การแสวงหาล็อกที่ผ่านเข้าไม่ได้
นับตั้งแต่มีการประดิษฐ์ระบบล็อก มนุษย์เราได้พยายามที่จะหาทางเปิดและใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ความปลอดภัย ในปี 1777 โจเซฟ บรามาห์ บิดาแห่งระบบนิวเมติกส์สมัยใหม่ ได้ติดประกาศบนหน้าต่างหน้าร้านในลอนดอนของเขาพร้อมข้อความท้าทายที่ไม่เหมือนใคร ความท้าทายนั้นง่ายมาก: เข้าไปข้างในแล้วเปิดล็อค เขาจะมอบรางวัลให้คุณเป็นเงิน 30,000 ดอลลาร์เทียบกับค่าเงินในยุคปัจจุบันหากคุณทำได้ บรามาห์ยังตีพิมพ์และแจกจ่ายจุลสารที่อธิบายการทำงานของการออกแบบตัวล็อคของเขา ซึ่งทำให้เขามั่นใจในความปลอดภัยของมัน
ล็อกของบรามาห์ได้รับการออกแบบด้วยคันโยกที่มีความแม่นยำ ซึ่งจัดวางเพื่อให้การยกขึ้นในระดับความสูงที่ถูกต้องจะเป็นไปตามแนวรับแรงเฉือน ทำให้กุญแจสามารถหมุนและปลดล็อคกุญแจได้ รางวัลมากมายที่ได้รับคือแม่เหล็กที่ดึงดูดผู้คน แต่ในช่วงชีวิตของบรามาห์ ไม่มีใครสามารถปลดกุญแจเหล่านั้นได้ ดังนั้นใครก็ตามที่ปกป้องทรัพย์สินของตนด้วยกุญแจของบรามาห์ย่อมรับประกันความปลอดภัยอย่างแน่นอน กุญแจที่สมบูรณ์แบบนี้ทำกำไรได้มาก และบุตรชายของบรามาห์ซึ่งสืบทอดธุรกิจนี้ ก็ได้รับประโยชน์จากสิ่งประดิษฐ์อันชาญฉลาดของบิดาเช่นกัน
จากสิ่งที่ไม่มีทางปลดล็อกได้สุดท้ายก็นำไปสู่การปลดล็อคโดยใช้เวลา 52 ชั่วโมง
เอ.ซี. ฮอบส์ ช่างทำกุญแจชาวอเมริกันที่มีชื่อเสียงโด่งดังได้เข้าหาบุตรชายของบรามาห์อย่างมั่นใจ ฮอบส์เป็นที่รู้จักในสหรัฐอเมริกาด้วยทักษะเฉพาะตัวของเขา ฮอบส์เพิ่งสร้างกระแสในอังกฤษ ในการประชุมระดับโลก เขาเอาชนะระบบรักษาความปลอดภัยของ Chubbs ได้อย่างน่าประหลาดใจภายในเวลาเพียง 25 นาที ซึ่งเป็นความสำเร็จที่ทำให้ชุมชนช่างทำกุญแจต้องตะลึง ด้วยชัยชนะครั้งนี้ เขาได้ท้าทายมรดกของ บรามาห์โดยอ้างว่าเขาสามารถปลดล็อกอันโด่งดังของพวกเขาได้ บุตรชายของบรามาห์รู้สึกทึ่งจึงได้ให้กำหนดเวลาจำกัดไว้ 30 วัน หากฮอบส์ล้มเหลวภายในกรอบเวลานี้ เขาจะต้องยอมรับความพ่ายแพ้ ในเวลาเพียง 52 ชั่วโมง เขาก็ได้รับชัยชนะพร้อมกับกุญแจที่เปิดอยู่ในมือ
ใคร ๆ ก็สามารถจินตนาการถึงความหวาดกลัวของผู้ที่ซื้อล็อกที่มีดีไซน์นี้ เป็นเวลากว่า 70 ปีแล้วที่พวกเขาได้รับคำมั่นสัญญาว่าจะรักษาความปลอดภัยอย่างสมบูรณ์แม้ว่า 52 ชั่วโมงอาจดูเหมือนยาวนาน แต่วันเวลาแห่งความปลอดภัยที่สมบูรณ์ก็จบลงอย่างไม่ต้องสงสัย
ประตูดิจิทัล Cybersecurity ในยุคปัจจุบัน
พิจารณาสลักที่ประตูหน้าของคุณ คุณอาจแปลกใจที่รู้ว่าหลักการของมันโดยพื้นฐานแล้วเหมือนกับหลักการของล็อกที่ เอ.ซี. ฮอบส์ ปลดล็อกในปี 1851 เพียงใช้เวลาบนอินเทอร์เน็ตให้เพียงพอ คุณอาจพบวิดีโอของช่างทำกุญแจสมัครเล่นหลายคนที่เอาชนะแบบจำลองของคุณได้อย่างชำนาญในเวลาน้อยกว่า นาที
ทำให้เกิดคำถามสำคัญ: คุณปลอดภัยเพราะล็อกประตูของคุณได้ผลดี หรือคุณปลอดภัยเพียงเพราะคนรอบข้างไม่รู้ถึงความปลอดภัยต่ำหรือขี้เกียจเกินกว่าจะปล้นคุณ? เป็นคำถามที่เกี่ยวข้องและขยายไปยังแง่มุมอื่นๆ ของชีวิตเรา โดยเฉพาะความปลอดภัยทางไซเบอร์
เราได้เปลี่ยนจากโลกแห่งประตูและล็อกทางกายภาพมาสู่พอร์ทัลดิจิทัลและ GUI โดยส่วนตัวแล้ว ฉันอยากให้ใครสักคนบุกเข้าไปในบ้านของฉันและขโมยทรัพย์สินบางอย่างมากกว่าการเจาะเข้าไปในบัญชีธนาคารของฉัน เปิดบัตรเครดิตในชื่อของฉัน หรือใช้ตัวตนของฉันในกิจกรรมที่ผิดกฎหมายใน Dark Web มาตรการรักษาความปลอดภัยที่เราสามารถจัดการได้เอง – ชื่อผู้ใช้และรหัสผ่าน – นั้นไม่ปลอดภัยด้วยเหตุผลหลายประการ ด้วยพลังการประมวลผลที่เพิ่มขึ้นและราคาไม่แพงที่ทุกคนสามารถเข้าถึง บัญชีที่มีการป้องกันด้วยรหัสผ่านของคนส่วนใหญ่จะไม่สามารถป้องกันการโจมตีแบบ Brute-force ได้
ภัยคุกคามสมัยใหม่เมื่อ MFA ยังไม่เพียงพอ
แม้ว่า Multi-factor Authentication (MFA) จะเป็นอุปสรรคในกลยุทธ์การป้องกันทางดิจิทัลในปัจจุบัน แต่ภัยคุกคามทางไซเบอร์ที่พัฒนาขึ้นเรื่อยๆ ได้พิสูจน์ให้เห็นว่าไม่มีระบบใดที่ปลอดภัย 100% โดยเฉพาะอย่างยิ่ง เทคนิคฟิชชิ่งที่ผู้โจมตีปลอมตัวเป็นหน่วยงานที่เชื่อถือได้เพื่อหลอกให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อนมีความซับซ้อนมากขึ้น
ศูนย์กลางของวิวัฒนาการนี้คือการโจมตีแบบ Man-In-The-Middle (MITM) ในวิธีนี้ ผู้โจมตีจะดักจับและถ่ายทอดการสื่อสารระหว่างสองฝ่ายอย่างลับๆ เมื่อเหยื่อเชื่อว่าพวกเขากำลังป้อนข้อมูลประจำตัวหรือรหัส MFA ลงในไซต์ที่เชื่อถือได้ ผู้โจมตีจะบันทึกข้อมูลนี้แบบเรียลไทม์ ทำให้พวกเขาข้ามแม้แต่กระบวนการตรวจสอบสิทธิ์ที่แข็งแกร่งที่สุดได้ ความจริงที่ว่าข้อมูลประจำตัวเหล่านี้ถูกดักจับในระหว่างเซสชั่นที่ถูกต้อง ทำให้มันเป็นภัยคุกคามที่ร้ายกาจอย่างยิ่ง
การพัฒนาล่าสุดฟิชชิ่งแสดงให้ผู้โจมตีแจ้งให้ผู้ใช้ป้อนรหัส MFA ภายใต้ “การตรวจสอบความปลอดภัย” หรือ “การตรวจสอบบัญชี” ผู้ใช้ที่ไม่ระมัดระวังและคิดว่ากำลังเสริมความปลอดภัย กำลังมอบรหัสที่มีไว้เพื่อปกป้องพวกเขาโดยไม่รู้ตัว
ในการโจมตี MITM ขั้นสูง แฮกเกอร์จะทำให้กระบวนการทั้งหมดเป็นอัตโนมัติได้อย่างราบรื่น เมื่อป้อนข้อมูลประจำตัวบนไซต์ปลอม ผู้โจมตีจะป้อนข้อมูลของผู้ใช้ลงในไซต์จริงพร้อม ๆ กัน เข้าถึงได้ทันที และทำให้แทบจะเป็นไปไม่ได้เลยที่ผู้ใช้จะรู้ตัวว่าพวกเขาถูกบุกรุกจนทุกอย่างสายเกินไป
เพื่อให้เห็นภาพที่ชัดเจนยิ่งขึ้นว่าทั้งหมดนี้เกิดขึ้นได้อย่างไร วิดีโอด้านล่างจะแสดงการทำงานของการโจมตี MITM แบบเรียลไทม์ โดยเน้นย้ำถึงความจำเป็นเร่งด่วนในการเฝ้าระวังและการศึกษาอย่างต่อเนื่องในเรื่องความปลอดภัยทางไซเบอร์
การปลดล็อกป้อมปราการดิจิทัล WebAuthn และ FIDO2
เพื่อให้คงไว้ซึ่งความเป็นจริงต่อการเปรียบเทียบระบบล็อกของเรา ให้คิดว่าวิวัฒนาการด้านความปลอดภัยทางไซเบอร์เป็นภาพสะท้อนของโลกแห่งช่างทำกุญแจ เช่นเดียวกับที่เราฝันถึงล็อกที่เปลี่ยนกลไกทุกครั้งที่มีการเข้าถึง ทำให้คีย์และเทคนิคทั่วไปล้าสมัย FIDO2 และ WebAuthn ก็กลับมาโลดแล่นอีกครั้ง โดยนำเสนอ passwordless authentication
เหตุใด FIDO2 และ WebAuthn จึงเป็นสิ่งมหัศจรรย์ของช่างทำกุญแจดิจิทัลในยุคของเรา ลองจินตนาการถึงการออกแบบล็อกที่แต่ละกุญแจไม่ได้มีเอกลักษณ์เฉพาะตัวแต่จะเปลี่ยนแปลงไปหลังการใช้งานแต่ละครั้ง แม้ว่าขโมยเจ้าเล่ห์จะทำซ้ำคีย์ของคุณ (เหมือนกับการขโมยรหัสผ่านของคุณ) มันก็จะไร้ประโยชน์เกือบจะทันทีหลังจากนั้น
การล็อกแบบดิจิทัลก่อนหน้านี้อาศัยรหัสผ่านเป็นส่วนใหญ่ แต่ด้วยการถือกำเนิดของ FIDO2 และ WebAuthn เราได้ก้าวกระโดดความซับซ้อนในการตรวจสอบสิทธิ์ ซึ่งคล้ายคลึงกับการเปรียบเทียบเชิงนวัตกรรมของช่างทำกุญแจ โดยหัวใจหลัก FIDO2 และ WebAuthn มีเป้าหมายที่จะกำจัดการโจมตีแบบฟิชชิ่ง การแทรกกลางการสื่อสาร และการใช้ซ้ำ โดยการนำความสามารถในการรับรองความถูกต้องขั้นสูงมาใช้
FIDO2: มาตรฐานนี้กำหนดโดย Fast IDentity Online (FIDO) Alliance ประกอบด้วยสองส่วน ได้แก่ ไคลเอนต์ (โดยทั่วไปคือเว็บเบราว์เซอร์) และ authenticator (ซึ่งอาจเป็นคีย์ความปลอดภัยทางโทรศัพท์มือถือ หรืออุปกรณ์อื่น ๆ ) มาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์ที่นำเสนอกลไกการพิสูจน์ตัวตนอย่างราบรื่นและมั่นคงปลอดภัย ถูกออกแบบมาให้สามารถใช้งานได้ในหลากหลายสถานการณ์โดยใช้ Multi-factor Cryptographic Tokens และไม่ต้องพึ่งพา Password แต่อย่างใด
การทำงานของ FIDO2 โดย Authenticator หรือที่รู้จักกันดีว่า FIDO Security Key จะมีการฝัง Private Key 1 Key หรือมากกว่านั้น โดยแต่ละ Key จะถูกใช้สำหรับแต่ละ Online Account แยกจากกัน ในขั้นตอนการยืนยันตัวตนของผู้ใช้ จำเป็นต้องมีปฏิสัมพันธ์ของผู้ใช้ (User Gesture) เข้ามาเกี่ยวข้อง เช่น การใส่รหัส PIN, Biometrics หรือ Authentication Token อื่นๆ ก่อนที่ Private Key จะถูกนำไปใช้เพื่อ Sign บน Response ในขั้นตอน Authentication Challenge
WebAuthn: WebAuthn เป็นมาตรฐานเว็บที่ได้รับการสนับสนุนจาก World Wide Web Consortium (W3C) ซึ่งเป็นส่วนหนึ่งของโปรเจ็กต์ FIDO2 โดยมี API ที่ช่วยให้เว็บแอปพลิเคชันใช้การเข้ารหัสคีย์สาธารณะหรือที่เรียกว่าพาสคีย์สำหรับการตรวจสอบสิทธิ์ผู้ใช้ เมื่อผู้ใช้ลงทะเบียนบนไซต์ WebAuthn API จะเปิดใช้งานการสร้างคู่คีย์สาธารณะ-ส่วนตัวคู่ใหม่บนตัวตรวจสอบสิทธิ์ของผู้ใช้ เฉพาะคีย์สาธารณะเท่านั้นที่จะถูกส่งไปยังเซิร์ฟเวอร์ โดยมีคีย์ส่วนตัวอยู่ในอุปกรณ์ของผู้ใช้อย่างปลอดภัย ในการเข้าสู่ระบบครั้งต่อๆ ไป เซิร์ฟเวอร์จะออกคำถาม ซึ่งลงนามโดยผู้ตรวจสอบความถูกต้องโดยใช้รหัสส่วนตัว และผลลัพธ์ Sign ที่ได้รับจะถูกตรวจสอบข้ามด้วยรหัสสาธารณะที่เก็บไว้
ความมหัศจรรย์ที่แท้จริงของ FIDO2 และ WebAuthn นั้นอยู่ที่ความเข้ากันได้กับตัวตรวจสอบความถูกต้องที่หลากหลาย ตั้งแต่ข้อมูล Biometrics เช่น ลายนิ้วมือ หรือการจดจำใบหน้า ไปจนถึงโทเค็นของฮาร์ดแวร์ภายนอก ความสามารถนี้ ประกอบกับการรักษาความปลอดภัยที่แข็งแกร่งของการเข้ารหัสคีย์สาธารณะ ทำให้เป็นทางเลือกที่มีประสิทธิภาพแทนระบบ User และรหัสผ่านแบบเดิม แม้ว่าพวกเขาจะไม่เปลี่ยน ‘กลไกการล็อก’ อย่างแท้จริงหลังการใช้งานแต่ละครั้ง พวกเขาตรวจสอบให้แน่ใจว่าคีย์ที่ให้มาเป็นแบบชั่วคราวและไม่ซ้ำกัน ทำให้การโจมตีแบบเดิมๆ ล้าสมัย
Blueprint ของ WebAuthn และ FIDO2 มาสเตอร์คลาสของช่างทำกุญแจ
FIDO2 และ WebAuthn ได้พิสูจน์ความแข็งแกร่งในการต่อต้านฟิชชิ่งแล้ว จำวิธีการพิมพ์รหัสผ่านแบบเดิมๆ ได้ไหม? เมื่อออกสู่ธรรมชาติแล้ว มันก็เป็นเกมที่ยุติธรรม FIDO2 และ WebAuthn หลีกเลี่ยงสิ่งนี้ด้วยการจับมือแบบเข้ารหัส การรับรองความถูกต้องเฉพาะบนเว็บไซต์ของแท้จะนำต้นกำเนิดของเว็บไซต์มาสู่การเต้นรำการรับรองความถูกต้อง ขัดขวางข้อมูลระหว่างการย้ายใช่ไหม มันจะไม่เต้นตามจังหวะของเว็บไซต์อื่น ทำให้ฟิชชิ่งกลายเป็นเรื่องไร้สาระ
และมันไม่ได้จบเพียงแค่นั้น ลองนึกภาพกลไกการตอบสนองต่อความท้าทายเช่นการจับมือกันแบบลับๆ เซิร์ฟเวอร์ส่งการเคลื่อนไหว (ความท้าทาย) และมีเพียงผู้เข้าร่วมที่ถูกต้อง (พร้อมรหัสส่วนตัวที่ถูกต้อง) เท่านั้นที่รู้การตอบโต้ (การตอบสนอง) ผู้ดักฟังคนใดก็ตามที่พยายามเลียนแบบลำดับในอีกเซสชันหนึ่งจะพบว่าตัวเองกำลังสะดุด มันคล้ายกับกุญแจที่จะละลายหลังการใช้งานในคำอุปมาเรื่องล็อคของเรา
ช่างทำกุญแจแบบดิจิทัลมีการพัฒนามากขึ้น: พลิกโฉมการบายพาสที่ฉลาดที่สุด
การเปรียบเทียบการล็อกของเรา วิธีการ MFA แบบเก่าให้ความรู้สึกเหมือนกับการใส่แม่กุญแจบนประตูที่ล็อกอยู่แล้ว ก็จะปลอดภัยกว่าเล็กน้อย แต่สามารถแฮ็กได้ FIDO2 และ WebAuthn ได้รื้อประตูเก่าออกแล้วแทนที่ด้วยประตูที่ทำจากโลหะผสมที่ทนทานและเปลี่ยนแปลงตลอดเวลา เปลี่ยนการรักษาความปลอดภัยจากเชิงรับเป็นแบบเชิงรุก หาก MFA แบบเดิมย่อมาจาก Bramah lock โปรโตคอลสมัยใหม่เหล่านี้คือคำมั่นสัญญาของการล็อคที่มีความสลับซับซ้อนที่ไม่เคยมีมาก่อน ซึ่งเป็นส่วนหนึ่งของแนวทางการตรวจสอบสิทธิ์ขั้นสูง
ท้ายที่สุด ความพึงพอใจไม่ใช่ทางเลือก โลกไซเบอร์ในปัจจุบันเต็มไปด้วยภัยคุกคามอันชาญฉลาด ซึ่งพร้อมที่จะเปิดโปงส่วนเล็กๆ ในระปบบป้องกัน ไม่ว่าระบบใด ไม่ว่าจะก้าวหน้าแค่ไหนก็ตามไม่สามารถให้คำมั่นสัญญาด้านความปลอดภัยชั่วนิรันดร์ได้ แต่ทางออกที่ดีที่สุดของเราคือการพัฒนาและปรับตัว โดยยอมรับ FIDO2 และ WebAuthns ของโลกดิจิทัล ท้ายที่สุดแล้ว สมบัติในอาณาจักรดิจิทัลของเรา – ตัวตน เรื่องราว และความลับของเรา – มีค่าดั่งทองคำ ปกป้องสิ่งเหล่านั้นด้วยสิ่งที่ดีที่สุด
สำหรับองค์กรธุรกิจใดที่กำลังมองหาแนวทางเสริมความปลอดภัยให้กับธุรกิจของคุณ แต่ไม่มีโอกาสเข้ามาร่วมงานสัมมนาครั้งนี้ สามารถติดต่อทีมงาน World Information Technology เพื่อรับคำปรึกษาอย่างครบวงจร เตรียมพร้อมให้ธุรกิจของคุณดำเนินงานได้อย่างปลอดภัยจากภัยทาง Cyber
One Identity
ผู้นำด้านโซลูชั่นเกี่ยวกับการกำกับดูแลตัวตนการจัดการการเข้าถึงและโซลูชั่นการจัดการบัญชีที่และการบริหารสิทธิ์การเข้าถึงและครอบคลุม (IAM) ที่ออกแบบมาเพื่อแก้ปัญหาความท้าทายในวันนี้ ช่วยให้คุณได้รับตัวตนและการจัดการการเข้าถึงที่ถูกต้อง เพื่อเพิ่มความคล่องตัวและประสิทธิภาพให้กับองค์กรไม่ว่าจะมีขนาดหรือตลาดเท่าไหร่รวมถึงการรักษาความปลอดภัย
