OTP คืออะไร แล้วช่วยอะไรเราได้บ้าง?

2-FA (Two-Factor Authentication) คืออะไร

โดยคำจำกัดความของ 2-FA คือการเพิ่มขั้นตอนในการระบุตัวตนของผู้ใช้งานโปรแกรมให้มีการแสดงฐานะการเป็นเจ้าของบัญชีนั้นๆ เพื่อเข้าใช้งานได้อย่างถูกต้อง โดยจะใช้วฺธีการยืนยันตัวตนด้วยกัน 2 วิธี โดยวิธีการพิสูจน์ตัวตนนั้นจะต้องมาจากประเภทของแหล่งข้อมูลที่แตกต่างกัน ซึ่งแหล่งข้อมูลดังกล่าวอาจมาจาก

• สิ่งที่ตัวเองทราบอยู่แล้ว
• สิ่งที่ตัวเองมีหรือครอบครองอยู่แล้ว
• บางส่วนของร่างกายของตัวเอง

ตัวอย่างที่ทำให้เข้าใจ และเห็นภาพได้ง่ายเพื่ออธิบายความเป็น 2-FA ก็คือบัตรเอทีเอ็มของคุณนั่นเอง ในการกดเงินสดจากตู้ จะต้องใช้ 2 สิ่ง ซึ่งก็คือตัวบัตร ที่เป็นสิ่งที่ตัวเองมีหรือครอบครองอยู่ และอันที่ 2 ก็คือรหัส PIN 4 หลัก ซึ่งเป็นสิ่งที่ตัวเองทราบอยู่แล้ว หรือหากเคยดูภาพยนตร์ที่เกี่ยวกับองค์กรสืบราชการลับ แล้วได้เห็นการที่เจ้าหน้าที่สายลับสแกนม่านตา หรือสแกนลายนิ้วมือ พร้อมกับกดรหัสส่วนตัวก่อนเข้าไปภายในองค์กร นั่นก็ถือเป็นการใช้ 2-FA วิธีหนึ่ง เพราะม่านตา และลายนิ้วมือ ก็คืออวัยวะส่วนหนึ่งของร่างกาย และรหัสคือสิ่งที่ทราบ และถูกจดจำไว้นั่นเอง

เพื่อเพิ่มความสามารถในการป้องกันผู้ลักลอบใช้งานโดยไม่ได้รับอนุญาติ ในระบบต่างๆ ของหน่วยงานที่ทำหน้าที่เก็บข้อมูลที่มีความสำคัญ มักเลือกที่จะใช้ 2-FA เสมอ ในขณะที่ถ้าเป็นระบบที่มีความสำคัญไม่มากนัก จะใช้ขั้นตอนการระบุตัวตนแค่ขั้นเดียว เรียกว่า One Factor Authentication ตัวอย่างเช่น การใช้งาน Free e-Mail ส่วนตัวทั่วไป ซึ่งจะสังเกตได้ว่ามีการกรอก username และกรอกรหัสผ่านเพียงครั้งเดียวเท่านั้นในเวลาที่จะเข้าใช้งาน ซึ่งปัจจุบัน วิธีดังกล่าวไม่ดีเพียงพอหากต้องใช้เพื่อรักษาความลับหรือข้อมูลทางการเงินที่มีความสำคัญ

ดังนั้นการใช้ 2-FA จึงเข้ามามีบทบาทในการเสริมสร้างความปลอดภัยให้กับระบบหรือโปรแกรมปฏิบัติการต่างๆ ที่ต้องอาศัยคอมพิวเตอร์ ซึ่งวิธีการหรือรูปแบบในการใช้ 2-FA ก็แตกต่างกันออกไปตามความต้องการและความจำเป็นของธุรกิจหรือบริการแต่ละประเภท สำหรับธนาคารหรือบริการส่วนใหญ่ที่เกี่ยวข้องกับธนาคาร การใช้งาน One-Time Password หรือ OTP ซึ่งเป็นรูปแบบหนึ่งของ 2-FA นั้นเป็นที่นิยมใช้กันมากที่สุดและได้รับการยอมรับว่ามีมาตรฐานความปลอดภัยสูงและไว้ใจได้

One-Time Password คืออะไร

วิธีการที่ผู้ใช้บริการจะได้รับ OTP นั้น โดยทั่วไปจะมี 2 วิธีหลักๆ คือ

•  ส่งผ่านอีเมล ซึ่งจะเป็นอีเมลที่ได้ให้กับทางธนาคารหรือบริการนั้นๆ
• ส่งผ่านบริการส่ง SMS ผ่านโทรศัพท์มือถือ ซึ่งเบอร์ที่จะส่งไปก็จะเป็นเบอร์ที่ได้ให้ไว้กับธนาคารหรือบริการนั้นๆ

โดยขึ้นอยู่กับว่าผู้ให้บริการนั้นจะส่งรหัสไปทางไหน หลังจากที่เราได้รหัสมาแล้วก็นำไปใช้ยืนยันตัวตนกับธนาคารหรือบริการที่เราได้ขอรหัสไป เพื่อเสร็จสิ้นการยืนยันตัวตนด้วยโอทีพีจากที่กล่าวมาถ้าใครก็ตามที่ทราบถึงรหัสในขณะนั้นของเราก็เท่ากับว่าคนที่รู้รหัสก็สามารถยืนยันตัวตนบัญชีของคุณได้เช่นกัน ดังนั้นหลังจากได้รับรหัสแล้วควรเก็บรหัสนั้นไว้เป็นความลับ และไม่ส่งไปให้ใครโดยเด็ดขาดเพื่อปกป้องข้อมูลของคุณเอง

จากที่กล่าวมาข้างต้นจะเป็นมุมมองของผู้ใช้บริการที่รับรหัส แล้วนำไปใช้ยืนยันตัวตนในระยะเวลาที่กำหนด เรามาพูดถึงมุมมองของผู้ให้บริการกับบ้างดีกว่า

ในปัจจุบันจะมีบริการส่ง SMS บนเว็บไซต์หลายๆ เว็บที่มีระบบการส่งแบบโอทีพี โดยที่เราไม่จำเป็นจะต้องเขียนโค้ดเลยแม้แต่บรรทัดเดียว ซึ่งสิ่งที่เราต้องทำเองก็คือ

1. ตั้งชื่อแอปของระบบ โอทีพี นั้นของคุณ
2. เขียนรูปแบบข้อความที่จะส่งให้กับผู้ใช้บริการ
3. เลือกความยาวรหัส โอทีพี ที่ต้องการ โดยปกติจะไม่น้อยกว่า 4 ตัวอักษร และจะไม่เกิน 10 ตัวอักษร
4. เลือกระยะเวลาในการยืนยันตัวตน เพื่อกำหนดเวลาที่จะสามารถใช้รหัส โอทีพี ยืนยันได้ หากเลยเวลาที่กำหนดจะไม่สามารถใช้งานรหัส โอทีพี นั้นในการยืนยันตัวตนได้
5. ตั้งจำนวนครั้งในการกรอกผิดพลาด เมื่อผู้ใช้งานกรอกรหัส โอทีพี ผิดถึงจำนวนที่กำหนดภายในระยะเวลายืนยันตัวตน รหัส โอทีพี นั้นก็จะไม่สามารถใช้งานได้ ต้องทำการขอรหัสเพื่อทำรายการใหม่อีกครั้ง

เพียงเท่านี้คุณก็จะได้แอปโอทีพีที่คุณต้องการแล้ว แล้ววิธีที่จะนำแอปโอทีพีที่คุณสร้างนำไปใช้งานต่อ ก็คือ App Key และ App Secert ที่ได้มานั่นเอง โดย 2 อย่างที่กล่าวมาจะเป็นตัวอ้างอิงถึงแอปโอทีพีของคุณ โดยแต่ละเว็บไซต์ที่ให้บริการโอทีพีนี้ก็จะมีคู่มือแนะนำการนำแอปโอทีพีไปใช้งานต่อได้

แล้วข้อความที่ผู้ใช้บริการได้รับควรจะเป็นแบบไหน ทางเราขอนำเสนอตัวอย่างข้อความ OTP ที่เป็นที่นิยมเพื่อเป็นการเพิ่มความสะดวกสบายและความรวดเร็วในการเริ่มต้นใช้งาน โอทีพี ของคุณ

ตัวอย่างข้อความ OTP ยอดนิยม

• รหัสยืนยันที่ใช้ในการรับสิทธิ์คือ xxxxxx
• รหัสยืนยันของ (บริษัท / ผู้ส่ง) คือ : xxxxxx กรุณายืนยันตัวตนภายในเวลาที่กำหนด
• (บริษัท / ผู้ส่ง) ได้ทำการส่งรหัสยืนยันมาให้คุณ : xxxxxx
• รหัสยืนยันตัวตนของ (บริษัท / ผู้ส่ง) คือ xxxxxx มีอายุการใช้งาน (เวลา) นาที โปรดอย่าแสดงรหัสนี้ให้ผู้อื่น
• (บริษัท / ผู้ส่ง) ได้ทำการส่งรหัสผ่านให้คุณแล้ว : xxxxxx
• รหัสยืนยันนี้มีระยะเวลา (เวลา) นาที xxxxxx โปรดยืนยันตัวตนภายในเวลาที่กำหนด
• รหัสยืนยันตัวตนของคุณคือ xxxxxx โปรดอย่างแสดงให้ผู้อื่นเห็น
• รหัสยืนยันคือ xxxxxx (เลขที่อ้างอิงการทำรายการ)
• รหัสยืนยันของคุณคือ xxxxxx โปรดใส่รหัสเพื่อทำรายการ รหัสมีอายุ (เวลา) นาที
• โปรดยืนยันตัวตนด้วยรหัสผ่าน : xxxxxx

และนี้เป็นเพียงตัวอย่างข้อความ โอทีพี ที่บรรดาธุรกิจจำนวนมากนิยมเลือกใช้งานกัน โดยปัจจัยหลักๆ ที่บ่งบอกความสำคัญอยู่ 2 ข้อใหญ่คือ

1. ระบุชื่อผู้ส่งชัดเจน (ในกรณีที่ได้ระบุมาในข้อความ แต่ตัวผู้ส่งข้อความ SMS จะถูกะบุชื่อจากเบอร์ที่ใช้ส่งอยู่แล้ว)
2. ระบุรหัสยืนยันตัวตน หรือ โอทีพี มาชัดเจน อาจมีตั้งแต่ 4 หลัก จนไปถึง 10 หลัก เป็นต้น

ต่อมาเราลองมาดูดัวอย่างการใช้งานจริงกัน

6 ตัวอย่างการใช้ Verify เพื่อความปลอดภัยของธุรกิจ

1. การยืนยันตัวตน ในการลงทะเบียน
2. ยืนยันตัวตน สำหรับการ Upgrade
3. การตั้งรหัสใหม่ หรือการ Reset Password
4. การที่ผู้ใช้งานกลับมาใช้ใหม่ หลังจากไม่ได้ใช้งานมานาน
5. การปรับเปลี่ยนข้อมูลของผู้ใช้งาน
6. ยืนยันตัวตน เวลาทำรายการ (Authenticate Transaction)

จาก 6 ตัวอย่างที่กล่าวไปจะใช้บริการ โอทีพี แล้วเราจะเห็นได้ว่า “การยืนยันตัวตน” หรือ Verify นั้นสำคัญสำหรับธุรกิจที่ให้บริการแบบออนไลน์ทีเดียวเพื่อรักษาข้อมูลของผู้ใช้บริการให้ปลอดภัย และสร้างความน่าเชื่อถือให้กับคุณได้อีกด้วย

สำหรับธุรกิจไหนที่จำเป็นต้องมีการส่งข้อความ SMS ประเภทรหัสยืนยันตัวตน หรือ โอทีพี ไปให้กับลูกค้ายังสามารถเลือกใช้คำต่าง ๆ ได้อีกมากมายซึ่งถ้าไม่แน่ใจว่าควรเลือกใช้คำไหนหรือยังไม่เข้าใจเรื่องของระบบ โอทีพี ว่าควรดำเนินการอย่างไร ShortMS ยินดีให้คำปรึกษาสำหรับผู้ที่สนใจอยากสอบถามข้อมูลเพิ่มเติม เรามีบริการ OTP Service พร้อมใช้งาน ไม่ต้องเขียนโปรแกรมใหม่ให้ยุ่งยาก ตั้งค่าข้อความได้ตามต้องการ ตั้งค่าตัวเลขรหัสยืนยันได้ พร้อมกำหนดระยะเวลาหมดอายุ เพื่อความปลอดภัยของธุรกิจและลูกค้า สร้างความน่าเชื่อถือให้มากขึ้นกว่าเดิม ติดต่อเรา