แนวคิดการระบุตัวตน การพิสูจน์ตัวตน และการให้สิทธิ์
Identification, Authentication, and Authorization
การระบุตัวตนการพิสูจน์ตัวตน และการให้สิทธิ์ เป็นกระบวนการที่นำเทคโนโลยีมาใช้ควบคู่กับทรัพยากรคน และกระบวนการ เพื่อเพิ่มประสิทธิ์ภาพ และศักยภาพในการรักษาความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้ของข้อมูล (Availability) ซึ่งการดำเนินการนี้จะทำให้รูปแบบการรักษาความปลอดภัยของข้อมูลเป็นเหมาะสม และลดความเสี่ยงในการปลอมแปลงตัวบุคคลจากการทำธุรกรรมต่าง ๆ รูปแบบของกระบวนการเหล่านี้เป็นองค์ประกอบที่สำคัญ เนื่องจากจำเป็นต้องอาศัยเทคโนโลยี และความรู้เฉพาะทางเพื่อที่จะควบคุมข้อมูลต่าง ๆ ซึ่งสามารถแบ่งประเภทของการพิสูจน์ตัวตนออกเป็น 3 ประเภทดังนี้
1 .การระบุตัวตน (Identification)
การระบุตัวตน เป็นการค้นหาและเปรียบเทียบตัวบุคคลโดยดึงข้อมูลจากระบบที่เป็นฐานข้อมูลของผู้ใช้งาน ซึ่งเป็นขั้นตอนที่ผู้ใช้งานจำเป็นต้องแสดงตัวตน เช่น การกรอกชื่อผู้ใช้งาน (Username) หรือรหัสผู้ใช้งาน (User ID) การเข้าใช้งานในระบบ หรือการใช้บัตรประจำตัวประชาชนในการระบุตัวตนของแต่ละบุคคล ทั้งนี้ ในปัจจุบันชื่อผู้ใช้งาน และรหัสผู้ใช้งาน อาจยังไม่เพียงพอที่จะระบุตัวตนของผู้ใช้งานจริง ดังนั้น จำเป็นที่จะต้องเก็บข้อมูลอย่างอื่น เพื่อประกอบในการตรวจสอบความน่าเชื่อถือของผู้ใช้งาน เช่น ชื่อผู้ใช้งาน (Username/User ID) รหัสผ่าน (Password) ข้อมูลส่วนบุคคล (Data Privacy) สิทธิ์ในการเข้าใช้งาน (Access Right) เป็นต้น
2. การยืนยันพิสูจน์ตัวตน (Authentication)
การพิสูจน์ตัวตน เป็นการตรวจสอบที่สร้างความมั่นใจ และเป็นเครื่องยืนยันว่าเป็นบุคคล
นั้นจริง ขั้นตอนการพิสูจน์ตัวตนสามารถใช้ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) ในการพิสูจน์ตัวตน โดยการพิสูจน์ตัวตนผ่านชื่อผู้ใช้งาน และรหัสผ่าน เป็นวิธีการที่ที่พบเจอได้มากที่สุด อย่างไรก็ตามการพิสูจน์ตัวตน เพื่อสร้างความปลอดภัยสามารถแบ่งได้ 3 ประเภท คือ
- สิ่งที่คุณรู้ (Something You Know) คือ ข้อมูลที่เจ้าของข้อมูลรู้เพียงคนเดียว เช่น รหัสผ่าน
- สิ่งที่คุณมี (Something You Have) คือ ข้อข้อมูลที่ยืนยันว่าเป็นตัวเจ้าของจริง เช่น พาสปอร์ต บัตรประจำตัวประชาชน เป็นต้น
- สิ่งที่คุณเป็น (Something You Are) คือ ข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ เช่น ลายนิ้วมือ ม่านตา โครงหน้า เป็นต้น
3. การให้สิทธิ์ (Authorization)
การให้สิทธิ์ เป็นการกำหนดการรักษาความปลอดภัย โดยการเข้าถึงหรือสิทธิ์ของผู้ใช้งานที่จะเข้ามาใช้งานในระบบต่าง ๆ โดยการพิสูจน์ตัวตน (Authentication) ต้องทำควบคู่กับการให้สิทธิ์ (Authorization) ซึ่งไม่สามารถตัดกระบวนการใดกระบวนการหนึ่งออกไปได้ อันดับแรกดำเนินการกระบวนการพิสูจน์ตัวตนก่อน เพื่อแสดงให้เห็นว่าเป็นบุคคลดังกล่าวจริง และลำดับถัดมาเป็นการให้สิทธิ์ เพื่อเป็นการกำหนดสิทธิ์ต่าง ๆ การให้สิทธิ์แบ่งออกเป็น 3 รูปแบบ ดังนี้
- การให้สิทธิ์เป็นรายบุคคล ใช้สำหรับพิสูจน์ตัวตน และอนุญาตให้เข้าถึงตามสิทธิ์ที่กำหนดไว้
- การให้สิทธิ์เป็นรายกลุ่ม ใช้สำหรับการกำหนดสิทธิ์ให้แต่ละกลุ่มรูปแบบนี้จะใช้ทรัพยากรน้อย และนิยมใช้กันอย่างแพร่หลาย
- การให้สิทธิ์หลายระบบ เป็นกระบวนการที่พิสูจน์ตัวตนและอนุญาตให้เข้าใช้งานต่าง ๆ ได้ โดยรูปแบบนี้เป็นที่นิยม เนื่องจากชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) สามารถรองรับการให้ผู้ใช้งานลงชื่อเข้าใช้งานระบบ (Login) ครั้งเดียว แต่สามารถเข้าหลายระบบได้โดยไม่ต้องลงชื่อเข้าใช้งานซ้ำ
สุดท้ายนี้หากได้เข้าใจในเรื่องของการระบุตัวตน การพิสูจน์ตัวตน และการให้สิทธิ์ อย่างเหมาะสมแล้ว จะช่วยให้องค์กรของท่านลดความเสี่ยงในการปลอมแปลงตัวบุคคลจากการทำธุรกรรมต่าง ๆ ทั้งภานในองค์กร และภายนอกองค์ได้อย่างแน่นอนครับ
