Thursday, June 21, 2012

ทำความรู้จักกับ 2-step verification

ทุกวันนี้ เราเข้าใช้บริการ online ต่างๆมากมาย ไม่ว่าจะเป็น บริการ e-mail เช่น gmail, hotmail, yahoo หรือเครือข่ายสังคมเช่น facebook, Google+ บริการต่างๆเหล่านี้อยู่ใน internet นั่นหมายความว่า เราสามารถเข้าใช้งานบริการนั้นๆได้จากทุกที่ (ที่เชื่อมต่อ internet ได้)

การเข้าใช้บริการเหล่านี้จำเป็นต้องมีการยืนยันตัวตน เพื่อเข้าถึงข้อมูลใน account ของเรา ในการยืนยันตัวตน ระบบไม่สามารถรับรู้ได้ว่าเราคือใคร มีสิทธิ์หรือไม่ (เพราะมันรู้จักเราผ่าน mouse และ keyboard)  ดังนั้นจึงต้องมีการถาม 'สิ่งที่เรารู้' ซึ่งนั่นก็คือ username และ password ของ account เราเรานั่นเอง


การยืนยันตัวตนด้วย username และ password

การใช้ 'สิ่งที่เรารู้' เพื่อยืนยันตัวตนนั้น สามารถมั่นใจได้ว่า ถ้าเรารู้และยังจำได้ เราก็สามารถเข้าใช้งานได้ ถ้าจำไม่ได้ก็ไม่สามารถเข้าใช้งานได้ แต่ในทางกลับกัน หากมีผู้อื่นรู้ใน 'สิ่งที่เรารู้' บุคคลนั้นก็จะสามารถเข้าถึงข้อมูลในบัญชีผู้ใช้ของเราได้เช่นกัน วิธีการป้องกันคือเก็บ 'สิ่งที่เรารู้' ไว้ให้เป็นความลับมากที่สุด และทำให้ผู้อื่นเดาได้ยาก (แต่ต้องอย่าลืมว่า เราก็ต้องจำได้ด้วย) ลองดูคำแนะนำเกี่ยวกับการสร้าง password ได้จาก Stay safe online: Passwords


ผู้ให้บริการบางราย จึงมีการเพิ่มความปลอดภัยให้กับระบบยืนยันตัวตน โดยการเพิ่ม factor เข้าไปอีกตัวหนึ่ง เพิ่มจาก 'สิ่งที่เรารู้' นั่นก็คือ 'สิ่งที่เรามี' ในระบบยืนยันตัวตนของ Google จะเรียกว่า 2-step verification ซึ่งจะทำการผูกเบอร์โทรศัพท์ของเราเข้ากับบัญชีผู้ใช้ การจะเข้าใช้งานจะต้องมีการยืนยันตัวตน 2 ขั้นตอน นั่นก็คือ username/password และ code พิเศษ ที่จะส่งมาที่โทรศัพท์ของเรา


สำหรับใครที่เป็นแฟนการ์ตูนเรื่อง one piece จะมีอยู่ตอนหนึ่ง ที่คนนอกกลุ่มมีความสามารถในการปลอมหน้าสมาชิกทุกคนในกลุ่ม ดังนั้นการจะยืนยันตัวตนในสถานการณ์นี้ได้ จำเป็นต้องสร้าง factor เพิ่มขึ้นมาโดยที่ไม่ให้คนนอกกลุ่มรู้

กลุ่มโจรสลัดหมวกฟาง ใช้ 2-step verification เป็นสัญลักษณ์ที่ข้อมือ

ผู้ใช้งาน ที่มี Google Account อยู่แล้ว สามารถเปิดใช้งาน 2-step verification ได้จากหน้า account setting สำหรับ admin ที่ดูแลระบบ Google Apps นั้น ตอนนี้ Google Apps สามารถเลือกกลุ่มของ user ที่เราจะบังคับใช้ 2-step verification นี้ได้ด้วยครับ
Google Apps Blog: Ability to enforce 2-step verification for users

---
www.tangerine.co.th