*/
  • ยามครับ
  • ranking : สมาชิกทั่วไป
  • วันที่สร้าง : 2014-09-18
  • จำนวนเรื่อง : 12
  • จำนวนผู้ชม : 31101
  • จำนวนผู้โหวต : 8
  • ส่ง msg :
  • โหวต 8 คน
วันศุกร์ ที่ 19 กันยายน 2557
Posted by ยามครับ , ผู้อ่าน : 1461 , 14:23:45 น.  
หมวด : วิทยาศาสตร์/ไอที

พิมพ์หน้านี้
โหวต 8 คน เฟื่อง , SW19 และอีก 6 คนโหวตเรื่องนี้

 

อย่าพูดถึงข่าวที่ดนดัง เว็บใหญ่ โดนมือดีขโมย ยึด เปลี่ยนแปลงข้อมูล ใส่ XSS Code เพื่อ Redirect ผู้เข้าชมไปอีกเพจหนึ่ง  แถมหลอกให้ใส่ User , password เพื่อเอาไปใช้ในทางผิดๆเลย  พูดถึงเรื่องธรรมดาๆ ของคนธรรมดาที่มีชีวิตบนอินเทอร์เน็ตดีกว่า ผมเจอหลายคน ที่อยู่ดีๆก็ขอให้ช่วย เพราะเข้า Facebook ไม่ได้ , E-mail ถูก Hack ไป ,  แอดมินเพจใน Facebook บางคน ถูกขโมยเพจดื้อๆ ซะงั้น 

ชีวิตในโลกออนไลน์ ชักจะอยู่ยากขึ้นทุกวัน แต่ทุกคนก็ต้องรับความเสี่ยง ถ้าหากจะใช้บริการ

Two-Factor Authentication ไม่ใช่เรื่องใหม่  มีมานานแล้ว ยกตัวอย่าง เมื่อสมัยที่ผมไปขึ้นทะเบียนเพื่อรับใบ สด.8 นั้น  นอกจากต้องเอาบัตรประจำตัวประชาชน ที่มีรูปถ่ายตรงกับใบหน้าอันหล่อมากของผม ไปแสดงให้สัสดีเห็น สัสดียังให้เซ็นต์ซื่อ  หลังจากนั้นจะรับใบกลับ เขายังให้พิมพ์ลายนิ้วมือ ไว้ที่ต้นขั้วอีก  นี่คือ Multi-Factor Authentication แบบหนึ่ง  เพราะถ้าหากมีคดีความ เกิดขึ้น ทางการจะสามารถพิสูจน์ได้ว่า ไม่ผิดตัวแน่    เวลาไปทำธุรกรรมที่ธนาคารเหมือนกัน  นอกจาก บัตรประชาชนแล้วยังต้องมีลายเซ็นต์ด้วย 2 อย่างคู่กัน ถ้าไม่ตรงกัน ก็ทำธุรกรรมไม่ได้

แต่ชีวิตบนเน็ตไม่ง่ายขนาดนั้น  เพราะบนเน็ตเราไม่มีบัตรประชาชนอินเทอร์เน็ต แม้ว่าจะมีกฎหมายว่าด้วย "Personally identifiable information" (PII)  แต่ก็ยังไม่ได้มีผลใช้ในทุกประเทศ  โดยเฉพาะฝั่ง AEC ยังไม่มีใครบรรจุเป็นกฎหมาย  ดังนั้น ชีวิตบนเน็ต จึงเป็นชีวิตที่ค่อนข้างจะเถื่อนนิดหน่อย หมายถึง ทรัพย์สินไอที ที่เรามีนั้น มันก็ระบุไม่ได้ว่าชัดเจน ว่าของเรา ยกตัวอย่าง e-mail address , facebook page  จะระบุได้อย่างไรในทางกฎหมายว่าเป็นของเรา แต่ในทางพฤตินัย มันคือทรัพย์สินไอทีของเรา เราจึงจำเป็นต้องปกป้องมัน เพราะถ้ามันเสียหายไป เราเดือดร้อน!

ทรัพย์สินไอที? ผมระบุคำนี้เอง  อย่าง Blog ที่ผมเขียนนี่ก็ของผม เป็นทรัพย์สินทางปัญญา , e-mail address ที่ผมใช้สื่อสาร ,  LINE ID  โอ้ย ของผมทั้งนั้นแหละครับ   การสูญเสียการควบคุมอีเมล์ ของผม จะเกิดผลอะไรตามมาบ้าง  ผมเอาอีเมล์ไปผูกไว้กับ E-Banking ,  Facebook, EBay , เว็บไซต์ช็อปปิ้งอื่นๆ   ลองวาดรูปแบบของความเกี่ยวข้องของอีเมล์ของคุณดูสิครับ มันเกี่ยวข้องกับเว็บไหนบ้าง

หลายคนไม่เคยถามตัวเอง ก็ลองถามนะครับ จะเกิดอะไรขึ้น ถ้าหาก E-Mail เราโดย Hack  ไม่เฉพาะบรรดาบริการออนไลน์ที่เราเอาอีเมล์ไปผูก  แม้กระทั่งเนื้อหาของอีเมล์ ที่อาจจะเป็นลับส่วนตัวของเรา ก็ตกอยู่ในอันตราย

ดังนั้น การมีเพียง  User name, E-mail address, password แล้วก็ Log-in เข้าใช้งาน นั้น ไม่ปลอดภัยเพียงพอ  และใครก็ตามที่ไม่เคยเปลี่ยน password  ในการเข้าใช้บริการในโลกออนไลน์  คุณกำลังอยู่ในความเสี่ยง

การพิสูจน์ตัวตน ว่าใครเป็นเจ้าของ Facebook ชื่อะไร หรือเจ้าของอีเมล์ชื่ออะไร คือ การใส่ User name, e-mail address  พร้อมด้วยรหัสผ่าน กด Log-in ก็เข้าไปใช้งานได้ เราเรียกว่า 1 factor authenticate คือ ใช้สิ่งที่เรามี (อีเมล์) และสิ่งที่เรารู้ คือ password คู่กัน แต่เมื่อมันไม่ปลอดภัยเพียงพอ เราจึงต้องการ Factor ที่ 2

Factor ที่ 2 คืออะไร คือ การตรวจสอบในขั้นที่ 2 ที่จะช่วยระบุว่าเราคือ เจ้าของทรัพย์สินไอทีนั้น จริงๆ ไม่ใช่ตัวปลอม  บางเว็บก็ใช้การส่ง One time password เข้ามือถือ เพื่อให้เรายืนยัน  วางเว็บก็จะส่ง  security code มาทางอีเมล์ เพื่อให้เราใส่ยืนยัน   นี่เรียกว่าเป็นการตรวจสอบตัวตน 2 ชั้น

ตอนนี้ Google,  Hotmail, Yahoo, Facebook,  twitter , Dropbox , Paypal มีฟังก์ชัน Two-Factor Authentication หมดแล้ว  โดยส่วนใหญ่ใช้วิธีการ Generate code แล้วส่งให้ทางหมายเลขโทรศัพท์ของเรา เพื่อให้เรายืนยัน

ส่งให้ทางหมายเลขโทรศัพท์ ปลอดภัยหรือ?  พวกโปรแกรมเมอร์ก็คิดตรรกะในการตรวจสอบ ทำอย่างไรจะรู้ว่า โทรศัพท์นั้นเป็นของ User จริง ก็จะต้องให้ user นั้นไปลงทะเบียนเบอร์โทรศัพท์ให้ผูกติดกับบัญชีไว้ก่อน แล้วต้องผ่านการ Verify ก่อน โดยการส่ง code มาให้เรายืนยันกลับ แค่นี้ก็ปลอดภัยในระดับหนึ่ง เพราะการขอ SIM หมายเลขเดิมแทน Sim ที่หายไปจาก Telephone Operator มีกระบวนการตรวจสอบตัวตนแล้วระดับหนึ่ง ไม่ใช่ใครจะโร่ไปขอก็ได้

กลวิธี ในการตรวจสอบ ยืนยันตัวตนเพิ่มเติม นอกจากมีแค่ user name ,password แล้ว  ผู้ให้บริการออนไลน์แต่ละแห่งก็คิดกลวิธีแตกต่างกันออกไป เช่น ให้ลงทะเบียนเบอร์มือถือ  ผู้ให้บริการเกี่ยวกับการเงิน อาจจะใช้หมายเลขบัตรเครดิตในการตรวจสอบยืนยันก็ได้ แต่ผู้ให้บริการอีเมล์คงไม่สามารถทำได้ เพราะกรอบของกฎหมายกำหนดไว้ระดับหนึ่ง

ยากมั้ย ถ้าหากจะใช้  Two-Factor Authentication  ไม่ยากครับ  โดยส่วนใหญ่ จะอยู่ใน Account Setting , Security Setting ประมาณนั้น

ยกตัวอย่างสัก 3 แห่ง

Google ให้ใช้โทรศัพท์มือถือ

Facebook ไม่เรียกว่า การตรวจสอบ 2 ขั้นตอน แต่เรียกว่า การอนุมัติเข้าสู่ระบบ เขาอธิบายไว้อย่างเข้าใจง่ายๆ

วิธีการ setup ของ Facebook ก็ไม่ยาก ทำตามภาพเลยครับ

Microsoft เพิ่งทำมาหลังเพื่อน ถ้าผมจำไม่ผิด เพราะเคยพยายามหาอยู่พักหนึ่ง ไม่เห็น วันนี้มีแล้ว แถมก้าวหน้ากว่ารายอื่น คือ ให้ใช้ทั้งโทรศัพท์ , Application และ การรับรหัสจากอีเมล์ที่ลงทะเบียนและตรวจสอบว่าถูกต้องแล้ว

แล้วใช้งานยุ่งยากมั้ย

                พวกฝ่ายรักษาความปลอดภัยของผู้ให้บริการออนไลน์   คิดและตระหนักอย่างดีกว่า ถ้ามันใช้งานยุ่งยาก เจ็บปวด ใครจะไปใช้  ดังนั้น แม้ว่าจะ เปิดระบบการตรวจสอบ 2 ขั้นตอนแล้ว ก็ยังมีข้อยกเว้นที่จะไม่ต้องใส่ code เช่น เอาคอมพิวเตอร์ส่วนตัวไปลงทะเบียนไว้ หรือเลือกลงทะเบียนบราวเซอร์ที่เราใช้ประจำ  ซึ่งจะลดความซับซ้อนได้

คุณล่ะ พร้อมจะปกป้องทรัพย์สินไอทีของคุณหรือยัง??


อ่านความคิดเห็น

ความคิดเห็นที่ 1 rattiya ถูกใจสิ่งนี้ (1)
ตะเกียงน้อย วันที่ : 19/09/2014 เวลา : 14.58 น.
http://oknation.nationtv.tv/blog/small-lamp

สวัสดีครับ คุณยามครับ
บางที เรื่องบางเรื่อง สำคัญ เพราะ ผูกติดในการธุรกรรม แต่ เพราะ เป็นความเคยชิน เลยคิดว่า ไม่สำคัญ จนกว่า จะถูก แฮคไป ถึงจะ รู้ถึงภัยใกล้ตัว
เป็น หัวข้อที่ กระทบ กับคนส่วนมากทีเดียว หวังว่า คง ทำให้ ผู้ใช้งาน ที่ได้ อ่าน ได้ แก้ไข ข้อมูลตัวเองนะครับ

แสดงความคิดเห็น


ถึง บล็อกเกอร์ ทุกท่าน โปรดอ่าน
   ด้วยทาง บริษัท จีเอ็มเอ็ม แกรมมี่ จำกัด (มหาชน) ได้ติดต่อขอความร่วมมือ มายังเว็บไซต์และเว็บบล็อกต่าง ๆ รวมไปถึงเว็บบล็อก OKnation ห้ามให้มีการเผยแพร่ผลงานอันมีลิขสิทธิ์ ของบริษัท จีเอ็มเอ็ม แกรมมี่ฯ บนเว็บ blog โดยกำหนดขอบเขตของสิ่งที่ห้ามทำ และสามารถทำได้ ดังนี้
ห้ามทำ
- การใส่ผลงานเพลงต้นฉบับให้ฟัง ทั้งแบบควบคุมเพลงได้ หรือซ่อนเป็นพื้นหลัง และทั้งที่อยู่ใน server ของคุณเอง หรือ copy code คนอื่นมาใช้
- การเผยแพร่ file ให้ download ทั้งที่อยู่ใน server ของคุณเอง หรือฝากไว้ server คนอื่น
สามารถทำได้
- เผยแพร่เนื้อเพลง ต้องระบุชื่อเพลงและชื่อผู้ร้องให้ชัดเจน
- การใส่เพลงที่ร้องไว้เอง ต้องระบุชื่อผู้ร้องต้นฉบับให้ชัดเจน
จึงเรียนมาเพื่อโปรดปฎิบัติตาม มิเช่นนั้นทางบริษัท จีเอ็มเอ็ม แกรมมี่ฯ จะให้ฝ่ายดูแลลิขสิทธิ์ ดำเนินการเอาผิดกับท่านตามกฎหมายละเมิดลิขสิทธิ์
OKNATION



กฎกติกาการเขียนเรื่องและแสดงความคิดเห็น
1 การเขียน หรือแสดงความคิดเห็นใด ๆ ต้องไม่หมิ่นเหม่ หรือกระทบต่อสถาบันชาติ ศาสนา และพระมหากษัตริย์ หรือกระทบต่อความมั่นคงของชาติ
2. ไม่ใช้ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่นในทางเสียหาย หรือสร้างความแตกแยกในสังคม กับทั้งไม่มีภาพ วิดีโอคลิป หรือถ้อยคำลามก อนาจาร
3. ความขัดแย้งส่วนตัวที่เกิดจากการเขียนเรื่อง แสดงความคิดเห็น หรือในกล่องรับส่งข้อความ (หลังไมค์) ต้องไม่นำมาโพสหรือขยายความต่อในบล็อก และการโพสเรื่องส่วนตัว และการแสดงความคิดเห็น ต้องใช้ภาษาที่สุภาพเท่านั้น
4. พิจารณาเนื้อหาที่จะโพสก่อนเผยแพร่ให้รอบคอบ ว่าจะไม่เป็นการละเมิดกฎหมายใดใด และปิดคอมเมนต์หากจำเป็นโดยเฉพาะเรื่องที่มีเนื้อหาพาดพิงสถาบัน
5.การนำเรื่อง ภาพ หรือคลิปวิดีโอ ที่มิใช่ของตนเองมาลงในบล็อก ควรอ้างอิงแหล่งที่มา และ หลีกเลี่ยงการเผยแพร่สิ่งที่ละเมิดลิขสิทธิ์ ไม่ว่าจะเป็นรูปแบบหรือวิธีการใดก็ตาม 6. เนื้อหาและความคิดเห็นในบล็อก ไม่เกี่ยวข้องกับทีมงานผู้ดำเนินการจัดทำเว็บไซต์ โดยถือเป็นความรับผิดชอบทางกฎหมายเป็นการส่วนตัวของสมาชิก
คลิ้กอ่านเงื่อนไขทั้งหมดที่นี่"
OKnation ขอสงวนสิทธิ์ในการปิดบล็อก ลบเนื้อหาและความคิดเห็น ที่ขัดต่อความดังกล่าวข้างต้น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของบล็อกและเจ้าของความคิดเห็นนั้นๆ
   

กลับไปหน้าที่แล้ว กลับด้านบน