มิถุนายน 2, 2023

Mela Abesamis คิดว่าตัวเองระมัดระวังเสมอเมื่อพูดถึงความปลอดภัยทางไซเบอร์ เธอตระหนักดีถึงการโจมตีแบบฟิชชิ่งและกลยุทธ์การฉ้อโกงทั่วไปอื่นๆ และวิธีสังเกต เธอยังเคยชินกับการรับรหัสผ่านแบบใช้ครั้งเดียว (OTP) จากธนาคารของเธอ โดยส่งทาง SMS ไปยังอุปกรณ์มือถือของเธอเพื่อยืนยันตัวตนของเธอ

แต่แล้วในเดือนธันวาคม 2020 Mela ได้รับข้อความจากธนาคารของเธอโดยบอกว่า 50,025 เปโซฟิลิปปินส์ (ประมาณ 950 ดอลลาร์) ถูกย้ายจากบัญชีของเธอไปยัง Mark Nagoyo นี่เป็นข้อบ่งชี้แรกและครั้งเดียวที่เธอได้รับว่ามีการโอนเงินแล้ว เธอไม่เคยได้ยินชื่อ Mark Nagoyo เธอไม่ได้ชําระเงินอย่างแน่นอน และเธอไม่ได้รับรหัสผ่านแบบใช้ครั้งเดียวระหว่างการทําธุรกรรม

เธอไม่ได้อยู่คนเดียว เจ้าของบัญชีกว่า 700 รายได้รับผลกระทบจากการฉ้อโกง ในภาษาฟิลิปปินส์คําว่า "nagoyo" หมายถึงการหลอกใครสักคน

ในที่สุดบุคคลสี่คนก็ถูกฟ้องในข้อหาหลอกลวง ผู้ฉ้อโกงได้ใช้การผสมผสานระหว่างวิศวกรรมสังคมและเทคนิคฟิชชิ่งเพื่อเก็บเกี่ยวรายละเอียดการเข้าสู่ระบบธนาคารและหมายเลขโทรศัพท์มือถือของพลเมืองหลายร้อยคน พวกเขาสามารถสกัดกั้น SMS OTP และทําให้บัญชีธนาคารของผู้คนหมดไป

ธนาคารได้ชําระคืนตามจํานวนที่ได้รับผลกระทบ แต่สิ่งนี้ไม่ได้ชดเชยประสบการณ์ที่กระทบกระเทือนจิตใจสําหรับผู้ที่ตกเป็นเหยื่ออย่างเต็มที่

การตรวจสอบสิทธิ์ OTP: ปัญหาคืออะไร?

นี่เป็นเพียงตัวอย่างหนึ่งของการประนีประนอมการตรวจสอบสิทธิ์ OTP กลายเป็นความท้าทายน้อยลงสําหรับแฮ็กเกอร์ที่มีความซับซ้อนมากขึ้นเรื่อยๆ ดูเหมือนว่าการตรวจสอบสิทธิ์ OTP จะไม่เหมาะกับวัตถุประสงค์ในการรักษาความปลอดภัยอีกต่อไป อย่างไรก็ตาม สิ่งเหล่านี้ยังคงเป็นกระบวนการตรวจสอบทั่วไปสําหรับองค์กรทั่วโลก

บทความนี้กล่าวถึงความเสี่ยงด้านความปลอดภัยที่มาพร้อมกับการตรวจสอบสิทธิ์ OTP โดยจะกล่าวถึงวิธีที่แฮ็กเกอร์สามารถประนีประนอมกระบวนการ และเสนอทางเลือกที่ปลอดภัยและเข้าถึงได้มากขึ้นสําหรับการยืนยันตัวตน

การตรวจสอบสิทธิ์ OTP คืออะไร?

หากคุณเคยใช้ธนาคารออนไลน์โอกาสที่คุณจะเสร็จสิ้นการตรวจสอบสิทธิ์ OTP

OTP (รหัสผ่านแบบใช้ครั้งเดียว) คือรหัสที่สร้างโดยคอมพิวเตอร์ที่ส่งทางอีเมลบริการข้อความสั้น (SMS) หรือโทเค็นฮาร์ดแวร์ รหัสนี้ทําหน้าที่เป็นรูปแบบหนึ่งของการรับรองความถูกต้องหรือการยืนยันว่าคุณเป็นคนที่คุณบอกว่าคุณเป็นเพราะคุณครอบครองอุปกรณ์ของคุณ

จากนั้นคุณป้อนรหัสจาก SMS ของคุณลงในช่องออนไลน์เพื่อเข้าถึงเว็บไซต์หรือแอพที่กําหนด รหัสจะหมดอายุในเวลาจํากัด 

การตรวจสอบสิทธิ์ OTP มักใช้เป็นวิธี การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และตรงตาม สิ่งที่คุณมี ปัจจัยการรับประกัน

การรับรองความถูกต้องโดยใช้หลายปัจจัยต้องใช้องค์ประกอบต่อไปนี้ตั้งแต่สององค์ประกอบขึ้นไป:

  • ความรู้: สิ่งที่ผู้ใช้เท่านั้นที่รู้ เช่น รหัสผ่าน หรือ PIN
  • การครอบครอง: สิ่งที่มีเพียงผู้ใช้เท่านั้นที่ครอบครอง เช่น โทรศัพท์มือถือหรือโทเค็น
  • โดยธรรมชาติ: สิ่งที่ผู้ใช้เป็น – เช่น ไบโอเมตริกซ์

ปัจจัยทั้งสองยังต้องเป็นอิสระจากกัน วัตถุประสงค์คือเพื่อให้ผู้มีอํานาจเข้าถึงบัญชีผ่านการรักษาความปลอดภัยแบบเลเยอร์ได้ยากขึ้น

ในกรณีของ OTP 'สิ่งที่คุณมี' คืออุปกรณ์มือถือของคุณ

ประเภทหลักของการตรวจสอบ OTP:

  • การตรวจสอบสิทธิ์ SMS OTP: รหัสผ่านแบบใช้ครั้งเดียวจะถูกส่งไปยังอุปกรณ์มือถือของคุณผ่านทางข้อความ
  • TOTP (Time-Based One-Time Passcode): คุณได้รับคําแนะนําให้เปิดแอปตรวจสอบสิทธิ์ซึ่งคุณจะพบรหัสผ่าน คุณมีเวลา 30-60 วินาทีในการป้อนรหัสผ่านลงในเว็บไซต์ แอป หรือพอร์ทัลที่คุณพยายามเข้าถึงก่อนที่จะหมดอายุ
  • โทเค็นฮาร์ดแวร์: อุปกรณ์จริง (ไม่ใช่โทรศัพท์มือถือ) จะแสดงรหัสผ่านแบบใช้ครั้งเดียวที่ช่วยให้คุณเข้าถึงเว็บไซต์

ความเสี่ยงด้านความปลอดภัยของการตรวจสอบสิทธิ์ OTP คืออะไร?

ปัญหาพื้นฐานของการตรวจสอบสิทธิ์ OTP คือตรงตาม สิ่งที่คุณมี ปัจจัยในการตรวจสอบสิทธิ์เท่านั้น (หรือที่เรียกว่าปัจจัยการครอบครอง) สิ่งที่คุณมี ไม่ว่าจะเป็นโทรศัพท์มือถือหรือโทเค็นฮาร์ดแวร์ อาจสูญหาย ถูกขโมย หรือถูกบุกรุกได้ 

ความเสี่ยงด้านความปลอดภัยในการตรวจสอบสิทธิ์ SMS OTP

ดังที่แสดงในกรณีในฟิลิปปินส์ แฮกเกอร์ไม่จําเป็นต้องขโมยโทรศัพท์มือถือของคุณเพื่อประนีประนอมการตรวจสอบสิทธิ์ SMS OTP ในความเป็นจริงพวกเขาไม่จําเป็นต้องอยู่ใกล้คุณ

ข้อความตัวอักษรไม่ได้เข้ารหัส และจะเชื่อมโยงกับหมายเลขโทรศัพท์ของคุณแทนที่จะเป็นอุปกรณ์เฉพาะ ด้านล่างนี้คือการโจมตีทั่วไปสองประเภทที่ทําให้แฮกเกอร์สามารถสกัดกั้นการตรวจสอบสิทธิ์ SMS OTP:

  • การสลับซิม ผู้ฉ้อโกงเก็บเกี่ยวข้อมูลส่วนบุคคลจากเหยื่อไม่ว่าจะผ่านฟิชชิ่งหรือวิศวกรรมสังคม พวกเขาใช้รายละเอียดเหล่านี้เพื่อโน้มน้าวให้ผู้ให้บริการโทรศัพท์เปลี่ยนหมายเลขไปยังอุปกรณ์ของตน จากนั้น SMS OTP จะถูกส่งไปยังผู้โจมตี เพื่อให้พวกเขาสามารถตรวจสอบและทํากิจกรรมให้เสร็จสิ้นได้
  • ข้อบกพร่องของ SS7 SS7 (ระบบส่งสัญญาณหมายเลข 7) เป็นโปรโตคอลที่อํานวยความสะดวกในกิจกรรมโทรศัพท์มือถือทั้งหมดรวมถึงข้อความ SMS ปัญหาคือมันมีข้อบกพร่องในการออกแบบซึ่งหมายความว่าแฮกเกอร์สามารถสกัดกั้นการโทรและข้อความ SMS 

เมื่อโปรโตคอล SS7 ของผู้ให้บริการเครือข่ายมือถือถูกบุกรุกสําเร็จผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้จํานวนมาก ที่สําคัญพวกเขาสามารถสกัดกั้นข้อความ SMS และการโทรได้

สิ่งนี้ไม่เพียงช่วยให้ผู้โจมตีสามารถตรวจสอบกิจกรรมการฉ้อโกงโดยใช้ OTP เท่านั้น แต่ยังช่วยให้พวกเขาทําได้ในวงกว้าง

ในเยอรมนีในปี 2017 ผู้ฉ้อโกง ได้บุกรุกโปรโตคอล 02 Telefonica SS7 และสกัดกั้น SMS OTP ทําให้เจ้าของบัญชีธนาคารจํานวนหนึ่งที่ไม่เปิดเผยถูกนําเงินออกจากบัญชีของตน

ความเสี่ยงด้านความปลอดภัยในการตรวจสอบสิทธิ์ TOTP

TOTP และการตรวจสอบสิทธิ์ตามแอปมีความปลอดภัยมากกว่าคู่หูทาง SMS ความจริงที่ว่า OTP มีการเปลี่ยนแปลงตลอดเวลาและไม่ได้เชื่อมโยงกับหมายเลขโทรศัพท์ของคุณทําให้ผู้โจมตีประนีประนอมได้ยากขึ้น

ที่กล่าวว่าการรับรองความถูกต้อง TOTP ไม่ได้ปราศจากข้อบกพร่องทั้งหมด เช่น:

  • ช่องโหว่ของอุปกรณ์ การรับรองความถูกต้อง TOTP ยังคงตรงตาม สิ่งที่คุณมี ปัจจัยในการตรวจสอบสิทธิ์เท่านั้น ไม่ว่า OTP จะเข้ารหัสแค่ไหนความจริงก็คืออุปกรณ์ของคุณอาจมีความเสี่ยง อุปกรณ์มือถืออาจสูญหายหรือถูกขโมย

สิ่งนี้ทำให้เกิดคำถามว่าการพิสูจน์ตัวตนด้วย OTP สามารถ จัดอยู่ในประเภท MFA ได้จริงหรือไม่ หากผู้โจมตีขโมยโทรศัพท์มือถือของคุณ ดำเนินกิจกรรมบางอย่าง (เช่น ชำระเงินออนไลน์) จากนั้นใช้แอป TOTP Authenticator ของคุณเพื่ออนุญาต เราจะพูดได้จริงหรือว่าพวกเขาใช้ปัจจัยหลายอย่าง ท้ายที่สุดแล้ว ทุกอย่างเกิดขึ้นบนอุปกรณ์เดียวกัน

ในทางกลับกันการตรวจสอบใบหน้า iProov นั้นอยู่นอกแบนด์ ซึ่งเป็นวิธีการตรวจสอบสิทธิ์ประเภทหนึ่งที่ใช้ช่องทางการสื่อสารแยกต่างหากหรือ 'วงดนตรี' เทคโนโลยี iProov ถือว่าอุปกรณ์ถูกบุกรุก ดังนั้นการรับรองความถูกต้องจึงได้รับการประมวลผลอย่างปลอดภัยและเป็นส่วนตัวในระบบคลาวด์ การตรวจสอบสิทธิ์ iProov จึงไม่ขึ้นกับอุปกรณ์ที่ใช้ แม้ว่าผู้ไม่หวังดีจะสามารถเข้าถึงอุปกรณ์ของผู้อื่นได้อย่างเต็มที่ แต่กระบวนการตรวจสอบสิทธิ์ยังคงปลอดภัย

การตรวจสอบสิทธิ์ OTP มอบประสบการณ์การใช้งานที่ล้าสมัยหรือไม่?

การระบาดใหญ่ทั่วโลกบังคับให้ผู้คนจํานวนมากทํากิจกรรมประจําวันจากระยะไกล สิ่งนี้นําไปสู่ความต้องการที่เพิ่มขึ้นสําหรับประสบการณ์ผู้ใช้ที่รวดเร็วง่ายดายและครอบคลุม

อย่างไรก็ตาม ประสบการณ์ที่การตรวจสอบสิทธิ์ OTP มอบให้นั้นมาพร้อมกับข้อบกพร่อง เราจะพูดถึงพวกเขาที่นี่

กระบวนการที่ใช้งานอยู่ 

กระบวนการที่ใช้งานอยู่ในแง่นี้หมายความว่าผู้ใช้ต้องทําบางสิ่งเพื่อให้กิจกรรมทํางานได้ เกี่ยวกับการตรวจสอบสิทธิ์ OTP หมายถึงการดึงโทรศัพท์หรือฮาร์ดโทเค็นของคุณ

สิ่งนี้อาจทําให้ระคายเคืองได้ คุณอาจไม่มีอุปกรณ์ติดตัวตลอดเวลา ดังนั้นคุณจะต้องดึงข้อมูลเพื่อทํากิจกรรมให้เสร็จสมบูรณ์เพิ่มแรงเสียดทานให้กับประสบการณ์ของผู้ใช้

โดยเฉพาะกรณีของ TOTP ลักษณะที่ไวต่อเวลาของกระบวนการตรวจสอบนี้อาจส่งผลให้รหัสผ่านแบบใช้ครั้งเดียวหมดอายุก่อนที่คุณจะสามารถใช้งานได้ บ่อยครั้งที่ผู้ใช้โกรธเคืองกับขั้นตอนที่พวกเขาละทิ้งกิจกรรมทั้งหมด

การพึ่งพาสัญญาณโทรศัพท์

การตรวจสอบสิทธิ์ OTP ขึ้นอยู่กับสมมติฐานที่คุณมีสัญญาณโทรศัพท์หรือการเข้าถึงอินเทอร์เน็ต ถ้าไม่เช่นนั้นก็ไม่ได้ผล ด้วย SMS OTP การไม่มีสัญญาณแรงอาจทําให้รหัสผ่านล่าช้าซึ่งหมายความว่าคุณต้องรอเพื่อทํากิจกรรมให้เสร็จสิ้น

สมมติว่าคุณกําลังพยายามซื้อตั๋วเครื่องบินอย่างเร่งด่วน หรือคุณมีสมาชิกในครอบครัวที่ตกอยู่ในสถานการณ์และต้องการเงินอย่างแท้จริง คุณเริ่มทําธุรกรรมออนไลน์และ SMS OTP จะถูกส่งถึงคุณ แต่คุณไม่มีสัญญาณโทรศัพท์

คุณไม่ได้รับ OTP และไม่มีวิธีอื่นในการซื้อหรือโอนเงินเพื่อช่วยเหลือสมาชิกในครอบครัวของคุณ

ขาดการรวมกลุ่ม

สุดท้ายการตรวจสอบสิทธิ์ OTP ถือว่าทุกคนสามารถเข้าถึงอุปกรณ์มือถือได้ ไม่ใช่ทุกคนที่ทํา การระบาดใหญ่ทั่วโลกบังคับให้ทุกคนไม่ว่าจะเป็นเจ้าของโทรศัพท์มือถือหรือไม่ก็ตามต้องดําเนินการเข้าถึงบริการจากระยะไกล

เหตุใดการยืนยันไบโอเมตริกซ์จึงเป็นทางเลือกที่ดีกว่าการตรวจสอบสิทธิ์ OTP

ในขณะที่การตรวจสอบสิทธิ์ OTP ตรงกับ สิ่งที่คุณมี ปัจจัยในการตรวจสอบ สิทธิ์การตรวจสอบไบโอเมตริกซ์ จะใช้ สิ่งที่คุณกําลัง ตรวจสอบ นั่นหมายความว่ามันใช้ลักษณะโดยธรรมชาติของคุณ เช่น ใบหน้า เพื่อยืนยันตัวตนของคุณ

แม้ว่ารหัสผ่านแบบใช้ครั้งเดียวอาจสูญหายหรือถูกขโมย แต่ก็ไม่มีใครสามารถขโมยใบหน้าของคุณได้ ด้วยเหตุนี้ การรับรองความถูกต้องด้วยไบโอเมตริกซ์ จึงสามารถนําเสนอวิธีการที่ปลอดภัยยิ่งขึ้นสําหรับองค์กรในการตรวจสอบผู้ใช้กับบัตรประจําตัวที่ออกโดยหน่วยงานราชการ (ซึ่งโดยทั่วไปจะใช้รูปถ่ายของ ใบหน้า) เพื่อตรวจสอบความถูกต้องในระหว่างการ เริ่มต้นใช้งานและการลงทะเบียน

Liveness มีน้ําหนักอย่างไรเมื่อเทียบกับการตรวจสอบสิทธิ์ OTP?

ตามที่ระบุไว้ก่อนหน้านี้ลักษณะโดยธรรมชาติของคุณเช่นใบหน้าของคุณไม่สามารถขโมยได้ แต่สามารถคัดลอกได้ ผู้โจมตีสามารถแสดงหน้ากาก รูปภาพ หรือการบันทึกของเหยื่อไปยังกล้องเพื่อปลอมแปลงกระบวนการตรวจสอบสิทธิ์

นี่คือที่มาของความมีชีวิต การตรวจจับความมีชีวิต ใช้เทคโนโลยีไบโอเมตริกเพื่อยืนยันว่าผู้ใช้ออนไลน์เป็นบุคคลที่มีตัวตนจริง การยืนยันด้วย OTP ไม่สามารถให้ความมั่นใจในระดับนั้นได้ Mark Nagayo ไม่ใช่บุคคลจริง แต่ผู้หลอกลวงสามารถตรวจสอบธุรกรรมหลายร้อยรายการโดยใช้ข้อมูลประจำตัวที่ขโมยมา

Biometric Face Verification แตกต่างจาก OTP การรับรอง อย่างไร?

การตรวจจับความมีชีวิตชีวาใช้การยืนยันใบหน้าเพื่อให้มั่นใจว่าเป็นบุคคลที่เหมาะสมและบุคคลจริง ซึ่งเป็นการรักษาความปลอดภัยสองชั้นที่การตรวจสอบสิทธิ์ OTP ไม่สามารถทําได้

อย่างไรก็ตาม การตรวจจับความมีชีวิตชีวาไม่สามารถยืนยันได้ว่าบุคคลนั้นกําลังยืนยันอยู่หรือไม่ ในทางกลับกันโซลูชันไบโอเมตริกซ์ตามหลักวิทยาศาสตร์ของ iProov สามารถทําได้ ทําได้ด้วยเทคโนโลยี Flashmark™ ของ iProov ซึ่งส่องสว่างใบหน้าของผู้ใช้ระยะไกลด้วยลําดับสีแบบสุ่มที่ไม่เหมือนใครซึ่งไม่สามารถเล่นซ้ําหรือจัดการสังเคราะห์ได้เพื่อป้องกันการปลอมแปลง

ซึ่งแตกต่างจากการตรวจสอบสิทธิ์ SMS OTP ซึ่งใช้เครือข่ายโทรศัพท์ที่ประนีประนอมเพื่อส่งรหัสผ่าน iProov เป็น เทคโนโลยีบนคลาวด์ซึ่งหมายความว่าการป้องกันจะถูกซ่อนจากผู้โจมตีทําให้ผู้โจมตีสกัดกั้นข้อมูลสําคัญได้ยากขึ้นมาก

ตามที่ได้กล่าวไปแล้ว การยืนยันตัวตนด้วย OTP นั้นไม่สามารถมอบประสบการณ์การใช้งานที่ง่ายดายให้กับผู้ใช้ได้ เนื่องจากเป็นการบังคับให้ผู้ใช้ต้องดำเนินการตามขั้นตอนที่ดำเนินการอยู่จริง ในขณะเดียวกัน GPA นั้นเป็นแบบพาสซีฟทั้งหมด ผู้ใช้เพียงแค่มองไปที่กล้องบนอุปกรณ์ใดๆ ที่มีกล้องด้านหน้า (โทรศัพท์มือถือ แล็ปท็อป คีออสก์) จากนั้นระบบจะดำเนินการยืนยันตัวตนให้ การยืนยันตัวตนจะทำงานโดยไม่คำนึงถึงความสามารถทางปัญญา เนื่องจากไม่มีคำสั่งที่ซับซ้อนในการอ่าน ทำความเข้าใจ หรือดำเนินการ

หากคุณต้องการให้การแนะนำลูกค้าออนไลน์หรือการยืนยันตัวตนมีความปลอดภัยและง่ายดายมากขึ้น และต้องการใช้ประโยชน์จากการยืนยันตัวตนแบบไบโอเมตริก ซ์ โปรดขอสาธิตที่นี่

การตรวจสอบสิทธิ์ OTP: มันคืออะไร? ความเสี่ยงคืออะไร? โซลูชันไบโอเมตริกซ์คืออะไร?
สารบัญ