Author Topic: เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง OTP / Smart card  (Read 4799 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2140
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
    เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP)
 และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team


       ปัญหาการ Authentication ในปัจจุบันที่เรากำลังเผชิญอยู่ในเวลานี้ไม่ว่าจะเป็นการเข้าใช้งานระบบผ่าน LAN หรือ การเข้าใช้งานระบบผ่าน Remote Access ก็คือ เรามักใช้ Username และ Password ในการ Log In หรือ Log On เข้าสู่ระบบ ซึ่ง Hacker สามารถดักจับข้อมูลเราได้โดยง่าย อีกทั้งเรายังไม่สามารถรู้ได้ว่าเป็นผู้ใช้ระบบของเราจริงหรือไม่ เพราะ ถ้ามีใครทราบ Username และ Password ก็สามารถเข้าสู่ระบบได้เหมือนกัน จะเห็นได้ว่าเราไม่สามารถระบุตัวตนของผู้ใช้ระบบได้แน่นอน ตลอดจนมีความเสี่ยงกับการโดนเจาะระบบโดยโปรแกรมจำพวก Packet Sniffer อีกด้วย

       การนำระบบ Two-Factor Authentication มาใช้จะสามารถแก้ปัญหานี้ได้ เนื่องจากผู้ใช้ระบบในองค์กรไม่ว่าจะเป็น พนักงานระดับปฏิบัติการจนถึงผู้บริหารระดับสูง จะต้องมีอุปกรณ์เพิ่มเติมซึ่งอาจอยู่ในรูปของ Hardware Token หรือ Smart Card เพื่อที่จะใช้ตรวจสอบตัวตนเมื่อต้องการเข้าสู่ระบบ และ สามารถแก้ปัญหาการแอบดักข้อมูลจากโปรแกรม Packet Sniffer ตลอดจนสามารถระบุตัวตนผู้ใช้ที่เป็นเจ้าของ Hardware Token หรือ Smart Card ได้ดีกว่าแบบที่ใช้แค่เพียง Username และ Password

       ลักษณะการใช้งาน, ข้อดี- ข้อด้อย และ คำแนะนำ ว่าควรเลือกใช้ระบบ Smart Card และ PKI หรือ Two-Factor Hardware Token มีรายละเอียดดังนี้

ลักษณะการใช้งานระบบ One Time Password เช่น ระบบของ RSA

    เป็นระบบ One Time Password (OTP) ซึ่งต้องใช้ RSA/SecurID Client Hardware Token ที่มี Battery ทำการ Generate Code เป็นตัวเลขทุกๆ 60 วินาที เพื่อที่จะ "Sync" กับ RSA ACE/Server ในการตรวจสอบตัวตนของผู้ใช้
    ต้องมีการเตรียมจัดซื้อ RSA ACE/Server, RSA SecurID Token Hareware และ RADIUS Server เพื่อเตรียมรับ Two-Factor Authentication

ข้อดีของการใช้ระบบ One Time Password

    ใช้เพื่อทำ User Authentication แบบ Two-Factor Authentication
    ป้องกันการดักจับข้อมูลจากโปรแกรมจำพวก Packet Sniffer เนื่องจาก Password (PIN+token generate) ใช้ครั้งเดียว การดักด้วย Packet Sniffer จึงไม่มีผล
    เหมาะสำหรับการตรวจสอบการเข้าระบบที่พร้อมใช้งานกับ RSA ACE/Server
    เป็นระบบ One Time Password (OTP)
    ไม่ต้องมี CA และ PKI มาเกี่ยวข้องก็ทำงานได้
    ไม่ต้องมี USB Token และไม่ต้องใช้ Smart Card (ในกรณีที่ไม่ต้องการใช้ Smart Card และ PKI)

ข้อด้อยของการใช้ระบบ One Time Password

    ต้องลงทุนกับ RSA ACE/Server และ RSA SecurID Token Hardware ทุก Client
    ปัญหาเรื่อง Battery ของตัว Hardware Token
    ไม่สามารถทำงานแบบ Multi-Factor ได้
    ไม่สามารถทำงานแบบ Multi-Application ได้
    ไม่สามารถทำงานกับ Digital Certificate หรือ Private Key ของระบบ PKI ได้
    มีข้อจำกัดกับการใช้งาน Multi-Application ในแบบ SSO (Single Sign On)
    ROI ไม่คุ้มเท่ากับการใช้ Smart Card และ PKI ในระยะยาว (ต้องทำ Cost/ Benefit Analysis)
    ไม่ใช่ระบบที่ต่อกับ USB
    ไม่ใช่ระบบที่นำ Smart Card มาใช้
    ไม่รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation

ลักษณะการใช้งานระบบ Smart Card และระบบ PKI

    เป็นระบบที่เปิดกว้างในการนำมาใช้งานได้หลากหลายรูปแบบ
    เป็นระบบ Two Factor, Three Factor หรือ Multi-Factor Authentication
    มีการใช้งานร่วมกับระบบ PKI
    เป็นการใช้งานแบบ SSO (Single Sign On)

ข้อดีของการใช้งานของ Smart Card

    ให้ ROI ที่คุ้มค่าในระยะยาว
    ทำงานได้หลายแบบ และ เป็นได้มากกว่า Two Factor Authentication
    ทำงานร่วมกับระบบ Biometric ได้
    สามารถเก็บ Private Key เพื่อไว้ทำ Electronic Transaction, Digitally sign by using Digital Signature และ ประยุกต์ใช้กับ Application ได้หลากหลาย
    รองรับกฎหมายธุรกรรมอิเล็กทรอนิกส์ในข้อ Authentication และ Non-repudiation เพราะมีการระบุตัวตนโดยใช้ Digital Signature/ Digital Certificate
    เป็น SSO (Single Sign On) สมบูรณ์แบบ
    มีความสามารถเรื่อง Mobility เหมาะกับ Remote Access ทำให้ผู้ใช้ไม่ขึ้นกับสถานที่หรือเครื่องคอมพิวเตอร์ตัวใดตัวหนึ่ง
    ถ้าเป็นแบบ Smart Card using USB Token จะประหยัดค่าใช้จ่ายเรื่องตัวอ่านได้มาก
    สามารถใช้หลาย Application ต่อหนึ่ง Smart Card ได้
    ทำ Personalization ได้
    ป้องกัน Hacker อย่างได้ผล
    ลดค่าใช้จ่ายในการบริหารงาน โดยเฉพาะเรื่องการจัดการกับ Password
    สะดวกสบายกับผู้ใช้ และไม่ต้องพะวงเรื่องปัญหา Battery
    รองรับการขยายงานในอนาคต
    รองรับ JAVA (Smart Card ที่ออกแบบมาใช้กับ JAVA)
    สามารถใช้กับระบบได้หลายระบบอาทิ
        ระบบ Employee ID Badge
        ระบบการเข้าอาคาร (Building Access)
        ระบบ PC/ Network Log on
        ระบบ Remote Network Access Log on
        ระบบ Digital Signature และ Secure E-mail
        ระบบ Secure Storage
        ระบบ Web Site Authentication
        ระบบ Debit Transactions
        ระบบ PKI Related
        ระบบ Biometric

ข้อด้อยของการใช้งาน Smart Card

    ต้องลงทุนซื้อ Smart Card และเครื่องอ่าน Smart Card ถ้าเป็นแบบ USB Token Smart Card ไม่ต้องซื้อเครื่องอ่านแต่ต้องซื้อ USB token
    ควรทำงานร่วมกับระบบ PKI ซึ่งจะต้องมี CA ถ้าไม่มี CA เอง ต้องจ่ายค่าใบรับรอง Digital Certificate ทุกปี
    ผู้ใช้ต้องมีความเข้าใจในการทำงานระดับหนึ่ง
    ต้องเตรียม Infrastructure สำหรับระบบ PKI ในกรณีที่ต้องการเป็น CA เอง
    ต้องมีระบบ Card Management ที่ดี

คำแนะนำในการลงทุนกับ Two-factor Authentication

    ก่อนอื่นต้องทำ Cost Benefit Analysis ออกมาก่อนว่าจะใช้ระบบ One Time Password หรือใช้ระบบ Smart Card และ PKI
    ควรทำจากระบบเล็กๆ หรือ Pilot Project ก่อนแล้วค่อยขยายผล
    ควรพิจารณาเรื่องการลงทุนในระยะยาว เรื่องของ PKI/CA ซึ่งจะเห็นว่าระบบ Smart Card ที่เป็น USB Token น่าจะคุ้มค่าที่สุด
    การใช้ USB Token Smart Card เป็นเทคโนโลยีที่เหมาะสมในปัจจุบัน และ มีความคุ้มค่าในอนาคตมากที่สุด แต่อย่างไรก็ตาม ถ้าเราใช้งานเพียงแค่การ Log on เข้าสู่ระบบบางระบบเท่านั้น การใช้งาน RSA SecurID Token ก็น่าจะเพียงพอ
    หากเราต้องการระบบ SSO (Single Sign On) และการทำงานในลักษณะ Multi-factor Authentication การนำระบบ Smart Card และ PKI มาใช้จะเป็นทางออกที่ดีกว่าในระยะยาว



จาก : หนังสือ eWeek Thailand
ปักษ์หลัง เดือนพฤษภาคม 2547
Update Information : 25 พฤษภาคม 2547
ขอบพระคุณข้อมูลจาก : ท่านอาจารย์ปริญญา หอมอเนก
http://www.acisonline.net/article_prinya_smartcard2.htm
นะครับผม