เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP)
และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team
ปัญหาการ Authentication ในปัจจุบันที่เรากำลังเผชิญอยู่ในเวลานี้ไม่ว่าจะเป็นการเข้าใช้งานระบบผ่าน LAN หรือ การเข้าใช้งานระบบผ่าน Remote Access ก็คือ เรามักใช้ Username และ Password ในการ Log In หรือ Log On เข้าสู่ระบบ ซึ่ง Hacker สามารถดักจับข้อมูลเราได้โดยง่าย อีกทั้งเรายังไม่สามารถรู้ได้ว่าเป็นผู้ใช้ระบบของเราจริงหรือไม่ เพราะ ถ้ามีใครทราบ Username และ Password ก็สามารถเข้าสู่ระบบได้เหมือนกัน จะเห็นได้ว่าเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้แน่นอน ตลอดจนมีความเสี่ยงกับการโดนเจาะระบบโดยโปรแกรมจำพวก Packet Sniffer อีกด้วย
การนำระบบ Two-Factor Authentication มาใช้จะสามารถแก้ปัญหานี้ได้ เนื่องจากผู้ใช้ระบบในองค์กรไม่ว่าจะเป็น พนักงานระดับปฏิบัติการจนถึงผู้บริหารระดับสูง จะต้องมีอุปกรณ์เพิ่มเติมซึ่งอาจอยู่ในรูปของ Hardware Token หรือ Smart Card เพื่อที่จะใช้ตรวจสอบตัวตนเมื่อต้องการเข้าสู่ระบบ และ สามารถแก้ปัญหาการแอบดักข้อมูลจากโปรแกรม Packet Sniffer ตลอดจนสามารถระบุตัวตนผู้ใช้ที่เป็นเจ้าของ Hardware Token หรือ Smart Card ได้ดีกว่าแบบที่ใช้แค่เพียง Username และ Password
ลักษณะการใช้งาน, ข้อดี- ข้อด้อย และ คำแนะนำ ว่าควรเลือกใช้ระบบ Smart Card และ PKI หรือ Two-Factor Hardware Token มีรายละเอียดดังนี้
ลักษณะการใช้งานระบบ One Time Password เช่น ระบบของ RSA
เป็นระบบ One Time Password (OTP) ซึ่งต้องใช้ RSA/SecurID Client Hardware Token ที่มี Battery ทำการ Generate Code เป็นตัวเลขทุกๆ 60 วินาที เพื่อที่จะ "Sync" กับ RSA ACE/Server ในการตรวจสอบตัวตนของผู้ใช้
ต้องมีการเตรียมจัดซื้อ RSA ACE/Server, RSA SecurID Token Hareware และ RADIUS Server เพื่อเตรียมรับ Two-Factor Authentication
ข้อดีของการใช้ระบบ One Time Password
ใช้เพื่อทำ User Authentication แบบ Two-Factor Authentication
ป้องกันการดักจับข้อมูลจากโปรแกรมจำพวก Packet Sniffer เนื่องจาก Password (PIN+token generate) ใช้ครั้งเดียว การดักด้วย Packet Sniffer จึงไม่มีผล
เหมาะสำหรับการตรวจสอบการเข้าระบบที่พร้อมใช้งานกับ RSA ACE/Server
เป็นระบบ One Time Password (OTP)
ไม่ต้องมี CA และ PKI มาเกี่ยวข้องก็ทำงานได้
ไม่ต้องมี USB Token และไม่ต้องใช้ Smart Card (ในกรณีที่ไม่ต้องการใช้ Smart Card และ PKI)
ข้อด้อยของการใช้ระบบ One Time Password
ต้องลงทุนกับ RSA ACE/Server และ RSA SecurID Token Hardware ทุก Client
ปัญหาเรื่อง Battery ของตัว Hardware Token
ไม่สามารถทำงานแบบ Multi-Factor ได้
ไม่สามารถทำงานแบบ Multi-Application ได้
ไม่สามารถทำงานกับ Digital Certificate หรือ Private Key ของระบบ PKI ได้
มีข้อจำกัดกับการใช้งาน Multi-Application ในแบบ SSO (Single Sign On)
ROI ไม่คุ้มเท่ากับการใช้ Smart Card และ PKI ในระยะยาว (ต้องทำ Cost/ Benefit Analysis)
ไม่ใช่ระบบที่ต่อกับ USB
ไม่ใช่ระบบที่นำ Smart Card มาใช้
ไม่รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation
ลักษณะการใช้งานระบบ Smart Card และระบบ PKI
เป็นระบบที่เปิดกว้างในการนำมาใช้งานได้หลากหลายรูปแบบ
เป็นระบบ Two Factor, Three Factor หรือ Multi-Factor Authentication
มีการใช้งานร่วมกับระบบ PKI
เป็นการใช้งานแบบ SSO (Single Sign On)
ข้อดีของการใช้งานของ Smart Card
ให้ ROI ที่คุ้มค่าในระยะยาว
ทำงานได้หลายแบบ และ เป็นได้มากกว่า Two Factor Authentication
ทำงานร่วมกับระบบ Biometric ได้
สามารถเก็บ Private Key เพื่อไว้ทำ Electronic Transaction, Digitally sign by using Digital Signature และ ประยุกต์ใช้กับ Application ได้หลากหลาย
รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation เพราะมีการระบุตัวตนโดยใช้ Digital Signature/ Digital Certificate
เป็น SSO (Single Sign On) สมบูรณ์แบบ
มีความสามารถเรื่อง Mobility เหมาะกับ Remote Access ทำให้ผู้ใช้ไม่ขึ้นกับสถานที่หรือเครื่องคอมพิวเตอร์ตัวใดตัวหนึ่ง
ถ้าเป็นแบบ Smart Card using USB Token จะประหยัดค่าใช้จ่ายเรื่องตัวอ่านได้มาก
สามารถใช้หลาย Application ต่อหนึ่ง Smart Card ได้
ทำ Personalization ได้
ป้องกัน Hacker อย่างได้ผล
ลดค่าใช้จ่ายในการบริหารงาน โดยเฉพาะเรื่องการจัดการกับ Password
สะดวกสบายกับผู้ใช้ และไม่ต้องพะวงเรื่องปัญหา Battery
รองรับการขยายงานในอนาคต
รองรับ JAVA (Smart Card ที่ออกแบบมาใช้กับ JAVA)
สามารถใช้กับระบบได้หลายระบบอาทิ
ระบบ Employee ID Badge
ระบบการเข้าอาคาร (Building Access)
ระบบ PC/ Network Log on
ระบบ Remote Network Access Log on
ระบบ Digital Signature และ Secure E-mail
ระบบ Secure Storage
ระบบ Web Site Authentication
ระบบ Debit Transactions
ระบบ PKI Related
ระบบ Biometric
ข้อด้อยของการใช้งาน Smart Card
ต้องลงทุนซื้อ Smart Card และเครื่องอ่าน Smart Card ถ้าเป็นแบบ USB Token Smart Card ไม่ต้องซื้อเครื่องอ่านแต่ต้องซื้อ USB token
ควรทำงานร่วมกับระบบ PKI ซึ่งจะต้องมี CA ถ้าไม่มี CA เอง ต้องจ่ายค่าใบรับรอง Digital Certificate ทุกปี
ผู้ใช้ต้องมีความเข้าใจในการทำงานระดับหนึ่ง
ต้องเตรียม Infrastructure สำหรับระบบ PKI ในกรณีที่ต้องการเป็น CA เอง
ต้องมีระบบ Card Management ที่ดี
คำแนะนำในการลงทุนกับ Two-factor Authentication
ก่อนอื่นต้องทำ Cost Benefit Analysis ออกมาก่อนว่าจะใช้ระบบ One Time Password หรือใช้ระบบ Smart Card และ PKI
ควรทำจากระบบเล็กๆ หรือ Pilot Project ก่อนแล้วค่อยขยายผล
ควรพิจารณาเรื่องการลงทุนในระยะยาว เรื่องของ PKI/CA ซึ่งจะเห็นว่าระบบ Smart Card ที่เป็น USB Token น่าจะคุ้มค่าที่สุด
การใช้ USB Token Smart Card เป็นเทคโนโลยีที่เหมาะสมในปัจจุบัน และ มีความคุ้มค่าในอนาคตมากที่สุด แต่อย่างไรก็ตาม ถ้าเราใช้งานเพียงแค่การ Log on เข้าสู่ระบบบางระบบเท่านั้น การใช้งาน RSA SecurID Token ก็น่าจะเพียงพอ
หากเราต้องการระบบ SSO (Single Sign On) และการทำงานในลักษณะ Multi-factor Authentication การนำระบบ Smart Card และ PKI มาใช้จะเป็นทางออกที่ดีกว่าในระยะยาว
จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนพฤษภาคม 2547
Update Information : 25 พฤษภาคม 2547
ขอบพระคุณข้อมูลจาก : ท่านอาจารย์ปริญญา หอมอเนก
http://www.acisonline.net/article_prinya_smartcard2.htmนะครับผม
