การรับรองความถูกต้องตามความรู้ (KBA)
การรับรองความถูกต้องตามความรู้ (KBA) หมายถึงการใช้ปัจจัยความรู้สําหรับการรับรองความถูกต้อง – กล่าวคือ ชิ้นส่วนของข้อมูลที่คาดว่าจะมีเพียงคุณเท่านั้นที่รู้ เช่น รหัสผ่านหรือชื่อโรงเรียนหรือสัตว์เลี้ยงตัวแรกของคุณ บางครั้งสิ่งเหล่านี้เรียกว่าความลับที่ใช้ร่วมกันเนื่องจากความปลอดภัยของพวกเขาขึ้นอยู่กับพวกเขาเท่านั้นที่รู้สําหรับคุณและกับฝ่ายที่คุณแบ่งปันความลับด้วย
การรับรองความถูกต้องตามความรู้อาจรวมถึงสิ่งต่อไปนี้:
- รหัสผ่านหรือ PIN: รหัสผ่านและ PIN เป็นวิธีการตรวจสอบสิทธิ์แบบดั้งเดิม และโดยทั่วไปแล้วผู้คนจะคุ้นเคยกับการใช้รหัสผ่านเหล่านี้ อย่างไรก็ตาม ไม่ปลอดภัยเพราะสามารถเดา แชร์ หรือขโมยได้ง่าย การวิจัย iProov แสดงให้เห็นว่า 75 เปอร์เซ็นต์ของผู้บริโภคใช้รหัสผ่านของผู้อื่น เพื่อเข้าถึงบริการออนไลน์ นอกจากนี้ เนื่องจากการละเมิดความปลอดภัย 63 เปอร์เซ็นต์ของผู้บริโภคต้องเปลี่ยนรหัสผ่าน รหัสผ่านยังไม่เป็นมิตรกับผู้ใช้ พวกเขาต้องซับซ้อนมากขึ้น ปัจจัยนี้ทําให้จําได้ยากขึ้น ซึ่งหมายความว่าผู้ใช้ใช้ฟังก์ชัน "ลืมรหัสผ่าน" อย่างต่อเนื่องหรือค้นหาวิธีแก้ปัญหา (เช่น การจดรหัสผ่าน) ซึ่งทําให้มีความปลอดภัยน้อยลง Forrester Reค้นหา ประมาณการว่าค่าใช้จ่ายเฉลี่ยของการรีเซ็ตรหัสผ่านครั้งเดียวที่ทําโดยฝ่ายช่วยเหลืออยู่ที่ประมาณ 70 ดอลลาร์ ในขณะที่ Gartner ประมาณการว่า 20% ถึง 50% ของการโทรติดต่อฝ่ายช่วยเหลือทั้งหมดเป็นการรีเซ็ตรหัสผ่าน
- คําถามเพื่อความปลอดภัย: ระบบจะขอให้ผู้ใช้ตอบคําถาม เช่น นามสกุลเดิมของแม่หรือชื่อสัตว์เลี้ยงตัวแรก บางครั้งข้อมูลนี้สามารถพบได้ทางออนไลน์ ซึ่งหมายความว่ามักจะไม่ปลอดภัย การถามคําถามเพื่อความปลอดภัยหลายข้ออาจสร้างแรงเสียดทานและทําให้ผู้ใช้หงุดหงิด
การรับรองความถูกต้องตามความรู้อาจเป็นแบบคงที่หรือแบบไดนามิก คงที่อาจเป็นนามสกุลเดิมของแม่หรือชื่อสัตว์เลี้ยงตัวแรกของคุณ เป็นต้น ข้อมูลลับที่แชร์แบบไดนามิกคือเวลาที่ธนาคารอาจถามคําถามเกี่ยวกับบัญชีของคุณที่มีเพียงคุณเท่านั้นที่ควรรู้ เช่น เพื่อตั้งชื่อจํานวนธุรกรรมเฉพาะที่คุณดําเนินการในวันที่กําหนด
ปัจจัยความรู้มีความเสี่ยงที่จะถูกขโมยหากเหยื่อถูกหลอกให้แบ่งปันกับมิจฉาชีพ ซึ่งสามารถทําได้โดยกระบวนการที่เรียกว่าวิศวกรรมสังคม ซึ่งผู้ฉ้อโกงปลอมตัวเป็นบุคคลที่แท้จริงหรือหลอกล่อผู้ใช้ให้เปิดเผยความลับที่ใช้ร่วมกัน
นอกจากนี้ ปัญหาของความลับที่ใช้ร่วมกันทั้งแบบคงที่และแบบไดนามิกคือผู้ใช้สามารถลืมได้เมื่อเวลาผ่านไปหรือไม่ทราบคําตอบ สิ่งนี้สร้างแรงเสียดทานอย่างมากในระหว่างกระบวนการตรวจสอบสิทธิ์ และอาจส่งผลให้ผู้ใช้ลาออกทั้งหมดหรือหันไปใช้กระบวนการแบบแมนนวลที่มีค่าใช้จ่ายสูงและ/หรือใช้เวลานาน
หากมีการใช้ การตรวจสอบสิทธิ์ตามความรู้จะรวมเข้ากับวิธีการตรวจสอบสิทธิ์อื่นๆ ที่ปลอดภัยกว่าได้ดีที่สุด เช่น เทคโนโลยีการตรวจสอบใบหน้าไบโอเมตริกซ์ของ iProov ซึ่งเป็นส่วนหนึ่งของ การตรวจสอบสิทธิ์แบบหลายปัจจัย หรือ กลยุทธ์การตรวจสอบสิทธิ์แบบขั้นตอน
เรียนรู้เพิ่มเติมเกี่ยวกับการรับรองความถูกต้องตามความรู้
บทความ: ความเสี่ยงของรหัสผ่าน