by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
เราต้องยอมรับว่าในปัจจุบันการใช้งานคอมพิวเตอร์เป็นเรื่องจำเป็นในชีวิตประจำวันของเรา และ เมื่อเราต้องการใช้งานระบบต่างๆ ไม่ว่าจะเข้าไปหาข้อมูลในอินเทอร์เน็ต หรือรับส่ง e-mail เราต้องผ่านขั้นตอนอยู่ขั้นตอนหนึ่งก่อนเสมอ นั่นคือ การทำ “Authentication” หมายถึงการแสดงตนเพื่อ “Log in” หรือ “Log on” เข้าสู่ระบบ ซึ่งทุกระบบย่อมต้องมีการทำ “Access Control” เพื่อไม่ให้ผู้ที่ไม่เกี่ยวข้องกับระบบ (Unauthorized Access) หรือ ผู้ไม่หวังดีทั้งหลายไม่ว่าจะเป็นพวกแฮกเกอร์หรือพวกโปรแกรม Malicious Mobile Code ต่าง ๆ ไม่สามารถเข้าใช้งานระบบของเราได้เพราะต้องผ่านการตรวจสอบในขั้นตอนการทำ Authentication เสียก่อน

การทำ Authentication ในปัจจุบันมีอยู่ 3 ลักษณะ ได้แก่
Type 1 “Something you know” หมายถึง การใช้ User Name และ Password ในการเข้าสู่ระบบโดยทั่วไปเช่น การใช้ อินเทอร์เน็ตด้วยการหมุน Modem จากบ้านเข้าสู่ ISP หรือ การทำงานในบริษัทที่ต้องมีการ “Log in” โดยใช้ User name และ Password ซึ่งการ Authentication ในลักษณะนี้ถือเป็นแบบที่ระดับความปลอดภัยอ่อนที่สุด เพราะถ้าใครรู้ User name และ Password ของเราก็สามารถเข้าใช้งานระบบได้ทันที นอกจากนี้เรายังตรวจสอบตัวตน (Authenticity/Accountability) ของผู้ใช้ระบบไม่ได้ว่าใครเป็นใครอีกด้วย
Type 2 “Something you have” เป็นการ Authentication ในลักษณะที่เรียกว่า “Two-Factor” กล่าวคือ นอกจากจะมี password ที่ต้องจำแล้วยังต้องใช้อุปกรณ์เสริมเข้ามาใช้ในการเข้าระบบด้วยเช่น บัตร ATM, RSA Token, Swipe card, Access card และ Smart card เป็นต้น
การตรวจสอบผู้ใช้ระบบโดยใช้ Smart card เข้ามาช่วยนั้นจะช่วยตรวจสอบตัวตนของผู้ใช้งานระบบได้คล้าย ๆ กับที่ธนาคารตรวจสอบผู้ใช้งานบัตร ATM ของธนาคารว่าเป็นเจ้าของบัตรหรือไม่ พราะบัตรควรจะต้องอยู่กับเจ้าของบัตรเท่านั้น และเจ้าของบัตรเท่านั้นที่ทราบรหัสของตน ผู้อื่นถึงแม้จะขโมยบัตรไปแต่ก็ไม่ทราบรหัสที่อยู่ในบัตร ทำให้ยากไปอีกขั้นหนึ่งในการเจาะเข้าสู่ระบบ
การใช้ Smart card นั้นควรมีการใช้งานร่วมกับระบบ PKI หรือ “Public-Key Infrastructures” ผู้ใช้แต่ละคนจะได้รับ “Digital Certificate” ที่ได้รับรองจาก CA หรือ Certificate Authority ว่าผู้ใช้มีตัวตนจริง และ ใน Smart card จะเก็บ “Private key” ของผู้ใช้ไว้ตลอดจนมีการเข้ารหัสลับเพื่อไม่ให้แฮกเกอร์สามารถนำ Private key ไปใช้ได้ง่าย ๆ ระบบ PKI ถูกออกแบบมาให้ผู้ใช้งานคอมพิวเตอร์สามารถทำงานแบบ Mobile User ได้เพราะผู้ใช้ Smart card สามารถเข้าสู่ระบบโดยอาศัย digital certificate ที่เก็บอยู่ใน microchip บน Smart card และ Smart card ยังเหมาะที่ใช้เก็บ “Private key” ของผู้ใช้ด้วยเพราะ Smart card ถูกออกแบบมาให้ผู้ไม่หวังดีไม่สามารถเข้าถึงข้อมูลใน Smart card ได้ เพราะใน Smart Card มีระบบป้องกันหลายชั้นที่ค่อนข้างซับซ้อนพอสมควร
อีกระบบหนื่งที่เป็นลักษณะ Two-factor Authentication เหมือนกัน เราเรียกว่าระบบ “One time password” ยกตัวอย่างได้แก่ ระบบของ RSA Security ระบบนี้จะแตกต่างจากการใช้ Smart card และ PKI ดังที่กล่าวมาแล้ว กล่าวคือ ระบบของ RSA จะใช้ Token ที่มีลักษณะคล้าย ๆ กับ พวงกุญแจที่ผู้ใช้ต้องพกติดตัว ในตัว RSA Token ซึ่งเรียกว่า SecurID Token ทุกๆ 60 วินาที Token จะ generate ตัวเลขชุดหนึ่งออกมาเพื่อใช้ประกอบในการ Log in เข้าสู่ระบบ โดยเราต้องติดตั้ง ACE Server เพื่อรองรับการ Log in จาก client ถ้าตรงกันก็จะปล่อยให้ client เข้าสู่ระบบได้ เพราะตัวเลขนี้จะใช้แค่เพียงครั้งเดียวเท่านั้น การใช้งานแบบนี้ต้องอาศัย hardware และ software เฉพาะ และ ต้องติดตั้งระบบในรูปแบบที่ทาง RSA ได้กำหนดไว้
Type 3 “Something you are” ก็คือการนำเทคโนโลยี “Biometric” เข้ามาใช้ในการตรวจสอบตัวตนโดยอาศัยอวัยวะที่คนเรามีอยู่ และ มีสักษณะที่เป็น unique คือ ไม่ซ้ำกัน ได้แก่ ลายนิ้วมือ, ม่านตา เป็นต้น การใช้งาน Smart card สามารถร่วมกับระบบ “Biometric” ได้ กล่าวคือ เราสามารถเก็บลายนิ้วมือของคนลงไปใน Microchip ที่อยู่ใน Smart card ได้ด้วย ซึ่งจะเพิ่มระดับของความปลอดภัยมากขึ้น แต่ค่าใช้จ่ายก็จะสูงขึ้นเช่นกัน

กล่าวโดยสรุปก็คือ ถ้าเราต้องการระบบการรักษาความปลอดภัยที่ดี และ สามารถตรวจสอบผู้ใช้ได้ในลักษณะของ Authenticity หรือ Accountability เรามีความจำเป็นต้องใช้ Authentication แบบ Type 2 หรือ Type 3 เท่านั้น ซึ่ง Smart card และ PKI จะมีบทบาทอย่างมากในการทำให้ระบบมีความปลอดภัยมากขึ้นแต่ค่าใช้จ่ายในการติดตั้งระบบ ตลอดจนราคาของ Smart card ตลอดจนเครื่องอ่าน Smart card และลิขสิทธิ์ของ software ซึ่งส่วนใหญ่จะใช้ Java Technology ก็เป็นปัจจัยที่ต้องคำนึงเช่นกัน และ ที่สำคัญคือ IT Infrastructure ของผู้ให้บริการที่เป็น CA หรือ RA และผู้ให้บริการที่มีหน้าที่ออกบัตร Smart card นั้นจะต้องมีระบบความปลอดภัยที่อยู่ในระดับสูงมากกว่าหน่วยงานปกติที่ใช้ IT โดยทั่วไป จึงควรมีการทำ Risk Assessment หรือ ทำ In-depth IT Audit ระบบก่อนที่ให้บริการ เพื่อเพิ่มความมั่นใจในการใช้งาน และ เพื่อให้เกิดความคุ้มค่าที่เราได้ลงทุนไปกับเทคโนโลยี Smart Card และ PKI

จาก : หนังสือ eWeek Thailand
ปักษ์แรก เดือนพฤษภาคม 2547
Update Information : 29 เมษายน 2547