การรับรองความถูกต้องแบบ Out-of-Band
การรับรองความถูกต้องแบบ Out-of-band ช่วยเพิ่มความปลอดภัยโดยใช้ช่องทางการสื่อสารแยกต่างหากหรือ 'แบนด์' เพื่อตรวจสอบสิทธิ์จากช่องสัญญาณหลักหรืออุปกรณ์ที่ใช้ สิ่งนี้ตรงกันข้ามกับ "การรับรองความถูกต้องในแบนด์": การส่งข้อมูลประจําตัวผ่านช่องสัญญาณในแบนด์เดียวกันจะใช้ช่องสัญญาณ "นอกแบนด์" อิสระแยกต่างหากสําหรับขั้นตอนการรับรองความถูกต้องเพิ่มเติม
พูดง่ายๆ ก็คือ out-of-band หมายความว่าการรับรองความถูกต้องนั้นไม่ขึ้นกับอุปกรณ์ ดังนั้นแม้ว่าอุปกรณ์จะถูกบุกรุก แต่การรับรองความถูกต้องก็ไม่เป็นเช่นนั้น
โซลูชันไบโอเมตริกซ์ใบหน้าของ iProov ใช้ประโยชน์จากการรับรองความถูกต้องนอกแบนด์ที่แท้จริง กระบวนการตรวจสอบสิทธิ์เกิดขึ้นในระบบคลาวด์แทนที่จะเป็นบนอุปกรณ์ของผู้ใช้เอง สิ่งนี้จะแยกระนาบการรับรองความถูกต้องออกจากระนาบอุปกรณ์
ประโยชน์ของสถาปัตยกรรมนี้ ได้แก่ :
- การรักษาความปลอดภัยจากอุปกรณ์ที่ถูกบุกรุก: หากผู้โจมตีสามารถเข้าถึงอุปกรณ์ของผู้ใช้ได้อย่างเต็มที่กระบวนการตรวจสอบสิทธิ์นอกแบนด์จะยังคงปลอดภัยเนื่องจากการรับรองความถูกต้องจะดําเนินการโดยไม่ขึ้นกับอุปกรณ์
- การหลีกเลี่ยงช่องโหว่ในแบนด์: การรับรองความถูกต้องในแบนด์ให้ความปลอดภัยน้อยกว่าที่รับรู้ ตัวอย่างเช่น หากองค์กรส่งรหัสผ่านแบบใช้ครั้งเดียว (OTP) ไปยังอุปกรณ์มือถือที่ถูกบุกรุกเพื่อตรวจสอบความถูกต้องของบุคคล รหัส OTP ไม่ได้ให้ความปลอดภัยเพิ่มเติมใดๆ ผู้ไม่ประสงค์ดีสามารถคัดลอกอีเมล ตัวยืนยันตัวตน หรือ SMS OTP ที่สร้างขึ้นบนอุปกรณ์นั้น เนื่องจากจะถูกส่งไปยังอุปกรณ์ที่ผู้ฉ้อโกงสามารถเข้าถึงได้อยู่แล้ว การเข้าถึงอุปกรณ์จะให้สิทธิ์การเข้าถึง OTP นี่เป็นช่องโหว่ที่สําคัญ
- ความสะดวกสบายสําหรับผู้ใช้ปลายทาง: การรับรองความถูกต้องด้วยไบโอเมตริกซ์บนคลาวด์ช่วยให้คุณสามารถส่งมอบการรับรองความถูกต้องแบบ out-of-band ที่แท้จริงโดยไม่ต้องใช้อุปกรณ์หลายเครื่อง สิ่งนี้ช่วยเพิ่มความสะดวกสบายให้กับผู้ใช้เมื่อเทียบกับโฟลว์ของผู้ใช้อื่นๆ ลองนึกภาพว่ามีคนป้อนรหัสผ่านบนเดสก์ท็อป แต่ไม่มีโทรศัพท์ติดตัวไปด้วย (หรือทําโทรศัพท์หายไปเลย) – พวกเขาถูกล็อคไม่ให้เข้าร่วมกระบวนการตรวจสอบสิทธิ์โดยสิ้นเชิงในขณะนี้ ซึ่งจะลดอัตราความสําเร็จลง
ช่องโหว่ที่สําคัญยังคงอยู่หากปัจจัยการรับรองความถูกต้องทั้งหมดยังคงรวมศูนย์อยู่ในอุปกรณ์เดียวกัน ตัวอย่างเช่น หากผู้ใช้ซื้อสินค้าผ่านแอปบนอุปกรณ์เคลื่อนที่ และผู้ให้บริการแอปส่งรหัส SMS ไปยังอุปกรณ์เคลื่อนที่นั้นเพื่อยืนยันการซื้อ รหัส SMS ไม่ได้ให้ความปลอดภัยเพิ่มเติมใดๆ จริงๆ รหัสจะถูกส่งไปยังอุปกรณ์เดียวกัน ดังนั้นจึงเป็น 'ในวงดนตรี' หากอุปกรณ์ถูกบุกรุก OTP จะไร้ค่า
iProov ถือว่าอุปกรณ์ไม่น่าเชื่อถือและดําเนินการตรวจสอบสิทธิ์อย่างปลอดภัยและเป็นส่วนตัวในระบบคลาวด์ดังนั้นจึงไม่ขึ้นกับอุปกรณ์ที่ใช้ แม้ว่าผู้ไม่หวังดีจะสามารถเข้าถึงอุปกรณ์ของผู้อื่นได้อย่างเต็มที่ แต่กระบวนการตรวจสอบสิทธิ์ยังคงปลอดภัย
องค์กรควรใช้แนวทางที่ครอบคลุมและหลายชั้นในการรักษาความปลอดภัย สถานการณ์ในอุดมคติคือการกระจายสัญญาณข้อมูลประจําตัวในแหล่งที่เชื่อถือได้หลายแห่ง – รวมการรับรองความถูกต้องนอกแบนด์เข้ากับไบโอเมตริกซ์และสัญญาณอื่นๆ ที่รวบรวมอย่างอิสระจากช่องทางต่างๆ ภายใต้การตรวจสอบของศูนย์ปฏิบัติการด้านความปลอดภัย