เกริ่นนำ
เนื่องจากสถานการณ์การแพร่ระบาดของเชื้อโรค SARS-CoV-2 ที่ทำให้เกิดโรค COVID-19 ขึ้น ส่งผลให้แต่ละคนต้องทำงานจากที่บ้านมากขึ้น สิ่งหนึ่งที่จำเป็นในการทำงานจากที่บ้านคือการทำงานผ่านระบบเทคโนโลยีสารสนเทศต่าง ๆ ทั้งนี้ ขั้นตอนแรกก่อนใช้งานระบบเทคโนโลยีสารสนเทศต่าง ๆ คือการพิสูจน์ตัวตนผู้ใช้งาน ซึ่งวิธีที่นิยมปฏิบัติกันคือการพิสูจน์ตัวตนด้วยชื่อผู้ใช้งานและรหัสผ่าน แม้วิธีการพิสูจน์ตัวตนแบบนี้จะเป็นวิธีที่ง่ายและใช้กันอย่างแพร่หลาย แต่วิธีการนี้ก็มีข้อเสียหลายประการ อาทิ ความเสี่ยงต่อการถูกใช้งานโดยผู้อื่นนั้นขึ้นอยู่กับคุณภาพของรหัสผ่าน ซึ่งคุณภาพของรหัสผ่านนี้แตกต่างไปตามผู้ใช้งานแต่ละคน
นอกจากการพิสูจน์ตัวตนโดยใช้ชื่อผู้ใช้งานและรหัสผ่านแล้ว ยังมีวิธีการพิสูจน์ตัวตนแบบอื่น ๆ เช่น ใช้เทคโนโลยี Digital Certificate ด้วย ซึ่งวิธีนี้มีความปลอดภัยมากกว่าการใช้ชื่อผู้ใช้งานและรหัสผ่าน เพราะการคาดเดา Digital Certificate ทำได้ยากกว่าการคาดเดารหัสผ่าน
การพิสูจน์ตัวตนกับการใช้งานระบบ Remote Terminal
การทำงานระยะไกลผ่าน Remote Terminal มีมานานกว่า 30 ปีแล้ว แต่เดิมนั้นวิธีการที่ใช้คือผ่าน rlogin ต่อมาก็พัฒนาเป็นผ่าน telnet อย่างก็ตาม การใช้งานผ่าน telnet มีข้อเสียที่ร้ายแรงคือข้อมูลที่วิ่งผ่านเครือข่ายคอมพิวเตอร์เป็นแบบ plain text ทำให้หากใครสามารถดักฟังช่องทางการสื่อสารได้ ก็จะได้ข้อมูลทุกอย่างไป จึงมีการพัฒนาการใช้งาน Remote Terminal ผ่านโปรโตคอล SSH ซึ่งใช้การเข้ารหัสข้อมูลมาช่วยป้องกันมิให้ผู้ที่สามารถดักฟังช่องทางการสื่อสารได้ข้อมูลที่อ่านได้โดยง่าย แต่การพิสูจน์ตัวตนผ่านโปรโตคอลนี้ก็ยังใช้วิธีการเดิมคือชื่อผู้ใช้งานและรหัสผ่าน
ข้อดีของการพิสูจน์ตัวตนโดยใช้ชื่อผู้ใช้งานและรหัสผ่านคือใช้งานได้ง่าย ผู้ใช้ทุกคนเข้าใจขั้นตอนการใช้งาน แต่จุดอ่อนที่สำคัญคือรหัสผ่านเพราะขึ้นกับผู้ใช้งานแต่ละคน ผู้ใช้งานมีแนวโน้มที่จะตั้งรหัสผ่านไม่ยาว ไม่ซับซ้อน ง่ายต่อการจำ (และคาดเดาโดยคนร้าย) หรือใช้เครื่องมือเพื่อจำรหัสผ่านนั้น ๆ ไว้เพื่อกลับมาใช้งานภายหลัง ในส่วนของผู้ดูแลระบบนั้น ข้อดีของการพิสูจน์ตัวตนโดยใช้รหัสผ่านคือผู้ดูแลระบบสามารถกำหนดนโยบายด้านรหัสผ่านเพื่อให้ระบบปลอดภัยมากขึ้น เช่น กำหนดจำนวนครั้งที่พยายามใช้งาน กำหนดเงื่อนไขความยาวและความซับซ้อนของรหัสผ่าน กำหนดให้เปลี่ยนรหัสผ่านภายในระยะเวลาที่กำหนด เป็นต้น แต่การกำหนดนโยบายรหัสผ่านที่ยุ่งยากทำให้ผู้ใช้งานไม่สะดวก และพยายามเลือกใช้รหัสผ่านที่ค่อนข้างง่ายแต่ไม่ขัดกับนโยบายรหัสผ่าน ซึ่งทำให้คุณภาพโดยรวมของรหัสผ่านอยู่ในเกณฑ์ที่ไม่ดี
วิธีการพิสูจน์ตัวตนที่ปลอดภัยกว่าคือการพิสูจน์ตัวตนโดยใช้เทคโนโลยี Digital Certificate ซึ่งเริ่มด้วยการสร้างกุญแจคู่ซึ่งประกอบด้วยกุญแจสาธารณะ (Public Key) และกุญแจส่วนตัว (Private Key) โดยใช้คอมพิวเตอร์ จากนั้นนำกุญแจสาธารณะไปเก็บไว้ที่คอมพิวเตอร์ที่ต้องการใช้งานจากระยะไกล ส่วนกุญแจส่วนตัวนั้นให้เก็บไว้บนคอมพิวเตอร์เท่านั้น เมื่อต้องการใช้งานจากระยะไกล เครื่องคอมพิวเตอร์จะพิสูจน์ตัวตนของผู้ใช้งานโดยการเข้ารหัสข้อความโดยใช้กุญแจสาธารณะที่เก็บไว้ จากนั้นเครื่องคอมพิวเตอร์ของผู้ใช้จะถอดรหัสโดยใช้กุญแจส่วนตัว หากตรวจสอบแล้วตรงกัน แสดงว่าเป็นผู้ใช้งานที่ถูกต้อง ก็จะอนญาตให้ใช้งานคอมพิวเตอร์ได้ ซึ่งจะเห็นว่าในมุมของขั้นตอนการใช้งานจะสะดวกมาก เพราะผู้ใช้งานไม่จำเป็นต้องป้อนชื่อผู้ใช้งานและรหัสผ่านก่อนใช้งาน
ข้อดีของการพิสูจน์ตัวตนโดยใช้เทคโนโลยี Digital Certificate คือมีความปลอดภัยกว่า เพราะการคาดเดา Digital Certificate นั้นยากกว่าการคาดเดารหัสผ่านมาก นอกจากนี้ระหว่างการสร้างกุญแจคู่นั้น ผู้ใช้สามารถสร้างขนาดของกุญแจคู่ได้ถึง 4096 Bits โดยขนาดขั้นต่ำของกุญแจคู่ที่แนะนำคือ 1024 Bits ซึ่งเทียบเท่ารหัสผ่านขนาด 12 ตัวอักษร นอกจากนี้ กระบวนการสร้างกุญแจคู่นั้นทำโดยคอมพิวเตอร์ซึ่งจะสร้างกุญแจคู่ที่มีคุณภาพดี หากผู้ใช้สร้างรหัสผ่าน 12 ตัวอักษรเอง ก็อาจเป็นไปได้ที่ผู้ใช้จะเลือก 123456789012 (ซึ่งเป็นรหัสผ่านที่ไม่ดี) เป็นรหัสผ่านสำหรับใช้งาน
การพิสูจน์ตัวตนกับเว็บบราวเซอร์
ปัจจุบันการใช้งานระบบสารสนสนเทศเกือบทุกระบบเป็นการใช้งานผ่านบราวเซอร์ ผู้ใช้งานส่วนใหญ่คุ้นเคยกับการใช้งานระบบสารสนเทศผ่านบราวเซอร์ โดยผู้ใช้ได้รับคำแนะนำว่าระบบสารสนเทศที่กำลังจะใช้งานนั้นจะต้องขึ้นต้นด้วย https ซึ่งจะช่วยลดความเสี่ยงที่คนร้ายจะนำข้อมูลที่ได้จากการดักฟังไปใช้ประโยชน์ได้ และเมื่อเชื่อมต่อกับระบบสารสนเทศนั้น ๆ แล้ว ระบบฯจะให้ผู้ใช้งานพิสูจน์ตัวตนโดยถามชื่อผู้ใช้งานและรหัสผ่าน ซึ่งหากชื่อผู้ใช้งานหรือรหัสผ่านเกิดการรั่วไหล หรือมีคุณภาพไม่ดี ก็มีโอกาสที่คนร้ายจะเข้าสู่ระบบสารสนเทศนั้นจากคอมพิวเตอร์เครื่องใด ๆ ก็ได้
เพื่อลดความเสี่ยงดังกล่าว ระบบสารสนเทศที่ต้องการเพิ่มระดับของความมั่นคงปลอดภัยจึงควรเปิดใช้งาน “mutual authentication” ซึ่งเป็นการยืนยันว่าเครื่องคอมพิวเตอร์ที่กำลังเชื่อมต่อด้วยมีสิทธิใช้งานระบบสารสนเทศนั้น ๆ กล่าวคือเมื่อใช้งาน mutual authentication แล้วนอกจากระบบสารสนเทศจะส่ง Digital Certificate เพื่อให้บราวเซอร์ตรวจสอบและยืนยันว่าเป็นระบบสารสนเทศที่ต้องการใช้งานจริง ๆ แล้ว ระบบสารสนเทศจะขอให้บราวเซอร์ส่ง Digital Certificate ของบราวเซอร์กลับไปให้ระบบสารสนเทศเพื่อตรวจสอบและยืนยันว่าผู้ใช้กำลังจะใช้งานจากคอมพิวเตอร์ที่ถูกต้องและมีสิทธิใช้ด้วย
การพิสูจน์ตัวตนกับระบบเครือข่ายคอมพิวเตอร์ไร้สาย
เมื่อผู้ใช้ต้องการใช้งานเครือข่ายคอมพิวเตอร์ไร้สาย ผู้ใช้จำเป็นจะต้องพิสูจน์ตัวตนว่ามีสิทธิใช้งานเครือข่ายไร้สายดังกล่าว หากเป็นการใช้งานเครือข่ายไร้สายแบบส่วนตัว เช่น เครือข่ายไร้สายที่บ้าน การป้อนรหัสผ่านเพียงอย่างเดียวก็เพียงพอที่จะพิสูจน์ตัวตนแล้ว เช่น วิธีการแบบ WPA2-AES เป็นต้น แต่หากเป็นเครือข่ายไร้สายของหน่วยงาน การป้อนรหัสผ่านของเครือข่ายไร้สายเป็นวิธีการที่ไม่เหมาะสมเพราะรหัสผ่านนั้นจะใช้ร่วมกันทุกคน ไม่สามารถแยกแยะได้ว่าผู้ใดเป็นผู้ใช้งาน อีกทั้งมีโอกาสสูงที่รหัสผ่านเครือข่ายไร้สายดังกล่าวจะหลุดสู่สาธารณะ จึงเป็นเหตุให้การพิสูจน์ตัวตนกับเครือข่ายไร้สายขององค์กรจำเป็นจะต้องมีทั้งชื่อผู้ใช้งานและรหัสผ่าน นอกจากนี้ เครือข่ายไร้สายจำเป็นจะต้องมีการเข้ารหัสข้อมูลเพื่อป้องกันการนำข้อมูลที่ได้จากการดักฟังไปใช้ประโยชน์ เช่น วิธีการแบบ WPA2-Enterprise EAP-TLS เป็นต้น
อย่างไรก็ตาม วิธีการใช้งานเครือข่ายไร้สายแบบใส่ชื่อผู้ใช้งานและรหัสผ่านก็มีจุดอ่อนคือ รหัสผ่านของผู้ใช้งานอาจจะเป็นรหัสผ่านที่คุณภาพไม่ดี ซึ่งก็จะทำให้ผู้ที่สามารถดักฟังข้อมูลนำข้อมูลที่ดักฟังได้ไปประมวลผลเพื่อหารหัสผ่านแล้วใช้งานเครือข่ายไร้สายโดยหลอกระบบว่าเป็นผู้ใช้งานตัวจริงได้ จุดอ่อนอีกประการหนึ่งของการใช้งานเครือข่ายไร้สายแบบนี้คือ คนร้ายอาจจะสร้างเครือข่ายไร้สายปลอมโดยใช้ชื่อเดียวกับเครือข่ายไร้สายที่ผู้ใช้งานใช้อยู่เป็นประจำ เมื่อผู้ใช้เห็นชื่อเครือข่ายไร้สายที่ใช้งานอยู่เป็นประจำก็จะพยายามเชื่อมต่อเพื่อใช้งาน ทำให้คนร้ายได้ข้อมูลสำคัญของผู้ใช้งาน เช่น ชื่อผู้ใช้งานและรหัสผ่าน เป็นต้น
วิธีการพิสูจน์ตัวตนที่ปลอดภัยกว่า คือการพิสูจน์ตัวตนโดยใช้เทคโนโลยี Digital Certificate เทคโนโลยีนี้จะใช้เทคโนโลยีของกุญแจสาธารณะเพื่อใช้งานเครือข่ายไร้สายทำให้ลดโอกาสที่ผู้ใช้จะใช้รหัสผ่านคุณภาพไม่ดีกับเครือข่ายไร้สาย อีกทั้งช่วยลดความเสี่ยงที่ผู้ใช้งานจะเชื่อมต่อกับเครือข่ายไร้สายปลอมที่มีชื่อเดียวกับเครือข่ายไร้สายที่ใช้งานอยู่ประจำ เพราะอุปกรณ์จะตรวจสอบเครือข่ายไร้สายที่กำลังจะเชื่อมต่อโดยใช้ Digital Certificate ก่อนที่จะเชื่อมต่อใช้งานเครือข่ายไร้สาย
สรุป
แม้การพิสูจน์ตัวตนโดยใช้ชื่อผู้ใช้งานและรหัสผ่านเป็นวิธีที่ผู้ใช้งานคุ้นเคยและใช้งานมาอย่างยาวนาน แต่การพิสูจน์ตัวตนโดยวิธีดังกล่าวก็ยังมีจุดที่ควรปรับปรุงเพื่อเพื่อยกระดับความน่าเชื่อถือของความมั่นคงปลอดภัย การพิสูจน์ตัวตนผู้ใช้งานโดยใช้เทคโนโลยี Digital Certificate เป็นวิธีการหนึ่งที่จะช่วยทำให้ความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศดีขึ้น