Multi-Factor Authentication และ Single Sign-On ผสานความลงตัวโซลูชั่นการรับรองและยืนยันความถูกต้อง

การยืนยันตัวตนด้วย username และ password ในโลกดิจิตอลปัจจุบัน ดูจะเป็นเรื่องธรรมดา ที่ไม่เพียงพอต่อการปกป้องข้อมูลที่มีความสำคัญมากของเราอีกต่อไป การขโมยข้อมูลการระบุตัวบุคคล การละเมิดทางข้อมูล มัลแวร์ การปลอมตัวหลอกล่อเอาข้อมูลที่เป็นอันตรายต่างๆ สิ่งเหล่านี้ทำให้ระบบความปลอดภัยทางข้อมูลจำเป็นต้องอยู่เหนือภัยคุกคามด้านความปลอดภัยขึ้นไปอีกหนึ่งระดับ หรือมากกว่า

ระบบความปลอดภัยที่แข็งแรง และเชื่อถือได้ในยุคสมัยใหม่นี้ สำหรับหน่วยงานราชการ องค์กรไม่แสวงหาผลกำไร ธุรกิจขนาดเล็กถึงกลาง หรือ องค์กรขนาดใหญ่ ไม่ใช่แค่เป็นเรื่องสำคัญ แต่มันคือ “สิ่งจำเป็น”

ระบบความปลอดภัยที่ดีต้องคำนึงถึงความต้องการขององค์กร และพนักงาน, การสร้างความสมดุลระหว่างการป้องกัน, การเข้ารหัส และความง่ายต่อการใช้งาน

รูปแบบความปลอดภัยในการยืนความถูกต้องส่วนใหญ่มักจะมีโซลูชั่นตัวเลือกหลักๆอยู่สองทาง คือ “Single Sign-On (SSO)” หรือ “Multi-Factor Authentication (MFA)” – การตัดสินใจเลือกว่าอะไรคือสิ่งที่ดีที่สุดสำหรับองค์กรจะต้องพิจรณาอย่างรอบขอบถึงข้อดีและข้อเสียของแต่ละแบบ และแน่นอนว่า ทั้งสองอย่างไม่ใช่โซลูชั่นที่จะทำงานร่วมกันไม่ได้ เราสามารถเลือกใช้ทั้งสองอย่างเลยก็ได้ อย่างไรก็ตาม ปัจจัยด้านเศรษฐกิจและการเงินของแต่ลงองค์กร และความสามารถในการจัดสรรงบประมาณและเวลาในแต่ละโครงการ ก็เป็นปัจจัยในการสร้างความแตกต่างให้กับโซลูชั่นที่เลือกใช้

Muti-Factor Authentication คืออะไร?

เรียกย่อๆว่า MFA คือการใช้ปัจจัยหลายๆอย่างในการตรวจสอบและยืนยันตัวบุคคล เพื่ออนุญาตเข้าใช้งาน ซอฟต์แวร์, ระบบ หรือข้อมูลต่างๆ โดยทั่วไประบบ MFA จะเป็นการใช้เครื่องมือตั้งแต่ 2 อย่างขึ้นไปในการตรวจสอบและยืนยันความถูกต้อง ดังนี้

• What you know (สิ่งที่คุณรู้): เช่น password, รหัสประจำตัว, หรือ คำถามเฉพาะเพื่อกู้รหัสผ่าน
• What you have (สิ่งที่คุณมี): เช่น บัตรสมาร์ทการ์ด} FIDO token, one-time password (OTP), อุปกรณ์บลูทูธ, apple watch หรือ authenticator device อื่นๆ
• Who you are (สิ่งที่คุณเป็น): เช่น ลายนิ้วมือ หรือ ระบบจดจำใบหน้า
• What you do and where you are (สิ่งที่คุณทำ หรือ ที่ที่คุณอยู่): เช่น การระบุที่อยู่ โดยใช้ GPS, IP Address หรือ Integrated Windows Authentication (IWA) และ พฤฒิกรรมนิสัยการพิมพ์ (keystroke biometrics)

ประโยชน์ที่เห็นได้ชัดของ multi-factor authentication นั่นก็คือ “ความปลอดภัยที่สูงขึ้น” การเพิ่มเครื่องมือหรือปัจจัยในการรับรองความถูกต้องเข้าด้วยกัน เช่น การใช้ password, hardware token และ biometric เพื่อรับรองความถูกต้องของผู้ใช้งาน สามารถลดความเสี่ยงการละเมิดการเข้าถึงข้อมูลและซอฟต์แวร์ลงได้เป็นอย่างมาก

อย่างไรก็ตาม ในขณะที่ MFA มีประโยชน์อย่างมากในการใช้งานเพื่อความปลอดภัยในการยืนยันผู้ใช้งานเข้าระบบ ในหลายครั้งก็มักจะตามมาซึ่งความยุ่งยากในการบริหารจัดการและการใช้งาน ผู้ใช้งานจำเป็นต้องจัดเตรียม factor ที่สอง (อย่างแรกคือสิ่งที่รู้ หรือจำได้) สำหรับบางผู้ใช้งาน การต้องจัดเตรียมโทรศัพท์สมาร์ทโฟน เพื่อรับ one-time password (OTP) ผ่าน SMS อาจจะเป็นข้อจำกัด แต่ถึงอย่างนั้น MFA ก็ยังคงเป็นรูปแบบที่ปลอดภัยที่สุดสำหรับองค์กรในการล็อคระบบเครือข่าย หรือแอพพลิเคชั่นจากการเข้าถึงที่ไม่ได้รับอนุญาต

Single Sign-On คืออะไร

แนวคิดของคำว่า single sign-on (SSO) ค่อนข้างตรงไปตรงมา นั่นคือ ผู้ใช้งานมีการลงชื่อเข้าใช้หลัก เพื่อรับรองความถูกต้องของตัวเองในตอนเริ่มต้นการใช้งาน และเมื่อหลังจากนั้น หากผู้ใช้งานต้องการลงชื่อเข้าใช้ซอฟต์แวร์อื่นๆ ระบบ SSO ก็จะทำการ log-in ให้เองโดยอัตโนมัติ โซลูชั่น SSO จะจัดเก็บข้อมูลการยืนยันรับรองที่หลากหลายสำหรับผู้ใช้ซอฟต์แวร์ทุกชิ้นที่ต้องการเข้าถึง จากนั้นจะตรวจสอบความถูกต้องของผู้ใช้กับระบบเหล่านั้นเมื่อจำเป็นต้องเข้าถึง

ประโยชน์ของการใช้ single sign-on (SSO) ประกอบด้วย

• ผู้ใช้งานแค่ต้องจำเพียง 1 password แม้ว่าอาจจะต้องป้อนข้อมูลรหัสประจำตัวสำหรับระบบอื่นๆเป็นบางครั้ง แต่ก็ไม่ใช่เรื่องที่ยุ่งยากมากเกินไป
• ความปลอดภัยเพิ่มเติม เช่น การยืนยันด้วย biometric สามารถเพิ่มเข้ามาใช้ร่วมกับ single sign-on ในครั้งแรกได้ หรือ สามารถเข้าถึงได้โดยผ่าน usb token, software token หรือ อุปกรณ์เข้ารหัสอื่นๆ ซึ่ง ณ จุดนี้ MFA เรียกได้ว่า สามารถเข้ามามีบทบาทร่วมกันได้
• SSO เป็นโซลูชั่นที่รวดเร็ว และสะดวกกับผู้ใช้งาน ช่วยประหยัดเวลาด้วยการที่ไม่ต้องใช้เวลาไปกับการ log-in ทุกครั้งกับหลายๆแอพพลิเคชั่น
• ความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาตลดลงในบางกรณี ตัวอย่างเช่น ข้อมูลยืนยันผู้ใช้งาน สำหรับ 3rd party applications สามารถจัดเก็บแบบภายใน แทนที่จะเก็บบนระบบภายนอก
• การติดต่อร้องขอการ support จากฝ่าย service เพื่อขอ reset password มีน้อยมาก สามารถลดงานด้าน IT support ที่ไม่จำเป็นได้เป็นอย่างดี

ข้อเสียของการใช้ single sign-on (SSO):

• ถ้า hacker หรือ มัลแวร์ต่างๆ สามารถเข้าถึง SSO ได้ ระบบที่ใช้ SSO ทั้งหมดจะตกอยู่ในอันตรายทันที
• SSO ต้องถูกนำมาใช้คู่กับการเข้ารหัส และวิธีการตรวจสอบที่แข็งแรง เพื่อป้องกันเหตุการณ์นี้ไม่ให้เกิดขึ้น
• หากระบบ SSO สูญหาย หมายความว่า ผู้ใช้งานจะไม่สามารถเข้าถึงระบบใดๆได้เลย กลายเป็นจุดบอดจุดเดียวที่กระทบระบบทั้งหมด

The best of both worlds—combining SSO and MFA

MFA และ SSO ต่างมีข้อด้อยด้านความปลอดภัยและการรับรองความถูกต้องจากหลายๆ ด้าน

SSO นั้นสะดวกสบายมากกว่าสำหรับผู้ใช้งาน แต่ก็มีความเสี่ยงด้านความปลอดภัยที่สูงกว่า ส่วน MFA นั้นมีความปลอดภัยที่สูงกว่า แต่ก็สะดวกสบายน้อยกว่า แล้วพื้นที่ที่จะทำให้รวมทั้งสองโซลูชั่นนี้เข้าด้วยกันเพื่อจะได้เป็นโซลูชั่นที่ทั้งปลอดภัย และสะดวกง่ายดายคืออะไร?

และนี่คือสิ่งที่ทำให้อุตสาหกรรมด้านความปลอดภัยและการเข้ารหัสขับเคลื่อนไปข้างหน้า มันคือวิวัฒนาการด้านความปลอดภัย ทำให้มีแนวทางใหม่ๆบางส่วนได้ถูกทดสอบและใช้งาน เช่น

• กำหนดให้ใช้ secure MFA sign-on ตั้งแต่เริ่มต้นการใช้งาน คล้ายกับโซลูชั่น single sign-on
• ให้สิทธิการเข้าถึงแก่ผู้ใช้ ที่ผ่านการตรวจสอบอย่างต่อเนื่องตลอดทั้งวัน
• กำหนดให้ใช้การตรวจสอบเพิ่มเติม โดยใช้ MFA ตามเงื่อนไขบางประการ เช่น
  • การเข้าถึงระบบที่มีความสำคัญเป็นอย่างมาก
  • การเปลี่ยนแปลงพฤติกรรมของผู้ใช้ที่ตรวจพบโดยซอฟต์แวร์
  • การใช้เกณฑ์เช่นสถานที่, บทบาท, ความอาวุโสและสิ่งที่คล้ายกันเพื่อกำหนดว่าต้องมีการตรวจสอบใหม่เมื่อใด
  • การใช้อัลกอริทึมเพื่อขอข้อมูลประจำตัวเพิ่มเติมในการใช้งานบางกรณี

ความสะดวกสบายของ SSO เมื่อรวมเข้ากับความปลอดภัยของ MFA เป็นตัวช่วยให้ธุรกิจมีรูปแบบที่มั่นคง ปลอดภัย และน่าเชื่อถือ นอกจากนี้ ประสิทธิภาพและความสะดวกที่ผู้ใช้งานได้รับจาก MFA และ SSO นั้นหมายถึงปริมาณการของฝ่าย help desk ที่ให้บริการ support เพื่อการ reset password ก็จะลดน้อยลงตามไปด้วย