การยืนยันตัวตนคืออะไร ? และ การยืนยันตัวตนแบบ 2FA กับ MFA คืออะไร ? และแตกต่างกันอย่างไร ?

2FA กับ MFA แตกต่างกันอย่างไร ?

ในโลกคอมพิวเตอร์ และเครือข่าย อินเทอร์เน็ต (Internet) ที่เต็มไปด้วยข้อมูลจำนวนมหาศาล การมีอยู่ของระบบรักษาความปลอดภัยจึงมีบทบาทสำคัญเป็นอย่างมาก แต่ไม่ว่าจะมีระบบที่ดีเพียงใด เกมแมวไล่จับหนูระหว่าง แฮกเกอร์ (Hacker) กับผู้ดูแลระบบก็ยังดำเนินต่อไปอย่างไร้ที่สิ้นสุด

ข่าวฐานข้อมูลรั่วไหลแทบจะเป็นเหตุการณ์ธรรมดาที่เกิดขึ้นเป็นประจำอยู่แล้ว และทุกครั้งที่เกิดขึ้น เราก็จะได้ยินผู้เชี่ยวชาญออกมาเตือนผู้ใช้ให้เก็บรักษาข้อมูลส่วนตัว และรหัสผ่านให้ดีอยู่เสมอ

หน้าเว็บไซต์ (Website) หรือ แอปพลิเคชัน (Application) ส่วนใหญ่ทุกตัวในปัจจุบันนี้มีระบบบัญชีผู้ใช้ จึงไม่น่าแปลกใจที่จำนวนบัญชีผู้ใช้ถูกสร้างขึ้นเป็นจำนวนมาก ซึ่งในขั้นตอนการเข้าสู่ระบบ หากเป็นแบบพื้นฐานธรรมดาเลย ก็จะเป็นแค่การกรอกชื่อบัญชี และรหัสผ่านเท่านั้น หรือที่เรียกว่า "Single Factor Authentication (SFA)"

SFA นั้นเรียบง่ายไม่ลำบากผู้ใช้ อย่างไรก็ตาม ความปลอดภัยของมันไม่เพียงพอต่อการปกป้องข้อมูลสำคัญของผู้ใช้ได้ นั่นเป็นเหตุผลให้ "Two-Factor Authentication (2FA)" และ "Multi-Factor Authentication (MFA)" เข้ามามีบทบาทสำคัญในการช่วยรักษาความปลอดภัย

การยืนยันตัวตน คืออะไร ?
(What is Authentication ?)

ก่อนจะเข้าสู่เนื้อหาหลัก มาทำความเข้าใจเกี่ยวกับการยืนยันตัวตน (Authentication) (หรืออาจจะแปลว่า "การรับรองความถูกต้อง" ก็ได้) กันก่อนสักเล็กน้อยว่ามันคืออะไร ?

อย่างแรกคือ อย่าเข้าใจผิดคิดว่า "Authentication" นั้นเหมือนกับ "Authenticator"

Authentication คือขั้นตอนที่ผู้ใช้งานทำการยืนยันตัวตนว่าเป็นตัวจริง ในขณะที่ Authenticator นั้นเป็นซอฟต์แวร์, อุปกรณ์ หรือ Token โดยมันสามารถทำงานผ่านแอปพลิเคชัน, สมาร์ทโฟน หรือเครื่องมือ Code generator ที่สามารถสร้าง PIN หรือ One-time password (OTP) ได้

โดยในการทำ Autentication จะมีปัจจัยที่นิยมใช้ในการตรวจสอบความถูกต้องอยู่ 4 อย่าง ประกอบไปด้วย

1. Knowledge (เรื่องที่รู้)

นี่เป็นปัจจัยพื้นฐานที่ได้รับความนิยมมากที่สุดในการใช้ตรวจสอบความถูกต้อง เราสามารถเห็นมันได้บนทุกเว็บไซต์ หรือบริการออนไลน์ต่าง ๆ โดย Knowledge นั้นจะอ้างอิงกับข้อมูลบางอย่างที่มีแค่เฉพาะผู้ใช้เท่านั้นที่รู้ เพื่อใช้มันในการเข้าถึงบัญชีผู้ใช้ได้ โดยมันอาจจะเป็นรหัสผ่าน, ชื่อบัญชี, คำตอบของคำถามที่เลือกเอาไว้, PIN ฯลฯ

2. Possession (สิ่งที่ครอบครอง)

การตรวจสอบความถูกต้องด้วยวิธีการนี้จะอ้างอิงด้วยบางสิ่งที่ผู้ใช้ครอบครองอยู่ โดยเป็นอุปกรณ์อะไรสักอย่างที่สามารถให้ข้อมูลที่จำเป็นต่อกาตรวจสอบตัวตนได้ รูปแบบส่วนใหญ่ที่เรามักใช้งานกันบ่อยครั้งก็อย่างเช่น One-Time Password (OTP) ที่ส่งมายังสมาร์ทโฟนผ่านทาง SMS หรือจะเป็นรหัส Card Verification Value (CVV) ที่อยู่บนบัตรเครดิต

3. Inherence (ซึ่งที่มีอยู่แต่กำเนิด)

เป็นการตรวจสอบโดยอ้างอิงกับสิ่งที่ผู้ใช้ติดตัวมาแต่กำเนิด และมีความเป็นอัตลักษณ์เฉพาะบุคคล สามารถนำมาใช้รับรองตัวตนได้ อย่างเช่น ลายนิ้วมือ, ใบหน้า, ม่านตา, เสียง และไบโอเมทริกซ์ (Biometric) อื่น ๆ

4. Location (สถานที่)

ถึงแม้ว่าการรับรองความถูกต้องด้วยสถานที่อาจจะไม่ถูกใช้งานบ่อยเท่ากับวิธีการอื่น ๆ แต่ก็เป็นอีกหนึ่งปัจจัยที่สำคัญ โดยมันจะใช้เทคโนโลยีต่าง ๆ ในการตรวจสอบตำแหน่งด้วย หมายเลขที่อยู่ไอพี (IP Address) และแจ้งเตือนมายังผู้ใช้หากระบบพบความผิดปกติ ตัวอย่างเช่น หากปกติคุณใช้งานอยู่ในประเทศไทย แต่อยู่มาวันหนึ่ง มันตรวจพบว่ามีการเข้าสู่ระบบจากประเทศรัสเซีย ก็จะแจ้งเตือนให้ผู้ใช้งานทราบในทันที นอกจาก IP Address แล้ว ก็อาจจะติดตามจาก MAC Address หรือ GPS ด้วยก็ได้เช่นกัน

ทำไม การยืนยันตัวตนแบบขั้นตอนเดียว เพียงอย่างเดียวถึงไม่พอ ?
(Why Single-Factor Authentication is not enough ?)

Single Factor Authentication (SFA) เป็นขั้นตอนการตรวจสอบตัวตนของผู้ใช้อย่างง่าย ๆ ด้วยการให้ผู้ใช้ใส่รหัสผ่านเพื่อเข้าสู่ระบบ อย่างไรก็ตาม ในปัจจุบันนี้ แค่รหัสผ่านเพียงอย่างเดียวไม่สามารถปกป้องคุณจากอันตรายบนโลกไซเบอร์ได้อีกต่อไป แฮกเกอร์สรรหาวิธีมากมายมาใช้ในกรขโมยรหัสผ่านจากคุณ ไม่ว่าจะเป็นการ ฟิชชิ่ง (Phishing) ไปจนถึงดักข้อมูลพิมพ์ (Keylogging)

ดังนั้น เพื่อป้องกันข้อมูลของผู้ใช้ให้มีความปลอดภัย 2FA หรือ MFA จึงเป็นสิ่งที่จำเป็นต้องถูกนำมาใช้

การยืนยันตัวตนแบบ 2 ขั้นตอน คืออะไร ?
(What is Two-Factor Authentication - 2FA ?)

Two-Factor Authentication (2FA) ก็คือการใช้ปัจจัย 2 อย่างในการรับรองตัวตนของผู้ใช้งาน ปัจจัยแรกก็คือ รหัสผ่าน ซึ่งเป็นสิ่งที่ผู้ใช้งานรู้อยู่แล้ว ปัจจัยที่สองคือ บางสิ่งที่คุณมี อาจจะเป็นสมาร์ทโฟน หรือเป็นเครื่อง Token ที่ใช้ยืนยันตัวตนได้

ปัจจัยที่สองไม่ได้มีข้อจำกัดว่าต้องเป็นอุปกรณ์แค่เพียงอย่างเดียว มันสามารถเป็นอะไรก็ได้ที่ผู้มีแค่ผู้ใช้เท่านั้นสามารถเข้าถึงได้ โดยส่วนใหญ่แล้ว ผู้ใช้สามารถเลือกได้ว่าจะให้ปัจจัยที่สองเป็นอะไร เช่น ส่งรหัสมาทางอีเมล หรือ SMS ผู้ใช้บางรายอาจจะเลือกตอบคำถามที่ระบุคำตอบเอาไว้ล่วงหน้า

การใช้งาน 2FA สามารถช่วยปกป้องข้อมูลสำคัญของผู้ใช้ได้เป็นอย่างดี ทำให้แฮกเกอร์ไม่สามารถเข้าถึงบัญชีของคุณได้ง่าย ๆ แม้ว่าแฮกเกอร์จะรู้รหัสผ่านของคุณแล้วก็ตาม

การยืนยันตัวตนแบบหลายปัจจัย คืออะไร ?
(What is Multi-Factor Authentication - MFA ?)

Multi-Factor Authentication (MFA) คือการรับรองตัวตนของผู้ใช้โดยใช้หลายปัจจัยร่วมกันในการพิจารณา หลังจากที่ใส่รหัสผ่านแล้ว ก็นำปัจจัยอื่น ๆ มาใช้พิสูจน์เพิ่มเติมด้วย

คำถาม แล้วมันต่างจาก 2FA อย่างไร ? คำตอบคือ 2FA ทุกประเภทคือ MFA แต่ MFA ไม่จำเป็นต้องเป็น 2FA มันอาจจะเป็น 3FA, 4FA หรือ 5FA ก็ได้ 

สรุปง่าย ๆ คือ MFA เป็นการรับรองตัวตนโดยใช้ปัจจัยหลายอย่างตั้งแต่สองปัจจัยขึ้นไปนั่นเอง เช่น การใช้ Knowledge ร่วมกับ Possession+Inherence+ Locations รวมเป็น 4FA ซึ่ง 2FA, 3FA, 4FA และ 5FA ทั้งหมดก็เป็นหน่วยย่อยของ MFA นั่นเอง

ภาพจาก : https://cyvatar.ai/multi-factor-authentication-mfa/

การยืนยันตัวตนแบบ 2 ขั้นตอน กับ การยืนยันตัวตนแบบหลายปัจจัย แบบไหนปลอดภัยกว่ากัน ? (Which one is safer between Two-Factor and Multi-Factor Authentications ?)

ในแง่ของการรักษาความปลอดภัย ยิ่งเยอะ ยิ่งเข้มงวด ย่อมยิ่งดีกว่า ดังนั้น MFA ที่มีการพิสูจน์ตัวตนเพื่อรับรองความถูกต้องหลายครั้งย่อมปลอดภัยกว่า 2FA

อย่างไรก็ดี ด้วยความที่ต้องใช้หลายปัจจัยในการตรวจสอบ อาจทำให้ผู้ใช้งานรู้สึกว่ามันยุ่งยากมากเกินไป ส่วนใหญ่แล้วเราจึงใช้งานกันแค่ 2FA เท่านั้น

สุดท้ายแล้วจะเลือกใช้ 2FA หรือ MFA ก็ขึ้นอยู่มูลค่าของข้อมูลที่คุณต้องการจะปกป้อง หากมันไม่ได้มีมูลค่าสูงมาก 2FA ก็สามารถดึงดูดผู้ใช้ได้มากกว่า เพราะไม่มีใครต้องการความยุ่งยาก