IAL และ AAL มาตรฐานการพิสูจน์และยืนยันตัวตนทางดิจิทัล

IAL AAL

ในยุคดิจิทัล หรือไทยแลนด์ 4.0 นี้ ความน่าเชื่อถือของตัวตนผู้ใช้บริการสถาบันการเงิน การธนาคาร และผู้ให้บริการสินเชื่อ หรือธุรกิจที่มีความเกี่ยวข้องกับธุรกรรมด้านการเงิน การตรวจสอบ IAL และ AAL เป็นสิ่งที่จะต้องให้ความสำคัญเป็นอันดับแรก

โดยเฉพาะการให้บริการทางการเงินออนไลน์ต่างๆ ที่ข้อมูลส่วนบุคคล สามารถถูกจารกรรม หรือปลอมแปลงได้ง่าย รวมถึงอาจมีการกระทำที่เกี่ยวของกับอาชญากรรมด้านการเงินเช่นการฟอกเงิน การพิสูจน์และยืนยันตัวตนของลูกค้าจึงจำเป็นที่จะต้องมีมาตรฐานที่ได้รับการยอมรับในระดับสากล

ดังนั้น สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA ในการดูแลของ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จึงได้กำหนดมาตรฐานที่จําเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์สำหรับพิสูจน์และยืนยันตัวตน (identity provider: IdP) ในการบริหารจัดการสิ่งที่ใช้ยืนยันตัวตนและการยืนยันตัวตนของผู้ใช้บริการ เพื่อให้ IdP มีแนวปฏิบัติที่เป็นมาตรฐานเดียวกัน

กระบวนการลงทะเบียนและพิสูจน์ตัวตน  (Source: https://www.dga.or.th

ธุรกิจของคุณ จะต้องใช้ ระดับความน่าเชื่อถือของอัตลักษณ์ (Identity Assurance Level: IAL) ในระดับใด?

การประเมินความเสี่ยงในกระบวนการพิสูจน์และยืนยันตัวตน จะช่วยให้ธุรกิจต่างๆ สามารถเลือกใช้เทคโนโลยี หรือกลยุทธ์ที่เหมาะสมในการบรรเทาความเสี่ยงที่อาจเกิดขึ้น โดยมีวิธีการสำคัญคือ การตรวจสอบความน่าเชื่อถือของอัตลักษณ์ (Identity Assurance Level: IAL) และการตรวจสอบ ความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน  (Authenticator Assurance Level: AAL) 

ระดับความน่าเชื่อถือของอัตลักษณ์ (Identity Assurance Level: IAL) 

คือ ระดับความเข้มงวดในกระบวนการพิสูจน์ตัวตนของผู้สมัครใช้บริการตามการประเมินความเสี่ยง เพื่อกำหนดระดับความน่าเชื่อถือ 

Quote_start

ผู้ให้บริการ ควรประเมินความเสี่ยงของธุรกิจตนเอง เพื่อกำหนดระดับความน่าเชื่อถือ โดยประเมินความเสี่ยงและผลกระทบที่เป็นไปได้ของบริการธุรกรรม ให้เป็นไปตามหลักเกณฑ์ ของหน่วยงานที่กำกับดูแลบริการธุรกรรมแต่ละประเภท นโยบายการบริหาร ความเสี่ยงของหน่วยงานของตนเอง และบริบทการใช้งานของบริการธุรกรรมนั้นๆ

Quote_end

ระดับความน่าเชื่อถือของอัตลักษณ์ : IAL (source: https://standard.etda.or.th/

 

ระดับความน่าเชื่อถือของอัตลักษณ์ แบ่งออกเป็น 3 ระดับ จากน้อยไปหามาก ดังนี้

• Identity Assurance Level: IAL1 

มีการรวบรวมข้อมูลเพื่อระบุตัวตน เพื่อพิจารณาและตรวจสอบหลักฐานแสดงตนหรือไม่ก็ได้ สรุปง่ายๆ ก็คือ ไม่มีข้อกำหนดในการตรวจสอบตัวตนของบุคคล โดยคุณลักษณะใด ๆ การลงทะเบียนเป็นการที่ผู้สมัครใช้บริการยืนยันด้วยตนเอง (self-asserted) และไม่มีการตรวจสอบหรือพิสูจน์ความถูกต้องโดย IdP เหมาะสำหรับ บริการที่มีความเสี่ยงต่ำ ต้องการการให้บริการที่รวดเร็ว หรือเพื่อเก็บข้อมูลลูกค้าในการทำโปรโมชั่น หรือกิจกรรมทางการตลาด เช่น การสร้างบัญชี Facebook หรือ Instagram การสมัครสมาชิกเพื่อใช้บริการทั่วไปหรือการสะสมแต้มต่างๆ เป็นต้น

• Identity Assurance Level: IAL2

กําหนดให้มีหลักฐานการแสดงตน มีการตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ที่กล่าวอ้าง ว่าเป็นอัตลักษณ์ที่มีอยู่จริง ทำการตรวจสอบความเชื่อมโยงระหว่างบุคคลที่กำลังพิสูจน์ตัวตนกับอัตลักษณ์นั้น สามารถทำได้ทั้งแบบพบเห็นต่อหน้า (Face-to-Face) หรือ แบบไม่พบเห็นต่อหน้า (None Face-to-Face) เช่น การพิสูจน์อัตลักษณ์ผ่านเครื่องให้บริการ (kiosk) หรือแอปพลิเคชันของ IdP เหมาะสำหรับการทำธุรกิจที่มีความเสี่ยงต่ำถึงปานกลาง เช่น สถาบันการเงิน ธนาคาร สินเชื่อ ประกันภัย เป็นต้น

• Identity Assurance Level: IAL3 

คือระดับที่มีความน่าเชื่อถือมากที่สุด จะมีการเพิ่มความเข้มงวดให้กับข้อกำหนดที่ระดับ IAL2 ด้วยการพิจารณาหลักฐานแสดงตนเพิ่มเติม และจะต้องมีการตรวจสอบข้อมูลชีวมิติ (Biometric) เพื่อป้องกันการปลอมตัวเป็นบุคคลอื่น การหลอกลวงการลงทะเบียนซ้ำ หรือความเสียหายอื่น ๆ โดยทำได้เฉพาะแบบพบเห็นต่อหน้า (Face-to-Face) ซึ่งรวมถึงแบบเสมือนพบเห็นต่อหน้า เหมาะสำหรับบริการที่มีความเสี่ยงสูง

ระดับความน่าเชื่อถือของอัตลักษณ์ (IAL) ในแต่ละระดับจะมีรายละเอียดแยกย่อย ซึ่ง  BeID จะพาคุณเจาะลึกในบทความต่อๆ ไป

ระดับความน่าเชื่อถือของการยืนยันตัวตน (Authentication Assurance Level: AAL) 

คือมาตรฐานที่ใช้สำหรับกําหนดชนิดของสิ่งท่ีใช้ยืนยันตัวตน และเกณฑ์วิธีการยืนยันตัวตน โดยพิจารณาจากคุณสมบัติในการป้องกันการโจมตีทางไซเบอร์ ที่อาจเกิดขึ้นผ่านช่องทางออนไลน์เป็นหลัก เช่น การโจมตีโดยคนกลาง (man-in-the-middle attack) และการโจมตีแบบส่งข้อมูลซ้ำ (replay attack) 

AAL Standard
AAL standard (Source: https://standard.etda.or.th/)

 ระดับความเข้มงวดในกระบวนการยืนยันตัวตนของผู้ใช้บริการ แบ่งออกเป็น 3 ระดับ คือ

  1. ระดับ AAL1 ให้ความมั่นใจระดับหนึ่งว่าบุคคลที่กําลังเข้าใช้บริการ ใช้การยืนยันตัวตนแบบปัจจัยเดียว (single-factor authentication) เป็นอย่างน้อย แสดงให้เห็นว่าผู้ใช้บริการครอบครองและควบคุม สิ่งที่ใช้ยืนยันตัวตนต้องดําเนินการด้วยเกณฑ์วิธีการยืนยันตัวตน (authentication protocol) ที่มั่นคง ปลอดภัย ชนิดของส่ิงท่ีใช้ยืนยันตัวตนที่สามารถใช้ได้ 

การยืนยันตัวตนที่ระดับ AAL1

  • ต้องใช้ชนิดของสิ่งที่ใช้ยืนยันตัวตนจากตัวเลือกต่อไปน้ี รหัสลับจดจำ(memorized secret)
  • อุปกรณ์สื่อสารช่องทางอื่น (out-of-band device)
  • อุปกรณ์ OTP แบบปัจจัยเดียว (single-factor OTP device) 
  • ซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic software) 
  • อุปกรณเ์ข้ารหัสลับแบบปัจจัยเดียว(single-factor cryptographic device)
  • สิ่งท่ีใช้ยืนยันตัวตนชนิดอื่น ๆ ที่ระดับ AAL2 และ AAL3 

โดยการสื่อสารระหว่างผู้ใช้บริการและ IdP จะต้องผ่านช่องทางที่มีความปลอดภัย (authenticated protected channel) เพื่อรักษาความลับของผลลัพธ์ที่ใช้ยืนยันตัวตนและป้องกันการโจมตี โดยคนกลาง (man-in-the-middle resistance)

  1. ระดับ AAL2 ให้ความมั่นใจระดับสูงว่าบุคคลที่กําลังเข้าใช้บริการ ครอบครองและควบคุมสิ่งที่ใช้ยืนยันตัวตนของผู้ใช้บริการ โดยใช้การยืนยันตัวตนด้วยปัจจัยของการยืนยันตัวตน (authentication factor) ท่ีแตกต่างกัน 2 ปัจจัย (two-factor authentication) เป็นอย่างน้อย ท้ังนี้ การแสดงให้เห็นว่าผู้ใช้บริการครอบครอง และควบคุมปัจจัยของการยืนยันตัวตนที่แตกต่างกัน 2 ปัจจัยต้องดําเนินการด้วยเกณฑ์วิธีการยืนยันตัวตน ที่มั่นคงปลอดภัย

การยืนยันตัวตนที่ระดับ AAL2

  • อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device)
  • ซอฟต์แวร์เข้ารหัสลับแบบหลายปัจจัย (multi-factor cryptographic software)
  • รหัสลับจดจํา (memorized secret) ร่วมกับอุปกรณ์สื่อสารช่องทางอื่น (out-of-band device)
  • รหัสลับจดจํา (memorized secret) ร่วมกับอุปกรณ์ OTP แบบปัจจัยเดียว(single-factor OTP device)
  • รหัสลับจดจํา (memorized secret) ร่วมกับซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว(single-factor cryptographic software)
  • สิ่งท่ีใช้ยืนยันตัวตนชนิดอื่น ๆ ที่ระดับ AAL3 
Quote_start 
โดยการสื่อสารระหว่างผู้ใช้บริการและ IdP จะต้องผ่านช่องทางที่มีความปลอดภัย (authenticated protected channel) เพื่อรักษาความลับของผลลัพธ์ที่ใช้ยืนยันตัวตน และป้องกันการโจมตี โดยคนกลาง (man-in-the-middle resistance) และสิ่งที่ใช้ยืนยันตัวตนอย่างน้อย 1 อัน จะต้องสามารถป้องกันการโจมตีแบบส่งข้อมูลซ้ำ (replay resistance) 

Quote_end

นอกจากนี้ เมื่อมีการใช้อุปกรณ์เช่น โทรศัพท์มือถือ ในการยืนยันตัวตน การปลดล็อคอุปกรณ์ดังกล่าว (เช่น การใช้เลขรหัส PIN หรือ สแกนลายนิ้วมือ) ต้องไม่ถือเป็นหนึ่งในปัจจัยของการยืนยันตัวตน เนื่องจาก IdP จะไม่สามารถทราบได้ว่าอุปกรณ์ถูกล็อคอยู่ หรือกระบวนการปลดล็อค เป็นไปตามข้อกําหนดของสิ่งท่ีใช้ยืนยันตัวตนชนิดนั้นหรือไม่

  1. ระดับ AAL3 กำหนดให้ผู้ใช้บริการต้องยืนยันตัวตนแบบ 2 ปัจจัย (two-factor authentication) ขึ้นไปที่แตกต่างกัน โดยมีปัจจัยหนึ่ง เป็นกุญแจ (Key) ที่ผ่านเกณฑ์วิธีการเข้ารหัสลับ (Cryptographic Protocol) ซึ่งผู้ใช้บริการต้องพิสูจน์ว่าตน ครอบครองกุญแจนั้น และต้องพิสูจน์ว่าตนครอบครองปัจจัยของการยืนยันตัวตนดังกล่าว ผ่านโพรโทคอลที่มี ความปลอดภัยในการใช้รับส่งข้อมูลระหว่างผู้ใช้บริการและผู้พิสูจน์และยืนยันตัวตน และต้องมีการเข้ารหัส ข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว 

ภาพรวมวงจรชีวิตของการพิสูจน์และยืนยันตัวตนทางดิจิทัล (Source: https://www.dga.or.th

 

การตรวจสอบสิทธิ์สองปัจจัย (two-factor authentication: 2FA) มีอะไรบ้าง?

สิ่งที่ใช้ยืนยันตัวตน

อาจประกอบด้วยปัจจัยของการยืนยันตัวตนเพียงหนึ่งปัจจัย (single-factor authentication) หรือประกอบด้วยปัจจัยของการยืนยันตัวตนมากกว่าหนึ่งปัจจัย (multi-factor authentication) ก็ได้ การตรวจสอบสิทธิ์ เป็นกระบวนการในการตรวจสอบยืนยันตัวตนของผู้ใช้ เพื่อสร้างการเข้าถึงระบบคอมพิวเตอร์หรือบัญชีออนไลน์ โดยมี “ปัจจัย” หลัก 3 ประการสำหรับการตรวจสอบสิทธิ์ ได้แก่ 

• ปัจจัยด้านความรู้ (something you know) : สิ่งที่คุณรู้  คือข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น รหัสผ่าน (password) และเลขรหัสส่วนตัว (PIN) 

• ปัจจัยในการครอบครอง (something you have): สิ่งที่คุณมี คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น กุญแจเข้ารหัส (cryptographic key) อุปกรณ์สื่อสารช่องทางอื่น (out-of-band device) และอุปกรณ์ OTP (OTP device) เรียกง่ายๆ ก็คือเช่น โทรศัพท์มือถือ หรือ บัตรประจำตัวประชาชน เป็นต้น

• ปัจจัยที่ติดตัวมา (something you are): สิ่งที่คุณเป็น คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ เช่น ใบหน้า และลายนิ้วมือ หรือแม้กระทั่งเสียง 

ความเข้มงวดของการยืนยันตัวตน จะขึ้นอยู่กับจำนวนปัจจัยของการยืนยันตัวตนและความสามารถในการป้องกันการโจมตีของสิ่งที่ใช้ยืนยันตัวตน นอกจากนี้ยังมี “ปัจจัยด้านตำแหน่ง” และ “ปัจจัยด้านเวลา” แต่พบการใช้ปัจจัยดังกล่าวน้อยมาก เนื่องจาก ข้อมูลระบุตำแหน่ง หรือข้อมูลระบุอุปกรณ์ ที่บุคคลใช้งาน ประกอบเพื่อเพิ่มความมั่นคงปลอดภัยของการยืนยันตัวตน แต่ข้อมูลเหล่านี้ไม่ถือเป็นปัจจัยของ การยืนยันตัวตน

Quote_start
สรุปได้ว่า การตรวจสอบสิทธิ์สองปัจจัย คือการรักษาความปลอดภัยชั้นที่สอง เพิ่มเติมจากการใช้รหัสผ่านหรือหมายเลข PIN  หากหลังจากล็อกอินด้วยรหัสผ่านแล้ว ระบบขอให้คุณใส่รหัสตัวเลขที่ส่งถึงคุณบนมือถือเพื่อพิสูจน์ตัวตนของคุณ คุณก็จะมีความคุ้นเคยกับ 2FA อยู่แล้ว 

Quote_end

 การรับรหัสทางข้อความไม่ใช่วิธีการตรวจสอบสิทธิ์สองปัจจัยวิธีการเดียวเท่านั้น  ยังมีตัวเลือกมากมาย รวมถึงแอปพลิเคชันเพื่อการพิสูจน์ตัวตน การแจ้งเตือนแบบพุช โทเคนของซอฟต์แวร์ การพิสูจน์ตัวตนด้วยเสียง และอื่นๆ อีกด้วย

ติดตามอัปเดทข้อมูลด้าน การพิสูจน์และยืนยันตัวตนทางดิจิทัลได้ที่เว็บไซต์ Beid.io หรือหากต้องการรายละเอียดเพิ่มเติม เกี่ยวกับการทำ e-KYC ปรึกษาผู้เชี่ยวชาญ อย่าง BeID ที่พร้อมให้บริการด้าน Digital Identification ด้วยมาตรฐาน IAL/AAL ทุกระดับ แบบครบวงจร ติดต่อเรา

 

Source :

https://standard.etda.or.th/
https://www.dopa.go.th
https://www.dga.or.th/
 

Related Posts