ขั้นตอนที่เกี่ยวกับการลงทะเบียนและพิสูจน์ตัวตน และการยืนยันตัวตนของดิจิทัลไอดี

การเริ่มใช้งานดิจิทัลไอดี จำเป็นต้องมีขั้นตอนการลงทะเบียนและพิสูจน์ตัวตน (Enrolment and Identity Proofing) รวมถึงการยืนยันตัวตน (Authentication) รายละเอียดมีอะไรบ้าง มาดูกันเลย

หลายคนอาจสงสัยว่า หากจะใช้งานดิจิทัลไอดีในการทำธุรกรรมต่าง ๆ ผ่านช่องทางอิเล็กทรอนิกส์นั้น มีกระบวนการที่เกี่ยวข้องอะไรบ้าง และจะต้องลงทะเบียนและพิสูจน์ตัวตน รวมถึงยืนยันตัวตนเพื่อใช้งานดิจิทัลไอดีอย่างไร โดยในข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – ภาพรวมและอภิธานศัพท์ (ขมธอ. 18-2561) ระบุภาพรวมของกระบวนการต่าง ๆ ไว้ รวมถึงขั้นตอนที่เกิดขึ้นในแต่ละกระบวนการด้วย รายละเอียดดังนี้

อ่านรายละเอียดเพิ่มเติม Click Link ด้านล่าง :
1- ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – ภาพรวมและอภิธานศัพท์ (ขมธอ. 18-2561)
2- ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – การลงทะเบียนและพิสูจน์ตัวตน (ขมธอ. 19-2561)
3- ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – การยืนยันตัวตน (ขมธอ. 20-2561)

การใช้งานดิจิทัลไอดีเริ่มต้นจากผู้สมัครใช้บริการ (applicant) ลงทะเบียนใช้บริการพิสูจน์และยืนยันตัวตนกับผู้พิสูจน์และยืนยันตัวตน (identity provider หรือ IdP) ซึ่ง IdP จะลงทะเบียนและพิสูจน์ตัวตนของผู้สมัครใช้บริการตามระดับความเข้มงวดของการพิสูจน์ตัวตน ซึ่งเราเรียกว่า “ระดับความน่าเชื่อถือของไอเดนทิตี (identity assurance level: IAL)” ผู้สมัครใช้บริการที่ผ่านการลงทะเบียนและพิสูจน์ตัวตนเรียบร้อยแล้วจะเปลี่ยนสถานะเป็น “ผู้ใช้บริการ (subscriber)” และได้รับสิ่งที่ใช้ยืนยันตัวตน (authenticator) เพื่อใช้ในกระบวนการยืนยันตัวตน (authentication) กับ IdP ต่อไป
**ทั้งนี้ การพิสูจน์ตัวตนของผู้สมัครใช้บริการครอบคลุมถึงการตรวจสอบหลักฐานแสดงตน การตรวจสอบความเชื่อมโยงระหว่างผู้สมัครใช้บริการและหลักฐานแสดงตน และการตรวจสอบข้อมูลของผู้สมัครใช้บริการกับผู้ให้ข้อมูลที่น่าเชื่อถือ (authoritative source: AS)**

ขั้นตอนโดยทั่วไป

(1) ผู้สมัครใช้บริการลงทะเบียนเป็นผู้ใช้บริการของ IdP ซึ่ง IdP จะพิสูจน์ตัวตนของผู้สมัครใช้บริการตามระดับความน่าเชื่อถือของไอเดนทิตีที่กำหนด โดยอาจตรวจสอบข้อมูลกับผู้ให้ข้อมูลที่น่าเชื่อถือ (authoritative source: AS)
(2) หากการพิสูจน์ตัวตนสำเร็จ IdP จะสร้างหรือลงทะเบียนสิ่งที่ใช้ยืนยันตัวตน และสร้างสิ่งที่ใช้รับรองตัวตนซึ่งเป็นข้อมูลเชื่อมโยงสิ่งที่ใช้ยืนยันตัวตนกับไอเดนทิตีของผู้ใช้บริการ
(3) ผู้สมัครใช้บริการเปลี่ยนสถานะเป็น “ผู้ใช้บริการ” โดย IdP จะเก็บรักษาสิ่งที่ใช้รับรองตัวตน สถานะของสิ่งที่ใช้รับรองตัวตน และข้อมูลที่ผู้ใช้บริการใช้ลงทะเบียน ตลอดอายุการใช้งานของสิ่งที่ใช้รับรองตัวตน (เป็นอย่างน้อย) ส่วนผู้ใช้บริการเก็บรักษาสิ่งที่ใช้ยืนยันตัวตน

เมื่อผู้ใช้บริการต้องการเข้าใช้บริการหรือทำธุรกรรมออนไลน์กับผู้ให้บริการ (relying party หรือ RP) ที่ต้องการทราบตัวตนของผู้ใช้บริการ ผู้ใช้บริการสามารถขอให้ IdP ที่ตนเองเคยพิสูจน์ตัวตนและได้รับสิ่งที่ใช้ยืนยันตัวตนที่ตรงตามระดับความต้องการของ RP ช่วยยืนยันตัวตนและส่งผลการยืนยันตัวตน (assertion) ให้กับ RP โดยผลการยืนยันตัวตนประกอบด้วยไอเดนทิตีและข้อมูลอื่น ๆ (ที่ผู้ใช้บริการยินยอมให้เปิดเผย) ที่ RP ใช้พิจารณาสิทธิของผู้ใช้บริการ
จากนั้น IdP จะส่งผลการยืนยันตัวตนซึ่งมีข้อมูลเกี่ยวกับผู้ใช้บริการให้กับ RP ก็ต่อเมื่อผู้ใช้บริการสามารถยืนยันตัวตนได้ว่าตนเองคือเจ้าของไอเดนทิตีที่กล่าวอ้างจริง โดยการพิสูจน์ให้ IdP เห็นว่าเป็นผู้ครอบครองสิ่งที่ใช้ยืนยันตัวตนตามเกณฑ์วิธี (protocol) ที่ IdP กำหนด ทั้งนี้ สิ่งที่ใช้ยืนยันตัวตนแต่ละประเภทมีระดับความปลอดภัยจากการโจมตีโดยผู้ไม่ประสงค์ดีแตกต่างกัน ข้อเสนอแนะมาตรฐานฉบับนี้จึงแบ่งสิ่งที่ใช้ยืนยันตัวตนเป็นระดับเรียกว่า “ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (authenticator assurance level: AAL)” ซึ่งเป็นระดับที่บ่งบอกความน่าเชื่อถือว่าผู้ที่ยืนยันตัวตนเป็นบุคคลเดียวกับที่ได้ลงทะเบียนไว้กับ IdP

ขั้นตอนโดยทั่วไป

(1) ผู้ใช้บริการขอเข้าใช้บริการหรือทำธุรกรรมออนไลน์กับ RP โดยใช้ดิจิทัลไอดีที่มีระดับความน่าเชื่อถือของไอเดนทิตีและระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตนตรงตามความต้องการของ RP
(2) ผู้ใช้บริการยืนยันตัวตนว่าเป็นเจ้าของไอเดนทิตีที่กล่าวอ้างจริง โดยพิสูจน์ให้ IdP เห็นว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตนตามเกณฑ์วิธีที่ IdP กำหนด
(3) IdP ตรวจสอบความถูกต้องและสถานะของสิ่งที่ใช้ยืนยันตัวตนและสิ่งที่ใช้รับรองตัวตน แล้วส่งผลการยืนยันตัวตนให้กับ RP ซึ่ง RP สามารถใช้ข้อมูลที่อยู่ในผลการยืนยันตัวตนนี้พิจารณาสิทธิต่าง ๆ ของผู้ใช้บริการ
(4) RP ทำการเชื่อมต่อกับผู้ใช้บริการ

 

สิ่งที่ใช้ยืนยันตัวตน (authenticator)

สิ่งที่ใช้ยืนยันตัวตน (authenticator) คือสิ่งที่ผู้ใช้บริการครอบครองและใช้ในการยืนยันตัวตนกับ IdP ว่าเป็นบุคคลที่กล่าวอ้างจริง สิ่งที่ใช้ยืนยันตัวตนอาจประกอบด้วยปัจจัยของการยืนยันตัวตนเพียงหนึ่งปัจจัย (การยืนยันตัวตนแบบปัจจัยเดียว: single-factor authentication) หรือประกอบด้วยปัจจัยของการยืนยันตัวตนมากกว่าหนึ่งปัจจัย (การยืนยันตัวตนแบบหลายปัจจัย: multi-factor authentication) ก็ได้ อย่างไรก็ตาม ความปลอดภัยของระบบยืนยันตัวตน (authentication system) ขึ้นอยู่กับความสามารถในการป้องกันการโจมตีของสิ่งที่ใช้ยืนยันตัวตนและจำนวนปัจจัยของการยืนยันตัวตน โดยปัจจัยของการยืนยันตัวตน (authentication factor) แบ่งออกเป็น 3 ประเภท ดังนี้

(1) สิ่งที่ผู้ใช้บริการรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น รหัสผ่าน (password) และเลขรหัสส่วนตัว (PIN) เป็นต้น
(2) สิ่งที่ผู้ใช้บริการมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น กุญแจส่วนตัว (private key) เป็นต้น
(3) สิ่งที่ผู้ใช้บริการเป็น (something you are) คือ ข้อมูลทางชีวมิติ (biometric) ของผู้ใช้บริการ เช่น ลายนิ้วมือ ใบหน้า ม่านตา เสียง เป็นต้น

 

การยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication)

สามารถทำได้ 2 รูปแบบ คือ
(1) การแสดงปัจจัยของการยืนยันตัวตนแต่ละปัจจัยต่อ IdP โดยตรง เช่น ผู้ใช้บริการต้องแสดงรหัสผ่าน (สิ่งที่ผู้ใช้บริการรู้) และรหัสผ่านแบบใช้ครั้งเดียวที่ได้รับทางโทรศัพท์เคลื่อนที่ (สิ่งที่ผู้ใช้บริการมี) เพื่อยืนยันตัวตน
(2) การใช้ปัจจัยของการยืนยันตัวตนบางปัจจัยเพื่อปกป้องข้อมูลลับที่ใช้ยืนยันตัวตนกับ IdP เช่น การใช้ลายนิ้วมือ (สิ่งที่ผู้ใช้บริการเป็น) เพื่อปกป้องกุญแจส่วนตัวที่บรรจุในอุปกรณ์ฮาร์ดแวร์
(สิ่งที่ผู้ใช้บริการมี) เมื่อต้องการยืนยันตัวตน ผู้ใช้บริการต้องประทับลายนิ้วมือเพื่อทำให้อุปกรณ์ฮาร์ดแวร์สามารถใช้งานกุญแจส่วนตัวสร้างข้อมูลสำหรับยืนยันตัวตน
Reference.
ขมธอ. 18-2561: ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – ภาพรวมและอภิธานศัพท์
อ่านข้อมูลเพิ่มเติมได้ที่ Link ด้านล่าง :
ขมธอ. 19-2561: ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – การลงทะเบียนและพิสูจน์ตัวตน
ขมธอ. 20-2561: ข้อเสนอแนะมาตรฐานฯ ว่าด้วยแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย – การยืนยันตัวตน