การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์

การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์คือกระบวนการสร้างความเชื่อมั่นในตัวตนของผู้ใช้ที่นำเสนอทางอิเล็กทรอนิกส์ต่อระบบสารสนเทศ^{[ 1 ]}การตรวจสอบสิทธิ์ทางดิจิทัลหรือการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์อาจใช้เป็นคำพ้องความหมายเมื่ออ้างถึง กระบวนการ ตรวจสอบสิทธิ์ที่ยืนยันหรือรับรองตัวตนและผลงานของบุคคล เมื่อใช้ร่วมกับลายเซ็นอิเล็กทรอนิกส์จะสามารถให้หลักฐานว่าข้อมูลที่ได้รับนั้นถูกแก้ไขเปลี่ยนแปลงหรือไม่หลังจากที่ผู้ส่งต้นฉบับลงนามแล้ว การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์สามารถลดความเสี่ยงของการฉ้อโกงและการขโมยข้อมูลส่วนบุคคลโดยการตรวจสอบว่าบุคคลนั้นเป็นใครตามที่กล่าวอ้างเมื่อทำธุรกรรมออนไลน์^{[ 2 ]}

สามารถใช้วิธีการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ต่างๆ เพื่อตรวจสอบตัวตนของผู้ใช้ ตั้งแต่รหัสผ่าน ไป จนถึงระดับความปลอดภัยที่สูงขึ้นซึ่งใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ^{[ 3 ]}ขึ้นอยู่กับระดับความปลอดภัยที่ใช้ ผู้ใช้อาจต้องพิสูจน์ตัวตนของตนโดยใช้โทเค็นความปลอดภัย คำถามท้าทาย หรือการมีใบรับรองจาก หน่วยงานออกใบรับรองของบุคคลที่สามที่รับรองตัวตนของตน^{[ 4 ]}

ภาพรวม

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของอเมริกา(NIST) ได้พัฒนารูปแบบการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ทั่วไป^{[ 5 ]}ซึ่งเป็นกรอบพื้นฐานเกี่ยวกับวิธีการดำเนินการตรวจสอบสิทธิ์โดยไม่คำนึงถึงเขตอำนาจศาลหรือภูมิภาคทางภูมิศาสตร์ ตามรูปแบบนี้ กระบวนการลงทะเบียนเริ่มต้นด้วยการที่บุคคลสมัครกับผู้ให้บริการข้อมูลประจำตัว (CSP) CSP จะต้องพิสูจน์ตัวตนของผู้สมัครก่อนที่จะดำเนินการทำธุรกรรม^{[ 6 ]}เมื่อ CSP ยืนยันตัวตนของผู้สมัครแล้ว เขาหรือเธอจะได้รับสถานะ "สมาชิก" ได้รับตัวตรวจสอบสิทธิ์เช่น โทเค็น และข้อมูลประจำตัว ซึ่งอาจอยู่ในรูปแบบของชื่อผู้ใช้

CSP มีหน้าที่รับผิดชอบในการจัดการข้อมูลประจำตัวพร้อมกับข้อมูลการลงทะเบียนของผู้สมัครสมาชิกตลอดอายุการใช้งานของข้อมูลประจำตัวนั้น ผู้สมัครสมาชิกจะต้องดูแลรักษาตัวตรวจสอบความถูกต้อง ตัวอย่างเช่น เมื่อผู้ใช้มักใช้คอมพิวเตอร์เครื่องใดเครื่องหนึ่งเพื่อทำธุรกรรมธนาคารออนไลน์หากเขาหรือเธอพยายามเข้าถึงบัญชีธนาคารจากคอมพิวเตอร์เครื่องอื่น ตัวตรวจสอบความถูกต้องจะไม่ปรากฏอยู่ เพื่อให้สามารถเข้าถึงได้ ผู้สมัครสมาชิกจะต้องยืนยันตัวตนกับ CSP ซึ่งอาจอยู่ในรูปแบบของการตอบคำถามท้าทายให้สำเร็จก่อนที่จะได้รับอนุญาตให้เข้าถึง^{[ 4 ]}

ปัจจัยการตรวจสอบสิทธิ์

โดยทั่วไปแล้วมีปัจจัยสามประการที่ได้รับการยอมรับซึ่งใช้ในการสร้างตัวตนดิจิทัลสำหรับการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ ได้แก่:

ปัจจัยด้านความรู้ ซึ่งเป็นสิ่งที่ผู้ใช้รู้ เช่นรหัสผ่าน คำตอบของคำถามตรวจสอบความถูกต้อง หมายเลขประจำตัว หรือรหัสPIN
ปัจจัยด้านการครอบครอง ซึ่งเป็นสิ่งที่ผู้ใช้มี เช่น โทรศัพท์มือถือ คอมพิวเตอร์ หรือโทเค็น
ปัจจัย ทางชีวมาตรซึ่งเป็นสิ่งที่บ่งบอกถึงตัวตนของผู้ใช้ เช่น ลายนิ้วมือ การสแกนดวงตา หรือรูปแบบเสียง

จากปัจจัยทั้งสาม ปัจจัยไบโอเมตริกเป็นปัจจัยที่สะดวกและน่าเชื่อถือที่สุดในการพิสูจน์ตัวตนของบุคคล แต่ก็เป็นปัจจัยที่แพงที่สุดในการนำไปใช้ แต่ละปัจจัยมีจุดอ่อน ดังนั้น การตรวจสอบความถูกต้องที่น่าเชื่อถือและแข็งแกร่งจึงขึ้นอยู่กับการรวมปัจจัยสองอย่างขึ้นไป ซึ่งเรียกว่าการตรวจสอบความถูกต้องแบบหลายปัจจัย [ ²^{] โดยการตรวจ}^สอบความถูกต้องแบบสองปัจจัยและการตรวจสอบแบบสองขั้นตอนเป็นประเภทย่อย

การตรวจสอบสิทธิ์แบบหลายปัจจัยยังคงมีความเสี่ยงต่อการโจมตี รวมถึงการโจมตีแบบคนกลางและการโจมตีแบบโทรจัน^{[ 7 ]}

วิธีการ

โทเค็น

โดยทั่วไป โทเค็นคือสิ่งที่ผู้เรียกร้องสิทธิ์ครอบครองและควบคุมได้ ซึ่งอาจใช้เพื่อยืนยันตัวตนของผู้เรียกร้องสิทธิ์ ในการยืนยันตัวตนทางอิเล็กทรอนิกส์ ผู้เรียกร้องสิทธิ์จะยืนยันตัวตนกับระบบหรือแอปพลิเคชันผ่านเครือข่าย ดังนั้น โทเค็นที่ใช้สำหรับการยืนยันตัวตนทางอิเล็กทรอนิกส์จึงเป็นความลับและต้องได้รับการปกป้อง ตัวอย่างเช่น โทเค็นอาจเป็นกุญแจเข้ารหัสลับ ซึ่งได้รับการปกป้องโดยการเข้ารหัสด้วยรหัสผ่าน ผู้แอบอ้างจะต้องขโมยกุญแจที่เข้ารหัสและเรียนรู้รหัสผ่านจึงจะสามารถใช้โทเค็นได้

การตรวจสอบสิทธิ์ด้วยรหัสผ่านและรหัส PIN

รหัสผ่านและ PIN จัดอยู่ในประเภทวิธีการ "สิ่งที่คุณรู้" การผสมผสานระหว่างตัวเลข สัญลักษณ์ และตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ถือว่ามีความปลอดภัยมากกว่ารหัสผ่านที่เป็นตัวอักษรทั้งหมด นอกจากนี้ การใช้คุณสมบัติ Transport Layer Security (TLS) หรือ Secure Socket Layer (SSL) ในระหว่างกระบวนการส่งข้อมูลจะสร้างช่องทางการเข้ารหัสสำหรับการแลกเปลี่ยนข้อมูลและปกป้องข้อมูลที่ส่งมาได้ดียิ่งขึ้น ปัจจุบัน การโจมตีด้านความปลอดภัยส่วนใหญ่จะมุ่งเป้าไปที่ระบบการตรวจสอบสิทธิ์แบบใช้รหัสผ่าน^{[ 8 ]}

การตรวจสอบสิทธิ์ด้วยกุญแจสาธารณะ

การตรวจสอบสิทธิ์ประเภทนี้มีสองส่วน ส่วนหนึ่งคือกุญแจสาธารณะ อีกส่วนหนึ่งคือกุญแจส่วนตัว กุญแจสาธารณะออกโดยหน่วยงานรับรองและสามารถเข้าถึงได้โดยผู้ใช้หรือเซิร์ฟเวอร์ใดๆ กุญแจส่วนตัวเป็นที่รู้จักเฉพาะผู้ใช้เท่านั้น^{[ 9 ]}

การตรวจสอบสิทธิ์ด้วยกุญแจสมมาตร

ผู้ใช้แบ่งปันคีย์เฉพาะกับเซิร์ฟเวอร์การตรวจสอบสิทธิ์ เมื่อผู้ใช้ส่งข้อความที่สร้างขึ้นแบบสุ่ม (คำท้า) ที่เข้ารหัสด้วยคีย์ลับไปยังเซิร์ฟเวอร์การตรวจสอบสิทธิ์ หากเซิร์ฟเวอร์สามารถจับคู่ข้อความได้โดยใช้ คีย์ ลับที่แบ่งปันผู้ใช้จะได้รับการตรวจสอบสิทธิ์ เมื่อนำไปใช้ร่วมกับการตรวจสอบสิทธิ์ด้วยรหัสผ่าน วิธีนี้ยังเป็นวิธีแก้ปัญหาที่เป็นไปได้สำหรับระบบการตรวจสอบสิทธิ์แบบสองปัจจัย อีกด้วย ^{[ 10 ]}

การยืนยันตัวตนผ่าน SMS

ผู้ใช้จะได้รับรหัสผ่านโดยการอ่านข้อความในโทรศัพท์มือถือ และพิมพ์รหัสผ่านกลับเพื่อทำการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์บริการข้อความสั้น (SMS) มีประสิทธิภาพมากเมื่อโทรศัพท์มือถือเป็นที่นิยมใช้กันอย่างแพร่หลาย SMS ยังเหมาะสำหรับการป้องกันการโจมตีแบบคนกลาง (MITM) เนื่องจากการใช้ SMS ไม่เกี่ยวข้องกับอินเทอร์เน็ต^{[ 11 ]}

การตรวจสอบสิทธิ์ด้วยระบบไบโอเมตริก

การตรวจสอบความถูกต้องทางชีวเมตริกคือการใช้คุณลักษณะทางกายภาพเฉพาะตัวและการวัดขนาดร่างกายเป็นตัวกลางเพื่อการระบุตัวตนและการควบคุมการเข้าถึงที่ดีขึ้น คุณลักษณะทางกายภาพที่มักใช้ในการตรวจสอบความถูกต้อง ได้แก่ ลายนิ้วมือการจดจำเสียง การจดจำใบหน้า และการสแกนม่านตา เนื่องจาก คุณลักษณะเหล่านี้เป็นเอกลักษณ์เฉพาะบุคคล ในอดีต การตรวจสอบความถูกต้องทางชีวเมตริกจะขึ้นอยู่กับระบบการระบุตัวตนแบบใช้โทเค็น เช่น หนังสือเดินทาง และในปัจจุบันกลายเป็นหนึ่งในระบบการระบุตัวตนที่ปลอดภัยที่สุดสำหรับการปกป้องผู้ใช้ นวัตกรรมทางเทคโนโลยีใหม่ที่ให้คุณลักษณะทางพฤติกรรมหรือทางกายภาพที่หลากหลายกำลังกำหนดแนวคิดที่เหมาะสมของการตรวจสอบความถูกต้องทางชีวเมตริก^{[ 12 ]}

การตรวจสอบตัวตนทางดิจิทัล

การตรวจสอบตัวตนดิจิทัลหมายถึงการใช้ข้อมูลอุปกรณ์ พฤติกรรม สถานที่ และข้อมูลอื่นๆ ร่วมกัน รวมถึงที่อยู่อีเมล ข้อมูลบัญชีและบัตรเครดิต เพื่อตรวจสอบผู้ใช้ออนไลน์แบบเรียลไทม์ ตัวอย่างเช่น งานวิจัยล่าสุดได้สำรวจวิธีการใช้ประโยชน์จากการตรวจสอบลายนิ้วมือของเบราว์เซอร์เป็นส่วนหนึ่งของแผนการตรวจสอบสิทธิ์แบบหลายปัจจัย^{[ 13 ]}

ข้อมูลประจำตัวอิเล็กทรอนิกส์

เอกสารรับรองที่เป็นกระดาษ คือเอกสารที่ยืนยันตัวตนหรือคุณลักษณะอื่นๆ ของบุคคลหรือนิติบุคคลที่เรียกว่าเป็นเจ้าของเอกสารรับรองนั้น เอกสารรับรองที่เป็นกระดาษที่พบได้ทั่วไป ได้แก่ หนังสือเดินทางใบเกิดใบขับขี่ และบัตรประจำตัวพนักงาน การรับรองความถูกต้องของเอกสารรับรองนั้นมีหลายวิธี: แบบดั้งเดิมอาจใช้ลายเซ็นหรือตราประทับ กระดาษและหมึกพิเศษ การแกะสลักคุณภาพสูง และในปัจจุบันใช้กลไกที่ซับซ้อนกว่า เช่น โฮโลแกรม ซึ่งทำให้เอกสารรับรองนั้นสามารถจดจำได้และยากต่อการคัดลอกหรือปลอมแปลง ในบางกรณี เพียงแค่มีเอกสารรับรองอยู่ในครอบครองก็เพียงพอที่จะยืนยันได้ว่าผู้ถือเอกสารนั้นเป็นเจ้าของเอกสารรับรองนั้นจริงๆ

โดยทั่วไปแล้ว เอกสารรับรองมักมีข้อมูลไบโอเมตริก เช่น คำอธิบายลักษณะของผู้ถือเอกสาร รูปภาพของผู้ถือเอกสาร หรือลายเซ็นที่เขียนด้วยลายมือของผู้ถือเอกสาร ซึ่งสามารถใช้ยืนยันตัวตนของผู้ถือเอกสารได้ เมื่อนำเอกสารรับรองเหล่านี้ไปแสดงต่อเจ้าหน้าที่ เจ้าหน้าที่ สามารถตรวจสอบ ข้อมูลไบโอเมตริกที่อยู่ในเอกสารเหล่านั้นเพื่อยืนยันว่าผู้ถือเอกสารนั้นเป็นบุคคลจริง

ข้อมูลประจำตัวอิเล็กทรอนิกส์จะผูกชื่อและอาจรวมถึงคุณลักษณะอื่นๆ เข้ากับโทเค็นปัจจุบันมีการใช้ข้อมูลประจำตัวอิเล็กทรอนิกส์ หลายประเภท และมีการสร้างข้อมูลประจำตัวประเภทใหม่ๆ อย่างต่อเนื่อง (เช่น บัตรประจำตัวประชาชนอิเล็กทรอนิกส์ บัตรประจำตัวผู้มีสิทธิเลือกตั้ง อิเล็กทรอนิกส์ หนังสือเดินทางไบโอเมตริก บัตรธนาคาร ฯลฯ) อย่างน้อยที่สุด ข้อมูลประจำตัวจะต้องประกอบด้วยข้อมูลระบุตัวตนที่ช่วยให้สามารถกู้คืนบันทึกการลงทะเบียนที่เกี่ยวข้องกับข้อมูลประจำตัวนั้นได้ และชื่อที่เชื่อมโยงกับผู้สมัครใช้บริการ

ผู้ตรวจสอบ

ในการทำธุรกรรมออนไลน์ที่มีการรับรองความถูกต้อง ผู้ตรวจสอบคือฝ่ายที่ตรวจสอบว่าผู้เรียกร้องมีกรรมสิทธิ์และควบคุมโทเค็นที่ใช้ยืนยันตัวตนของตน ผู้เรียกร้องยืนยันตัวตนของตนต่อผู้ตรวจสอบโดยใช้โทเค็นและโปรโตคอลการตรวจสอบความถูกต้อง ซึ่งเรียกว่าหลักฐานการครอบครอง (Proof of Possession: PoP) โปรโตคอล PoP หลายตัวถูกออกแบบมาเพื่อให้ผู้ตรวจสอบซึ่งไม่มีความรู้เกี่ยวกับโทเค็นก่อนการทำงานของโปรโตคอลการตรวจสอบความถูกต้อง จะไม่เรียนรู้อะไรเกี่ยวกับโทเค็นจากการทำงานนั้น ผู้ตรวจสอบและ CSP อาจเป็นหน่วยงานเดียวกัน ผู้ตรวจสอบและฝ่ายที่พึ่งพาอาจเป็นหน่วยงานเดียวกัน หรือทั้งสามอาจเป็นหน่วยงานที่แยกจากกัน การที่ผู้ตรวจสอบเรียนรู้ความลับร่วมกันนั้นไม่เป็นที่พึงประสงค์ เว้นแต่ว่าพวกเขาจะเป็นส่วนหนึ่งของหน่วยงานเดียวกันกับ CSP ที่ลงทะเบียนโทเค็น ในกรณีที่ผู้ตรวจสอบและฝ่ายที่พึ่งพาเป็นหน่วยงานที่แยกจากกัน ผู้ตรวจสอบจะต้องส่งผลลัพธ์ของโปรโตคอลการตรวจสอบความถูกต้องไปยังฝ่ายที่พึ่งพา วัตถุที่ผู้ตรวจสอบสร้างขึ้นเพื่อส่งผลลัพธ์นี้เรียกว่าการยืนยัน^{[ 14 ]}

รูปแบบการตรวจสอบสิทธิ์

รูปแบบการตรวจสอบสิทธิ์มีสี่ประเภท ได้แก่ การตรวจสอบสิทธิ์ในระดับท้องถิ่น การตรวจสอบสิทธิ์แบบรวมศูนย์ การตรวจสอบสิทธิ์แบบรวมศูนย์ทั่วโลก การตรวจสอบสิทธิ์ทั่วโลก และแอปพลิเคชันบนเว็บ (พอร์ทัล)

เมื่อใช้ระบบการตรวจสอบสิทธิ์แบบโลคอล แอปพลิเคชันจะเก็บรักษาข้อมูลที่เกี่ยวข้องกับข้อมูลประจำตัวของผู้ใช้ไว้ ข้อมูลนี้โดยทั่วไปจะไม่ถูกแชร์กับแอปพลิเคชันอื่น ผู้ใช้มีหน้าที่ต้องดูแลและจดจำประเภทและจำนวนของข้อมูลประจำตัวที่เชื่อมโยงกับบริการที่ตนเองต้องการเข้าถึง ระบบนี้มีความเสี่ยงสูงเนื่องจากมีความเป็นไปได้ที่พื้นที่จัดเก็บรหัสผ่านอาจถูกบุกรุก

การใช้ระบบการตรวจสอบสิทธิ์แบบรวมศูนย์ช่วยให้ผู้ใช้แต่ละคนสามารถใช้ข้อมูลประจำตัวเดียวกันในการเข้าถึงบริการต่างๆ ได้ แต่ละแอปพลิเคชันมีความแตกต่างกันและต้องได้รับการออกแบบด้วยอินเทอร์เฟซและความสามารถในการโต้ตอบกับระบบส่วนกลางเพื่อให้การตรวจสอบสิทธิ์สำหรับผู้ใช้ประสบความสำเร็จ ซึ่งจะช่วยให้ผู้ใช้สามารถเข้าถึงข้อมูลสำคัญและเข้าถึงคีย์ส่วนตัวที่จะช่วยให้เขาหรือเธอสามารถลงนามในเอกสารทางอิเล็กทรอนิกส์ได้

การใช้บุคคลที่สามผ่านระบบการตรวจสอบสิทธิ์แบบรวมศูนย์ระดับโลก ช่วยให้ผู้ใช้สามารถเข้าถึงบริการตรวจสอบสิทธิ์ได้โดยตรง ซึ่งจะช่วยให้ผู้ใช้สามารถเข้าถึงบริการที่ต้องการได้

ระบบที่มีความปลอดภัยสูงสุดคือการตรวจสอบสิทธิ์แบบรวมศูนย์ทั่วโลกและแอปพลิเคชันเว็บ (พอร์ทัล) ซึ่งเหมาะสำหรับการใช้งาน E-Government เนื่องจากอนุญาตให้มีบริการที่หลากหลาย โดยใช้กลไกการตรวจสอบสิทธิ์แบบเดียวซึ่งเกี่ยวข้องกับปัจจัยอย่างน้อยสองประการเพื่ออนุญาตให้เข้าถึงบริการที่จำเป็นและความสามารถในการลงนามในเอกสาร^{[ 2 ]}

การตรวจสอบสิทธิ์และการลงลายมือชื่อดิจิทัลทำงานร่วมกัน

บ่อยครั้งที่การตรวจสอบสิทธิ์และการลงนามดิจิทัลจะถูกนำมาใช้ร่วมกัน ในลายเซ็นอิเล็กทรอนิกส์ขั้นสูงผู้ลงนามจะต้องได้รับการตรวจสอบสิทธิ์และเชื่อมโยงกับลายเซ็นอย่างเฉพาะเจาะจง ในกรณีของลายเซ็นอิเล็กทรอนิกส์ที่มีคุณสมบัติตามที่กำหนดไว้ใน ระเบียบ eIDASตัวตนของผู้ลงนามจะได้รับการรับรองโดยผู้ให้บริการความน่า เชื่อถือที่มีคุณสมบัติ การเชื่อมโยงลายเซ็นและการตรวจสอบสิทธิ์นี้ช่วยสนับสนุนคุณค่าในการพิสูจน์ของลายเซ็น ซึ่งโดยทั่วไปเรียกว่าการไม่สามารถปฏิเสธที่มาได้ การปกป้องข้อความในระดับเครือข่ายเรียกว่าการไม่สามารถปฏิเสธการส่ง ผู้ส่งที่ได้รับการตรวจสอบสิทธิ์และเนื้อหาของข้อความจะเชื่อมโยงกัน หากบุคคลที่สามพยายามเปลี่ยนแปลงเนื้อหาของข้อความ ลายเซ็นจะสูญเสียความถูกต้อง^{[ 15 ]}

การประเมินความเสี่ยง

ในการพัฒนาระบบอิเล็กทรอนิกส์ มีมาตรฐานอุตสาหกรรมบางประการที่กำหนดให้หน่วยงานของสหรัฐอเมริกาต้องตรวจสอบให้แน่ใจว่าธุรกรรมมีระดับการรับรองที่เหมาะสม โดยทั่วไป เซิร์ฟเวอร์จะใช้ แนวทางการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์สำหรับหน่วยงานของรัฐบาลกลาง (M-04-04) ของ สำนักงานบริหารงบประมาณ (OMB) ของสหรัฐอเมริกาเป็นแนวทาง ซึ่งเผยแพร่เพื่อช่วยให้หน่วยงานของรัฐบาลกลางให้บริการอิเล็กทรอนิกส์ที่ปลอดภัยซึ่งปกป้องความเป็นส่วนตัวของแต่ละบุคคล โดยขอให้หน่วยงานตรวจสอบว่าธุรกรรมของตนต้องการการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์หรือไม่ และกำหนดระดับการรับรองที่เหมาะสม^{[ 16 ]}

ได้กำหนดระดับการรับรองไว้สี่ระดับ: ^{[ 17 ]}

ระดับความเชื่อมั่น 1: มีความเชื่อมั่นน้อยหรือไม่เชื่อ มั่นเลยในความถูกต้องของตัวตนที่กล่าวอ้าง ระดับความเชื่อมั่น 2: มีความเชื่อมั่นบ้างในความถูกต้องของตัวตนที่กล่าว อ้าง ระดับความเชื่อมั่น 3: มีความเชื่อมั่นสูง ในความถูกต้องของตัวตนที่กล่าวอ้าง ระดับความเชื่อมั่น 4: มีความเชื่อมั่นสูงมากในความถูกต้องของตัวตนที่กล่าวอ้าง

การกำหนดระดับความมั่นใจ

สำนักงานบริหารงบประมาณ (OMB) เสนอขั้นตอนห้าขั้นตอนในการพิจารณาระดับการรับรองที่เหมาะสมสำหรับคำขอต่างๆ ดังนี้:

ดำเนินการประเมินความเสี่ยง ซึ่งเป็นการวัดผลกระทบเชิงลบที่อาจเกิดขึ้น
เปรียบเทียบกับระดับการรับประกันทั้งห้าแบบ แล้วตัดสินใจว่าระดับใดเหมาะสมกับกรณีนี้มากที่สุด
เลือกใช้เทคโนโลยีตามคำแนะนำทางเทคนิคที่ออกโดย NIST
ตรวจสอบว่ากระบวนการยืนยันตัวตนที่เลือกนั้นตรงตามข้อกำหนดหรือไม่
ประเมินระบบใหม่อย่างสม่ำเสมอและปรับเปลี่ยนตามการเปลี่ยนแปลง^{[ 18 ]}

ระดับการรับรองความถูกต้องที่ต้องการจะถูกประเมินจากปัจจัยด้านล่างนี้:

ความไม่สะดวก ความทุกข์ หรือความเสียหายต่อชื่อเสียงหรือเกียรติยศ;
ความเสียหายทางการเงินหรือความรับผิดชอบของตัวแทน;
ก่อให้เกิดความเสียหายต่อโครงการของหน่วยงานหรือผลประโยชน์สาธารณะ
การเผยแพร่ข้อมูลลับโดยไม่ได้รับอนุญาต;
ความปลอดภัยส่วนบุคคล และ/หรือ การละเมิดทางแพ่งหรือทางอาญา^{[ 18 ]}

การกำหนดข้อกำหนดทางเทคนิค

คำแนะนำ ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) กำหนดข้อกำหนดทางเทคนิคสำหรับการรับรองทั้งสี่ระดับในด้านต่อไปนี้: ^{[ 19 ]}

โทเค็นใช้สำหรับพิสูจน์ตัวตน รหัสผ่านและกุญแจเข้ารหัสแบบสมมาตรเป็นข้อมูลส่วนตัวที่ผู้ตรวจสอบต้องปกป้อง กุญแจเข้ารหัสแบบอสมมาตรมีกุญแจส่วนตัว (ซึ่งมีเพียงผู้สมัครใช้บริการเท่านั้นที่รู้) และกุญแจสาธารณะที่เกี่ยวข้อง
การตรวจสอบยืนยันตัวตน การลงทะเบียน และการส่งมอบข้อมูลประจำตัวที่เชื่อมโยงตัวตนกับโทเค็น กระบวนการนี้อาจเกี่ยวข้องกับการดำเนินการทางไกล
ข้อมูลประจำตัว โทเค็น และโปรโตคอลการตรวจสอบสิทธิ์ สามารถนำมาใช้ร่วมกันเพื่อยืนยันว่าผู้ที่อ้างสิทธิ์นั้นเป็นผู้สมัครสมาชิกตามที่กล่าวอ้างจริง
กลไกการยืนยันสิทธิ์ที่เกี่ยวข้องกับลายเซ็นดิจิทัลของผู้เรียกร้อง หรือได้มาโดยตรงจากบุคคลที่สามที่เชื่อถือได้ผ่านโปรโตคอลการตรวจสอบสิทธิ์ที่ปลอดภัย

แนวทางและข้อบังคับ

เนื่องจากการเติบโตของโซลูชันคลาวด์ใหม่และการทำธุรกรรมออนไลน์ การระบุตัวตนระหว่างบุคคลกับเครื่องจักรและเครื่องจักรกับเครื่องจักรจึงมีบทบาทสำคัญในการระบุตัวบุคคลและการเข้าถึงข้อมูล ตามรายงานของสำนักงานบริหารงบประมาณในสหรัฐอเมริกา มีการใช้จ่ายเงินมากกว่า 70 ล้านดอลลาร์สหรัฐไปกับโซลูชันการจัดการข้อมูลประจำตัวทั้งในปี 2013 และ 2014 ^{[ 20 ]}

รัฐบาลใช้ระบบการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์เพื่อให้บริการและลดเวลาที่ประชาชนต้องเดินทางไปยังสำนักงานรัฐบาล บริการต่างๆ ตั้งแต่การยื่นขอวีซ่าไปจนถึงการต่ออายุใบขับขี่ สามารถทำได้อย่างมีประสิทธิภาพและยืดหยุ่นมากขึ้น โครงสร้างพื้นฐานเพื่อรองรับการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ถือเป็นองค์ประกอบสำคัญในความสำเร็จของรัฐบาลอิเล็กทรอนิกส์^{[ 21 ]}การประสานงานที่ไม่ดีและการออกแบบทางเทคนิคที่ไม่ดีอาจเป็นอุปสรรคสำคัญต่อการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์^{[ 22 ]}

ในหลายประเทศได้มีการจัดตั้งโครงการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์ทั่วไปทั่วประเทศเพื่ออำนวยความสะดวกในการใช้ข้อมูลประจำตัวดิจิทัลซ้ำในบริการอิเล็กทรอนิกส์ต่างๆ^{[ 23 ]}นโยบายริเริ่มอื่นๆ ได้แก่ การสร้างกรอบการทำงานสำหรับการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์ เพื่อสร้างระดับความไว้วางใจทั่วไปและอาจรวมถึงความสามารถในการทำงานร่วมกันระหว่างโครงการตรวจสอบความถูกต้องต่างๆ^{[ 24 ]}

สหรัฐอเมริกา

การยืนยันตัวตนทางอิเล็กทรอนิกส์ (E-authentication) เป็นหัวใจสำคัญของความพยายามของรัฐบาลสหรัฐอเมริกา ในการขยายระบบราชการอิเล็กทรอนิกส์ หรือ e-governmentเพื่อทำให้การบริหารราชการมีประสิทธิภาพ ประสิทธิผล และเข้าถึงได้ง่ายยิ่งขึ้น บริการยืนยันตัวตนทางอิเล็กทรอนิกส์ช่วยให้ผู้ใช้สามารถเข้าถึงบริการของรัฐบาลทางออนไลน์โดยใช้รหัสล็อกอิน (ข้อมูลประจำตัว) จากเว็บไซต์อื่น ๆ ที่ทั้งผู้ใช้และรัฐบาลไว้วางใจ

การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ (E-authentication) เป็นความร่วมมือระดับรัฐบาลที่ได้รับการสนับสนุนจากหน่วยงานต่างๆ ที่ประกอบกันเป็นสภา CIO ของรัฐบาลกลาง โดยสำนักงานบริหารบริการทั่วไปแห่งสหรัฐอเมริกา (GSA) เป็นหน่วยงานพันธมิตรหลัก การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ทำงานผ่านการเชื่อมโยงกับผู้ออกใบรับรองที่เชื่อถือได้ ทำให้ผู้ใช้จำเป็นต้องเข้าสู่ระบบเว็บไซต์ของผู้ออกเพื่อรับใบรับรองการตรวจสอบสิทธิ์ จากนั้นใบรับรองหรือรหัสการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์จะถูกส่งไปยังเว็บไซต์ของรัฐบาลที่สนับสนุน ทำให้เกิดการตรวจสอบสิทธิ์ ระบบนี้ถูกสร้างขึ้นเพื่อตอบสนองต่อบันทึกข้อความลงวันที่ 16 ธันวาคม 2546 ที่ออกโดยสำนักงานบริหารและงบประมาณ บันทึกข้อความ M04-04 Whitehouse ^{[ 18 ]}บันทึกข้อความดังกล่าวได้ปรับปรุงคำแนะนำที่ออกในพระราชบัญญัติการกำจัดเอกสารปี 1998 44 USC § 3504 และดำเนินการตามมาตรา 203 ของพระราชบัญญัติรัฐบาลอิเล็กทรอนิกส์ 44 USC บทที่ 36

NIST ให้แนวทางสำหรับมาตรฐานการตรวจสอบความถูกต้องทางดิจิทัลและยกเลิกวิธีการตรวจสอบความถูกต้องตามความรู้ส่วนใหญ่ มีการร่างมาตรฐานที่เข้มงวดมากขึ้นสำหรับรหัสผ่านที่ซับซ้อนกว่าซึ่งมีความยาวอย่างน้อย 8 ตัวอักษรหรือวลีรหัสผ่านที่มีความยาวอย่างน้อย 64 ตัวอักษร^{[ 25 ]}

ยุโรป

ในยุโรป eIDAS ให้แนวทางสำหรับการใช้งานการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์เกี่ยวกับการลงลายมือชื่ออิเล็กทรอนิกส์และบริการใบรับรองสำหรับการตรวจสอบความถูกต้อง ของเว็บไซต์ เมื่อได้รับการยืนยันจากรัฐสมาชิกผู้ออกใบรับรองแล้ว รัฐสมาชิกอื่น ๆ ที่เข้าร่วมจะต้องยอมรับลายมือชื่ออิเล็กทรอนิกส์ของผู้ใช้ว่าถูกต้องสำหรับการทำธุรกรรมข้ามพรมแดน

ภายใต้ eIDAS การระบุตัวตนทางอิเล็กทรอนิกส์หมายถึงหน่วยที่เป็นรูปธรรม/นามธรรมที่บรรจุข้อมูลระบุตัวตนส่วนบุคคลเพื่อใช้ในการตรวจสอบสิทธิ์สำหรับบริการออนไลน์ การตรวจสอบสิทธิ์หมายถึงกระบวนการทางอิเล็กทรอนิกส์ที่อนุญาตให้ระบุตัวตนทางอิเล็กทรอนิกส์ของบุคคลธรรมดาหรือนิติบุคคล บริการความน่าเชื่อถือคือบริการอิเล็กทรอนิกส์ที่ใช้ในการสร้าง ตรวจสอบ และรับรองลายเซ็นอิเล็กทรอนิกส์ รวมถึงการสร้าง ตรวจสอบ และรับรองใบรับรองสำหรับการตรวจสอบสิทธิ์เว็บไซต์

มาตรา 8 ของ eIDAS อนุญาตให้ใช้กลไกการตรวจสอบสิทธิ์ที่บุคคลธรรมดาหรือนิติบุคคลใช้ในการใช้วิธีการระบุตัวตนทางอิเล็กทรอนิกส์เพื่อยืนยันตัวตนของตนต่อฝ่ายที่พึ่งพา ภาคผนวก IV กำหนดข้อกำหนดสำหรับใบรับรองที่มีคุณสมบัติเหมาะสมสำหรับการตรวจสอบสิทธิ์เว็บไซต์^{[ 26 ]}^{[ 27 ]}

รัสเซีย

การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์เป็นหัวใจสำคัญของความพยายามของรัฐบาลรัสเซียในการขยายรัฐบาลอิเล็กทรอนิกส์ ซึ่งเป็นวิธีที่จะทำให้รัฐบาลมีประสิทธิภาพและประสิทธิผลมากขึ้น และประชาชนชาวรัสเซียสามารถเข้าถึงได้ง่ายขึ้น บริการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์^{[ 28 ]}ช่วยให้ผู้ใช้สามารถเข้าถึงบริการของรัฐบาลทางออนไลน์โดยใช้รหัสล็อกอิน (ข้อมูลประจำตัว) ที่พวกเขามีอยู่แล้วจากเว็บไซต์ที่พวกเขาและรัฐบาลไว้วางใจ

แอปพลิเคชันอื่นๆ

นอกเหนือจากบริการของภาครัฐแล้ว การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ยังถูกนำไปใช้อย่างแพร่หลายในเทคโนโลยีและอุตสาหกรรมอื่นๆ แอปพลิเคชันใหม่เหล่านี้ผสมผสานคุณสมบัติของการตรวจสอบสิทธิ์ในฐานข้อมูลแบบดั้งเดิมและเทคโนโลยีใหม่ เพื่อให้การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์มีความปลอดภัยและหลากหลายมากขึ้น ตัวอย่างบางส่วนมีอธิบายไว้ด้านล่าง

การตรวจสอบสิทธิ์ผ่านมือถือ

การตรวจสอบสิทธิ์ผ่านมือถือคือการตรวจสอบตัวตนของผู้ใช้โดยใช้อุปกรณ์เคลื่อนที่ สามารถถือเป็นฟิลด์อิสระหรือสามารถนำไปใช้ร่วมกับรูปแบบการตรวจสอบสิทธิ์แบบหลายปัจจัยอื่นๆ ในฟิลด์การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ได้^{[ 29 ]}

สำหรับการตรวจสอบสิทธิ์ผ่านมือถือ มีระดับความละเอียดอ่อนของแอปพลิเคชันห้าระดับ ตั้งแต่ระดับ 0 ถึงระดับ 4 ระดับ 0 สำหรับการใช้งานสาธารณะผ่านอุปกรณ์เคลื่อนที่และไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ตัวตน ในขณะที่ระดับ 4 มีขั้นตอนหลายขั้นตอนมากที่สุดในการระบุตัวผู้ใช้^{[ 30 ]}สำหรับทั้งสองระดับ การตรวจสอบสิทธิ์ผ่านมือถือค่อนข้างง่ายต่อการประมวลผล ขั้นแรก ผู้ใช้ส่งรหัสผ่านแบบใช้ครั้งเดียว (OTP) ผ่านช่องทางออฟไลน์ จากนั้นเซิร์ฟเวอร์จะระบุข้อมูลและทำการปรับเปลี่ยนในฐานข้อมูล เนื่องจากมีเพียงผู้ใช้เท่านั้นที่สามารถเข้าถึงรหัส PIN และสามารถส่งข้อมูลผ่านอุปกรณ์เคลื่อนที่ของตนได้ จึงมีความเสี่ยงต่ำต่อการโจมตี^{[ 31 ]}

การตรวจสอบสิทธิ์อีคอมเมิร์ซ

ในช่วงต้นทศวรรษ 1980 ระบบ แลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ (EDI) ได้ถูกนำมาใช้ ซึ่งถือเป็นตัวแทนของอีคอมเมิร์ซในยุคแรกๆ แต่การรับประกันความปลอดภัยไม่ใช่ปัญหาสำคัญ เนื่องจากระบบทั้งหมดถูกสร้างขึ้นบนเครือข่ายปิด อย่างไรก็ตาม เมื่อไม่นานมานี้ ธุรกรรมระหว่างธุรกิจกับผู้บริโภคได้เปลี่ยนแปลงไป คู่ค้าที่ทำธุรกรรมจากระยะไกลได้บังคับให้มีการนำระบบการตรวจสอบความถูกต้องของอีคอมเมิร์ซมาใช้^{[ 32 ]}

โดยทั่วไปแล้ว แนวทางที่ใช้ในการตรวจสอบความถูกต้องของอีคอมเมิร์ซนั้นโดยพื้นฐานแล้วจะเหมือนกับการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์ ความแตกต่างคือ การตรวจสอบความถูกต้องของอีคอมเมิร์ซเป็นขอบเขตที่แคบกว่าซึ่งมุ่งเน้นไปที่ธุรกรรมระหว่างลูกค้าและผู้จำหน่าย ตัวอย่างง่ายๆ ของการตรวจสอบความถูกต้องของอีคอมเมิร์ซ ได้แก่ ลูกค้าสื่อสารกับเซิร์ฟเวอร์ของร้านค้าผ่านทางอินเทอร์เน็ต โดยปกติแล้วเซิร์ฟเวอร์ของร้านค้าจะใช้เว็บเซิร์ฟเวอร์เพื่อรับคำขอของลูกค้า ระบบจัดการฐานข้อมูลเพื่อจัดการข้อมูล และเกตเวย์การชำระเงินเพื่อให้บริการชำระเงินออนไลน์^{[ 33 ]}

อัตลักษณ์ที่มีอำนาจอธิปไตยด้วยตนเอง

ด้วย ระบบยืนยันตัวตนแบบควบคุมตนเอง ( Self-Sovereign Identityหรือ SSI) ผู้ถือข้อมูลประจำตัวแต่ละรายสามารถสร้างและควบคุมข้อมูลประจำตัวของตนได้อย่างสมบูรณ์ ในขณะที่ผู้ตรวจสอบสามารถตรวจสอบความถูกต้องของข้อมูลประจำตัวที่ให้มาบนเครือข่ายแบบกระจายอำนาจได้

มุมมอง

เพื่อให้ทันกับการพัฒนาบริการในโลกดิจิทัล กลไกการรักษาความปลอดภัยจึงยังคงมีความจำเป็นอย่างต่อเนื่อง แม้ว่ารหัสผ่านจะยังคงถูกใช้งานอยู่ แต่สิ่งสำคัญคือต้องพึ่งพากลไกการตรวจสอบสิทธิ์ โดยเฉพาะอย่างยิ่งการตรวจสอบสิทธิ์แบบหลายปัจจัย เนื่องจากการใช้งานลายเซ็นอิเล็กทรอนิกส์ยังคงขยายตัวอย่างมากทั่วสหรัฐอเมริกา สหภาพยุโรป และทั่วโลก จึงมีความคาดหวังว่ากฎระเบียบต่างๆ เช่นeIDASจะได้รับการแก้ไขในที่สุดเพื่อให้สอดคล้องกับเงื่อนไขที่เปลี่ยนแปลงไปพร้อมกับกฎระเบียบในสหรัฐอเมริกา^{[ 34 ]}

ลิงก์ภายนอก

เว็บไซต์การตรวจสอบเอกสารทางอิเล็กทรอนิกส์ของรัฐบาลสหรัฐอเมริกา
บันทึกข้อความคำสั่งการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ M04-04
DigiD – ข้อมูลประจำตัวดิจิทัลทั่วไปที่ดำเนินการโดยฝ่ายบริหารภาษีของเนเธอร์แลนด์และ 'GBO.Overheid' (Gemeenschappelijke Beheerorganisatie)
บัตรประจำตัวประชาชน (Cartão do Cidadão) – เอกสาร สัญชาติโปรตุเกสที่ช่วยให้ผู้ถือสามารถยืนยันตัวตนได้อย่างปลอดภัยทั้งในโลกแห่งความเป็นจริงและในโลกดิจิทัล
ภาพเคลื่อนไหวแสดงการยืนยันตัวตนทางอิเล็กทรอนิกส์ – วิธีการยืนยันตัวตนทั่วไป (สคริปต์)
การตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์: คำแนะนำสำหรับการเลือกใช้เทคนิคที่ปลอดภัย
นาสซิโอ คุณเป็นใคร? ฉันอยากรู้จริงๆ: การยืนยันตัวตนทางอิเล็กทรอนิกส์และผลกระทบต่อความเป็นส่วนตัว
แนวทางการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ (เอกสารพิเศษ 800-63-2) สิงหาคม 2556
ยุทธศาสตร์แห่งชาติเพื่อการยืนยันตัวตนที่น่าเชื่อถือในโลกไซเบอร์ (NSTIC) เก็บถาวรเมื่อวันที่ 15 สิงหาคม 2559 ที่Wayback Machine

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]