เกร็ดความรู้

การใช้รหัสผ่านระบบ OTP คืออะไร

Pinterest LinkedIn Tumblr

การใช้รหัสผ่านระบบ OTP  คือรหัสผ่านแบบใช้ได้เพียงครั้งเดียว หรือที่เราส่วนใหญ่นั้นจะรู้จักผ่านตัวอักษรย่อภาษาอังกฤษที่เรียกว่า OTP คือการระบุรหัสผ่านที่ถูกต้องเพียงครั้งเดียว โดยสามารถใช้รหัสผ่านแบบนี้เพื่อเพิ่มความปลอดภัย และ เป็นการตรวจสอบสิทธิ์ที่เข้มงวดให้กับเจ้าของผู้ใช้บัญชีอีกด้วย

เมื่อก่อน เครือข่ายองค์กรต่าง ๆ ส่วนใหญ่นั้นต้องการเพียงแค่ชื่อผู้ใช้และรหัสผ่านที่ถูกต้องเพียงอย่างเดียว ที่จะอนุญาตให้เกิดการเข้าถึงข้อมูลส่วนบุคคลได้ รวมถึงข้อมูลที่ละเอียดอ่อนมาก เช่น บัญชีการเงินของลูกค้า การอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลแบบเมื่อก่อนนั้น อาจจะสะดวกสบายเพราะใช้แค่เพียง ชื่อ กับ รหัสที่ถูกต้อง คุณก็สามารถทำธุรกรรมต่างๆได้แล้ว  แต่อย่างไรก็ตามในปัจจุบันข้อมูลต่าง ๆ มีความสำคัญและมีความเสี่ยงสูงมากที่จะถูกนำไปใช้ในทางที่ผิดกฏหมาย คนส่วนใหญ่เข้าใจว่าพวกเขาควรตั้งรหัสผ่านที่ไม่ซ้ำกันสำหรับบัญชีออนไลน์และบัญชีอื่นๆ ถึงแม้พวกเขาจะเข้าใจถูก แต่การสำรวจที่ผ่านมานั้นทำให้เราได้พบกับสถิติที่น่าตกใจว่า  69% ของผู้ใช้บัญชีต่างๆ ยังคงตั้งค่ารหัสผ่านแบบเดียวกัน

นอกจากนี้ 47% ของผู้ใช้ พบว่ารหัสผ่านที่พวกเขาใช้นั้นมีอายุมากกว่า 5 ปี และรหัสผ่านที่ใช้บ่อยที่สุดคือ ‘123456’ ซึ่งมีคนใช้มากถึง 17% และที่แย่ไปกว่านั้นคือ  95% ของผู้ใช้จะตั้งรหัสผ่านแบบเดียวกันกับเพื่อนมากถึง 6 รหัส

แม้ว่าผู้ใช้จะระวังตัวอย่างดี โดยการตั้งรหัสผ่านแบบอยากที่สุด   แต่ผู้ใช้ก็ยังถูกแฮกรหัสผ่านได้อยู่ดีโดย  keylogging malware หรือ man-in-the-middle attacks  ดังนั้นผู้ใช้จะต้องปกป้องตัวเอง จากการถูกคุกคามรหัสผ่านที่มีรูปแบบที่ทันสมัยมาก และวิธีหนึ่งที่ใช้ได้ผลมาแล้วนั่นก็คือ รหัสผ่านแบบใช้เพียงครั้งเดียว (  รหัสผ่านที่ใช้แล้วไม่สามารถใช้ได้อีก ซึ่งใช้ได้เพียงครั้งเดียวเท่านั้น )

รหัสผ่านแบบใช้ครั้งเดียวนั้นทำงานอย่างไร?

การส่งรหัสผ่านให้ตรงเวลา โดยส่งผ่านโทรศัพท์มือถือของผู้ใช้งาน รหัสผ่านแบบใช้ครั้งเดียว  สามารถสื่อสารกับผู้ใช้ปลายทางได้หลายวิธี และ แต่ละรหัสผ่านก็จะมีความปลอดภัย ความสะดวก และ ค่าใช้จ่ายต่างๆ ที่ไม่เหมือนกัน ต่อไปนี้คือตัวอย่างรหัสผ่านหรือ OTP ที่มักนิยมใช้กัน

1. รหัสผ่านครั้งเดียวผ่านข้อความ SMS
วิธีนี้จำเป็นอย่างมาก ที่ต้องเลือกใช้การบริการ SMS ที่เชื่อถือได้และมีคุณภาพสูง เมื่อผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่านที่ถูกต้องระหว่างการเข้าสู่ระบบ ข้อความที่มี OTP จะถูกเรียกขึ้นมาใช้ทันที และจะถูกส่งไปยังหมายเลขโทรศัพท์มือถือที่ลงทะเบียนไว้ในบัญชีของผู้ใช้ จากนั้นผู้ใช้จะต้องเข้าสู่กระบวนการตรวจสอบสิทธิ์โดยป้อนรหัสที่แสดงในข้อความ SMS ลงในหน้าจอเเพื่อข้าสู่ระบบแอปพลิเคชัน เพื่อเป็นการยืนยันตัวตน ณ ตอนนั้น โดยปกติแล้วผู้ใช้ปลายทางจะได้รับอนุญาตให้ใส่รหัสผ่าน OTP ในช่วงระยะเวลาหนึ่งก่อนที่รหัสผ่านนั้นจะหมดอายุ

2. รหัสผ่านครั้งเดียวผ่าน Voice
วิธีนี้ คือการใช้ Voice  ซึ่งเป็นการใช้โทรศัพท์บ้าน หรือ โทรศัพท์มือถือที่มีอยู่ เพื่อรับรหัสผ่าน โดยการใช้เสียงพูดเป็นการโทรผ่านโทรศัพท์บ้านหรือหมายเลขโทรศัพท์มือถือของผู้ใช้ ข้อดีของวิธีนี้คือรหัสผ่านจะไม่ถูกเก็บไว้ในโทรศัพท์ของผู้ใช้เลย  อย่างไรก็ตามการใช้ Voice มักมีค่าใช้จ่ายต่อการใช้งาน และต้องมีหมายเลขโทรศัพท์พื้นฐานหรือโทรศัพท์มือถือที่ลงทะเบียนไว้แล้วจึงจะสามารถใช้งานได้

รหัสผ่านยังจำกัดอยู่ในรูปแบบของ Short Character String เพียงอย่างเดียวเท่านั้น มิฉะนั้นการโอนรหัสผ่านจากการโทรไปยังหน้าจอเพื่อทำการเข้าสู่ระบบจะกลายเป็นเรื่องยากสำหรับผู้ใช้ทันที เพราะต้องพยายามหลายครั้งเพื่อยืนยันรหัสให้ตรงกัน

3. รหัสผ่านครั้งเดียวผ่านทางอีเมล์
เมื่อมีการลงทะเบียนบัญชีอีเมล ควบคู่ไปกับบัญชีผู้ใช้ รหัสผ่านแบบครั้งเดียวนี้จะถูกส่งไปยังที่อยู่อีเมลเพื่อตรวจสอบสิทธิ์ในระหว่างการเข้าสู่ระบบ การส่งอีเมลสำหรับรหัสผ่านครั้งเดียวเป็นตัวเลือกที่คุ้มค่า  แต่ความปลอดภัยและความสามารถในการใช้งานอาจไม่เป็นที่ปลอดภัยมากนัก เพราะผู้ใช้ส่วนใหญ่มักลืม log out อีเมลในที่ทำงานก่อนกลับบ้านหรือที่ไหนๆก็ตามเมื่อเข้าใช้งาน

91% ของการโจมตีทางไซเบอร์ทั้งหมดเริ่มต้นด้วยอีเมล และ เป็นวิธีที่ปลอดภัยน้อยที่สุดสำหรับการตรวจสอบสิทธิ์แบบ 2FA

รหัสผ่านแบบใช้ได้เพียงครั้งเดียว OTP มีข้อได้เปรียบที่แตกต่างจากการใช้รหัสผ่านแบบเก่า การใช้ OTP ไม่เสี่ยงต่อการถูกแฮ็กซ้ำ โดยที่แฮ็กเกอร์จะถูกสกัดกั้นจากการส่งข้อมูลรหัสผ่านให้ถึงผู้ใช้บัญชีโดยตรง และ OTP ถูกสร้างขึ้นด้วยฟังก์ชั่นที่ใช้การสุ่ม ทำให้แฮ็กเกอร์คาดเดาการทำงานงานได้ยากขึ้น ซึ่งรหัสผ่าน OTP จะใช้งานได้ในช่วงเวลาสั้นๆ เท่านั้น กำหนดให้ผู้ใช้ต้องมีความรู้เกี่ยวกับ OTP ก่อนหน้านี้ เพื่อที่จะสามารถเข้าใจวิธีการใช้ และ กรอกรหัสได้ภายในเวลาที่กำหนด หรือ ระบบอาจให้คำแนะนำแก่ผู้ใช้ในทันที (เช่น “โปรดป้อนหมายเลขที่สองและห้า”) มาตรการทั้งหมดมีประสิทธิภาพมากเมือเปรียบเทียบกับการพิสูจน์ตัวตนแบบเก่า

ซึ่งสามารถลดความเสี่ยงเมื่อรหัสผ่านถูกแฮ็กได้จริง  เช่นเมื่อข้อมูลประจำตัวเหล่านี้รั่วไหลหรือตกไปอยู่ในมือของผู้ไม่ประสงค์ดี ข้อมูลที่ถูกขโมยและการฉ้อโกงถือเป็นภัยคุกคามที่สำคัญต่อผู้ใช้ในทุกด้าน การรักษาความปลอดภัย ด้วยการส่งรหัสผ่าน OTP ช่วยป้องกันการละเมิดการเข้าถึงข้อมูล แม้ว่าแฮ็กเกอร์จะได้รับชุดข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้องก็ตาม รหัสผ่านแบบใช้ครั้งเดียวยังง่ายสำหรับองค์กรในการรวมเข้ากับกลยุทธ์การตรวจสอบสิทธิ์ต่างๆเพื่อรักษาความปลอดภัยและแจกจ่ายให้กับพนักงานอย่างทั่วถึง

อ่านเพิ่มเติม