใช้งาน Smart Card 

1. ต้องลงทุนซื้อ Smart Card และเครื่องอ่าน Smart Card ถ้าเป็นแบบ USB Token Smart Card ไม่ต้องซื้อเครื่องอ่านแต่ต้องซื้อ USB token
2. ควรทำงานร่วมกับระบบ PKI ซึ่งจะต้องมี CA ถ้าไม่มี CA เอง ต้องจ่ายค่าใบรับรอง Digital Certificate ทุกปี
3. ผู้ใช้ต้องมีความเข้าใจในการทำงานระดับหนึ่ง
4. ต้องเตรียม Infrastructure สำหรับระบบ PKI ในกรณีที่ต้องการเป็น CA เอง
5. ต้องมีระบบ Card Management ที่ดี

คำแนะนำในการลงทุนกับ Two-factor Authentication

1. ก่อนอื่นต้องทำ Cost Benefit Analysis ออกมาก่อนว่าจะใช้ระบบ One Time Password หรือใช้ระบบ Smart Card และ PKI
2. ควรทำจากระบบเล็กๆ หรือ Pilot Project ก่อนแล้วค่อยขยายผล
3. ควรพิจารณาเรื่องการลงทุนในระยะยาว เรื่องของ PKI/CA ซึ่งจะเห็นว่าระบบ Smart Card ที่เป็น USB Token น่าจะคุ้มค่าที่สุด
4. การใช้ USB Token Smart Card เป็นเทคโนโลยีที่เหมาะสมในปัจจุบัน และ มีความคุ้มค่าในอนาคตมากที่สุด แต่อย่างไรก็ตาม ถ้าเราใช้งานเพียงแค่การ Log on เข้าสู่ระบบบางระบบเท่านั้น การใช้งาน RSA SecurID Token ก็น่าจะเพียงพอ
5. หากเราต้องการระบบ SSO (Single Sign On) และการทำงานในลักษณะ Multi-factor Authentication การนำระบบ Smart Card และ PKI มาใช้จะเป็นทางออกที่ดีกว่าในระยะยาว

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนพฤษภาคม 2547
Update Information : 25 พฤษภาคม 2547