ทำความเข้าใจ “alphabet soup” ภายในการรับรองความถูกต้องและคำศัพท์ MFA ที่ทันสมัย
เนื้อหาจาก Ronnie Manning May 4, 2022
การโจมตีทางไซเบอร์ส่วนใหญ่ทั้งหมด เริ่มต้นด้วยรหัสผ่านสำหรับเข้าสู่ระบบที่ถูกขโมยหรือข้อมูลประจำตัวอื่นๆ ในโลกที่กำลังเคลื่อนไปสู่คลาวด์ ระบบงาน ส่วนบุคคล และระบบสื่อสารของภาครัฐของเราสามารถเข้าถึงได้มากขึ้นและมีความเสี่ยงสำหรับทุกคนบนอินเทอร์เน็ต จากการโจมตีทางไซเบอร์ต่างๆ ทั้งหมด credential phishing เป็นปัญหาที่ใหญ่ที่สุด และกุญแจสำคัญในการป้องกันตัวเองจากภัยคุกคามเหล่านี้คือการทำความเข้าใจความหมายของแนวทางดังกล่าว
ที่ Yubico เราต้องการมอบเครื่องมือที่คุณต้องได้รับการปกป้อง รวมถึงการแบ่งปันคำแนะนำเกี่ยวกับการรับรองความถูกต้องด้วยหลายปัจจัยที่ป้องกันการฟิชชิ่ง (MFA) อุตสาหกรรมการรักษาความปลอดภัยมีชื่อเสียงในเรื่อง “alphabet soup” ของตัวย่อและเครื่องมือทางเทคนิคที่ซับซ้อน และโลกของ MFA ก็ไม่มีข้อยกเว้น การทำความเข้าใจทั้งหมดนั้นอาจเป็นเรื่องยาก แต่เมื่อคุณแบ่งข้อกำหนดและประเภทของ MFA ทั้งหมดออกเป็นหมวดหมู่ คุณจะเข้าใจได้ง่ายกว่าที่คุณคิด
รัฐบาลกลางได้กลายเป็นแกนหลัก ในการกระตุ้นให้บริษัทต่างๆ นำกระบวนการรับรองความถูกต้องที่เข้มงวดมาใช้ จากคำสั่งผู้บริหารของประธานาธิบดีไบเดนเรื่องความปลอดภัยทางไซเบอร์เมื่อปีที่แล้ว (และแถลงการณ์ด่วนอื่นในปีนี้ ) ไปจนถึงแผนของสำนักงานการจัดการและงบประมาณ (OMB) เพื่อพัฒนากลยุทธ์ Zero Trustสำหรับ MFA ที่ทนต่อฟิชชิ่งสำหรับหน่วยงานสาธารณะ และหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน คำแถลงล่าสุด (CISA)และโปรแกรม Shields Upถึงเวลาแล้วในการป้องกันภัยคุกคามความปลอดภัยทางไซเบอร์ และให้แน่ใจว่าคุณมีความเข้าใจในคำศัพท์ของ MFA ทั้งหมด
ด้านล่างนี้คือบทสรุปของคำศัพท์สำคัญที่จะช่วยให้องค์กรของคุณเดินหน้าต่อไป ซึ่งรวมถึงรายการเงื่อนไขการรับรองความถูกต้องที่สำคัญและคำจำกัดความ ตลอดจนเครื่องมือตรวจสอบสิทธิ์และ MFA ยอดนิยม นอกจากนี้เรายังได้สรุปข้อผิดพลาดของรหัสผ่านและขั้นตอนที่สำคัญต่อการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านในอนาคตในวิดีโอ
คำศัพท์ MFA: คำจำกัดความของ 2FA, MFA และ MFA ที่ต้าน Phishing คืออะไร
- Two-factor authentication, or 2FA
- 2FA เป็นวิธีการยืนยันตัวตนออนไลน์ที่อ้างสิทธิ์ของผู้ใช้โดยใช้ปัจจัยสองประเภทร่วมกัน บางครั้งคุณจะเห็นสิ่งนี้เรียกว่า “การยืนยันแบบสองขั้นตอน” แต่ 2FA เป็นตัวย่อที่ใช้อยู่ ปัจจัยที่ใช้สำหรับ 2FA ได้แก่ สิ่งที่คุณรู้ (เช่น รหัสผ่านหรือ PIN) หรือสิ่งที่คุณมี (เช่น คีย์ความปลอดภัยหรือโทรศัพท์) หรือสิ่งที่คุณเป็น (เช่น การจดจำใบหน้า)
- Multi-factor authentication, or MFA
- MFA ต้องการสองวิธีหรือมากกว่าในการลงชื่อเข้าใช้บัญชี โดยใช้หลักฐานหรือปัจจัยหลายชิ้นในการเข้าสู่ระบบ MFA ประเภทต่างๆ ได้แก่ OTP ที่ใช้ SMS, แอปบนอุปกรณ์เคลื่อนที่, ไบโอเมตริกซ์, บัตรแถบแม่เหล็ก, สมาร์ทการ์ด และคีย์ความปลอดภัยทางกายภาพ
- Phishing
- Phishing คือการที่บุคคลหนึ่งถูกหลอกให้แชร์ข้อมูลส่วนบุคคลของตน เช่น ชื่อผู้ใช้ รหัสผ่าน และบัตรเครดิตกับบุคคลที่สาม ซึ่งมีเจตนาที่จะเข้าครอบครองบัญชีผู้ใช้ 59% ของการโจมตีแบบฟิชชิงมีแรงจูงใจทางการเงิน
- Phishing-resistant MFA
- Phishing-resistant MFA. หมายถึงกระบวนการตรวจสอบสิทธิ์ที่มีภูมิคุ้มกันต่อผู้โจมตีที่ขัดขวางหรือแม้กระทั่งหลอกให้ผู้ใช้เปิดเผยข้อมูลการเข้าถึง การใช้งาน MFA ที่ใช้กันทั่วไปซึ่งประกอบด้วยรหัสผ่าน, SMS และรหัสผ่านแบบใช้ครั้งเดียว (OTP) คำถามเพื่อความปลอดภัย และแม้แต่การแจ้งเตือนแบบพุชบนมือถือก็ไม่อาจต้านทานการฟิชชิ่งได้ เนื่องจากสิ่งเหล่านี้ล้วนมีความเสี่ยงต่อการโจมตีประเภทใดประเภทหนึ่งหรือทั้งสองประเภทดังกล่าว นอกจากนี้ กระบวนการนี้กำหนดให้แต่ละฝ่ายต้องแสดงหลักฐานความถูกต้องและความตั้งใจที่จะเริ่มต้นเสมอ ตามบันทึกล่าสุดที่ออกโดย สำนักงานการจัดการและงบประมาณแห่งสหรัฐอเมริกา (หน้า 7)MFA ที่ต่อต้านฟิชชิ่งถูกกำหนดให้เป็นเทคโนโลยีการพิสูจน์ตัวตนสองเทคโนโลยี – การยืนยันตัวตนส่วนบุคคล (PIV)/สมาร์ทการ์ดของรัฐบาลกลาง และ FIDO/WebAuthn ที่ทันสมัย
คำศัพท์ทั่วไปที่ใช้ในโลกแห่งการรับรองความถูกต้องและ MFA คืออะไร
- Authenticator App
- Authenticator App เพิ่มชั้นการรักษาความปลอดภัยสำหรับบัญชีออนไลน์โดยการสร้างรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) บนอุปกรณ์เคลื่อนที่หรือเดสก์ท็อป แนวทาง TOTP ถูกนำมาใช้โดยแอปตรวจสอบความถูกต้องจำนวนมาก ซึ่งออกแบบมาเพื่อเพิ่มการรักษาความปลอดภัยชั้นที่สอง ตัวอย่างรวมถึงYubico Authenticator ซึ่งเป็นประสบการณ์แอปตรวจสอบตัวตนที่ปลอดภัยที่สุดในอุปกรณ์เคลื่อนที่และเดสก์ท็อป แม้ว่าแอปตัวตรวจสอบความถูกต้องจะเป็นการรักษาความปลอดภัยระดับที่สองที่แข็งแกร่ง แต่ก็ไม่สามารถเข้าถึงความปลอดภัยในระดับเดียวกับ MFA ที่ทนต่อฟิชชิ่งได้
- Biometrics
- Biometrics เป็นลักษณะทางกายภาพหรือทางพฤติกรรมของมนุษย์ที่สามารถใช้เพื่อระบุตัวบุคคลแบบดิจิทัลเพื่อให้สิทธิ์ในการเข้าถึงระบบ อุปกรณ์ หรือข้อมูล ตัวอย่างของตัวระบุไบโอเมตริก ได้แก่ ลายนิ้วมือ รูปแบบใบหน้า เสียงหรือจังหวะการพิมพ์ เมื่อได้รับข้อมูลไบโอเมตริกซ์แล้ว เช่น ในคีย์ความปลอดภัย เป็นต้น เทมเพลตจะถูกบันทึกเพื่อให้สามารถนำไปใช้เพื่อรับรองความถูกต้องในอุปกรณ์หรือแอปพลิเคชันในอนาคตได้ แม้ว่าไบโอเมตริกซ์จะถือเป็นรูปแบบที่ปลอดภัยของ 2FA แต่ก็ยังอ่อนไหวต่อการโจมตีทางไซเบอร์ เราเคยเห็นฐานข้อมูลไบโอเมตริกซ์ขนาดใหญ่ที่ถูกขโมยในการโจมตีทางไซเบอร์เมื่อเร็วๆ นี้ เช่น Lapsus$
- FIDO CTAP1
- FIDO หมายถึงFIDO Alliance ซึ่งเป็นสมาคมอุตสาหกรรมแบบเปิดที่เปิดตัวในปี 2556 โดยมีพันธกิจในการพัฒนาและส่งเสริมมาตรฐานการตรวจสอบสิทธิ์ที่ก้าวไปไกลกว่ารหัสผ่านธรรมดา Yubico เป็นสมาชิกคณะกรรมการ FIDO Alliance และเป็นผู้เขียนและพัฒนามาตรฐาน FIDO CTAP 1 หมายถึงClient to Authenticator Protocolซึ่งช่วยให้เครื่องยืนยันตัวตนภายนอกและแบบพกพา (เช่น คีย์ความปลอดภัยของฮาร์ดแวร์) สามารถทำงานกับแพลตฟอร์มไคลเอ็นต์ได้ (เช่น คอมพิวเตอร์) U2F (ดูคำจำกัดความด้านบน) เป็นส่วนหนึ่งของโปรโตคอล CTAP 1 และ CTAP 2 ของ FIDO
- FIDO CTAP2
- เครื่องยืนยันตัวตนที่ใช้ CTAP2 เรียกว่าเครื่องตรวจสอบความถูกต้อง FIDO2 (เรียกอีกอย่างว่าเครื่องตรวจสอบความถูกต้องของ WebAuthn) หากตัวรับรองความถูกต้องนั้นใช้ CTAP1/U2F ด้วย ก็จะสามารถใช้งานร่วมกับ U2F ได้ คีย์ความปลอดภัย YubiKey 5 Series สามารถรองรับทั้ง CTAP 1 และ CTAP 2 ซึ่งหมายความว่าสามารถรองรับทั้ง U2F และ FIDO2 และมอบการตรวจสอบสิทธิ์แบบปัจจัยเดียว (ไม่มีรหัสผ่าน ) ที่แข็งแกร่ง สองปัจจัยที่แข็งแกร่ง และการตรวจสอบสิทธิ์แบบหลายปัจจัยที่แข็งแกร่ง
- OTP
- รหัสผ่านแบบใช้ครั้งเดียว (หรือรหัสผ่าน) ใช้ได้กับเซสชันการเข้าสู่ระบบหรือธุรกรรมเดียวเท่านั้น โดยทั่วไปแล้ว OTP จะส่งผ่าน SMS ไปยังโทรศัพท์มือถือ และมักใช้เป็นส่วนหนึ่งของกระบวนการ 2FA NISTซึ่งเป็นหน่วยงานมาตรฐานของรัฐบาลกลางเพิ่งเรียก SMSว่าเป็นรูปแบบที่อ่อนแอของ 2FA และสนับสนุนแนวทางอื่นๆ สำหรับ MFA สมัยใหม่
- Passkeys
- เนื่องจากข้อมูลประจำตัวของ WebAuthn/FIDO สามารถแทนที่รหัสผ่านได้ในที่สุด อุตสาหกรรมจึงได้แนะนำคำว่า “รหัสผ่าน” เพื่อให้อ้างอิงถึงข้อมูลรับรอง WebAuthn/FIDO ใดๆ ได้อย่างง่ายดาย ไม่ว่าจะอยู่บนคีย์ความปลอดภัย ผูกกับฮาร์ดแวร์ของอุปกรณ์ หรือแม้แต่เก็บไว้ ในไฟล์บนอุปกรณ์ของคุณซึ่งถูกคัดลอกโดยผู้ให้บริการระบบคลาวด์ ตัวเลือกเพิ่มเติมเหล่านี้จะช่วยให้ไซต์จำนวนมากขึ้นนำ WebAuthn/FIDO มาใช้ ซึ่งเป็นประโยชน์กับทุกคน ไม่ว่าพวกเขาจะใช้ Passkeys ที่คัดลอกได้หลายอุปกรณ์ หรือโซลูชันที่รัดกุมกว่า เช่น YubiKeys โดยที่ Passkeys จะถูกผูกไว้กับฮาร์ดแวร์ YubiKey เพื่อเป็นข้อมูลอ้างอิง เมื่อเร็วๆ นี้เราได้ให้รายละเอียดรหัสผ่านและความหมายสำหรับอุตสาหกรรมนี้ในบล็อกโพสต์ที่นี่
- Passwords
- คุณรู้ว่าสิ่งเหล่านี้คืออะไรและไม่ใช่ตัวย่อ… แต่ควรค่าแก่การกล่าวถึงว่าสิ่งที่เราคิดเกี่ยวกับรหัสผ่านเมื่อ 10 หรือ 15 หรือแม้แต่ 30 ปีที่แล้วไม่มีผลบังคับใช้ในวันนี้ ในขณะที่ฉันทามติเคยเป็นมาว่าหากเราเพิ่งสร้างรหัสผ่านที่ซับซ้อนมากขึ้นหรือหมุนเวียนกันเป็นประจำ รหัสผ่านก็อาจมีความปลอดภัยมากขึ้น วันนี้เราเข้าใจดีว่ารหัสผ่านมีระดับความปลอดภัยต่ำที่สุด และมีความเสี่ยงสูงต่อการโจมตีแบบฟิชชิงหรือการขโมยข้อมูลประจำตัวด้วยวิธีอื่นๆ
- Passwordless
- Passwordless หมายถึงการตรวจสอบสิทธิ์หรือการเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน ซึ่งแสดงถึงการเปลี่ยนแปลงครั้งใหญ่ในวิธีที่ผู้ใช้หลายพันล้านคน ทั้งภาคธุรกิจและผู้บริโภคสามารถเข้าสู่ระบบทรัพยากรและระบบที่สำคัญของตนได้อย่างปลอดภัย ผู้ใช้สามารถตรวจสอบสิทธิ์ได้ง่ายๆ โดยใช้อุปกรณ์ที่ไม่มีรหัสผ่าน เช่น คีย์ความปลอดภัยฮาร์ดแวร์ที่ใช้ FIDO2 หรือการยืนยันตัวตนด้วยสมาร์ทการ์ด (PIV) เพื่อยืนยันข้อมูลประจำตัวของตนกับแอปพลิเคชันหรือระบบ
- PIV Smart Card
- ข้อมูลประจำตัวในการ ยืนยันตัวตนส่วนบุคคลคือข้อมูลประจำตัวของรัฐบาลกลางสหรัฐฯ ที่ใช้ในการเข้าถึงสิ่งอำนวยความสะดวกและระบบข้อมูลที่ควบคุมโดยรัฐบาลกลางในระดับความปลอดภัยที่เหมาะสม คุณมักจะได้ยินสิ่งเหล่านี้เรียกว่า “ smart cards ” เพราะเป็นการ์ดจริงที่มีชิปในตัวซึ่งทำหน้าที่เป็นโทเค็นความปลอดภัยที่พนักงานใช้เพื่อลงชื่อเข้าใช้เวิร์กสเตชันหรือจุดเข้าใช้งานอื่นๆ คีย์ความปลอดภัยของฮาร์ดแวร์สามารถทำหน้าที่เป็นสมาร์ทการ์ดได้ด้วยการปรับใช้ที่ง่ายขึ้น CAC เป็นอีกหนึ่งส่วนผสมของซุปตัวอักษรที่อ้างถึง Common Access Card นี่เป็นแนวคิดเดียวกับ PIV แต่ถูกใช้โดยพนักงานและผู้รับเหมาของกระทรวงกลาโหม ดังที่ได้กล่าวมาแล้วบันทึก OMBอ้างถึง PIV และ CAC ว่าเป็น “แนวทางต่อต้านฟิชชิ่งสำหรับ MFA ที่สามารถป้องกันการโจมตีที่ซับซ้อนมากขึ้นได้”
- Push Authentication
- Push Authentication เป็นวิธีการตรวจสอบสิทธิ์มือถือ โดยที่ผู้ให้บริการจะส่งการแจ้งเตือนไปยังโทรศัพท์ของผู้ใช้ ผู้รับจะอนุมัติหรือปฏิเสธคำขอ
- Security Key
- Yubico ได้คิดค้นการรับรองความถูกต้องของฮาร์ดแวร์ขึ้นใหม่ด้วยฟอร์มแฟคเตอร์ของ YubiKey และ Security Key ซึ่งสนับสนุนโปรโตคอลการตรวจสอบความถูกต้องหลายแบบและเป็นอุปกรณ์ฮาร์ดแวร์สำหรับวัตถุประสงค์เดียวสำหรับการตรวจสอบสิทธิ์ซึ่งควบคุมโดยผู้ใช้ปลายทาง คีย์ความปลอดภัยเปิดใช้งานการรับรองความถูกต้อง FIDO ในแพลตฟอร์ม เบราว์เซอร์ และแอปพลิเคชันต่างๆ เป็นการรับรองความถูกต้องที่รัดกุมที่สุดสำหรับบริการที่เข้ากันได้กับ U2F และ WebAuthn/FIDO2 และให้ตัวเลือกที่แข็งแกร่งปัจจัยเดียว (ไม่มีรหัสผ่าน) 2FA หรือ MFA YubiKeys รองรับตัวเลือกการตรวจสอบสิทธิ์ที่กว้างขึ้น รวมถึง FIDO, PIV, TOTP, OpenPGP และอื่นๆ
- U2F
- Universal 2nd Factor สร้างร่วมกันโดย Yubico, Google และ NXP ในปี 2555 และมีส่วนสนับสนุนFIDO Allianceหลังจากที่ปรับใช้ได้สำเร็จสำหรับพนักงานGoogle โปรโตคอลออกแบบมาเพื่อทำหน้าที่เป็นปัจจัยที่สองในการเสริมความแข็งแกร่งให้กับขั้นตอนการเข้าสู่ระบบตามชื่อผู้ใช้/รหัสผ่านที่มีอยู่ สร้างขึ้นจากการประดิษฐ์โมเดลคีย์สาธารณะของ Yubico ที่ปรับขนาดได้ ซึ่งจะมีการสร้างคู่คีย์ใหม่สำหรับแต่ละบริการ และสามารถรองรับบริการได้ไม่จำกัดจำนวน ในขณะที่ยังคงแยกส่วนทั้งหมดระหว่างกันเพื่อรักษาความเป็นส่วนตัว
- WebAuthn
- นี่เป็นมาตรฐานสากลใหม่ ของ W3C สำหรับการตรวจสอบความปลอดภัยบนเว็บที่รองรับโดยเบราว์เซอร์และแพลตฟอร์มชั้นนำทั้งหมด WebAuthn ช่วยให้ผู้ใช้มีตัวเลือกตัวตรวจสอบสิทธิ์เพื่อปกป้องบัญชีของตนได้ง่าย ซึ่งรวมถึงตัวตรวจสอบสิทธิ์ภายนอก/แบบพกพา เช่น คีย์ความปลอดภัยของฮาร์ดแวร์ และเครื่องตรวจสอบสิทธิ์แพลตฟอร์มในตัว เช่น biometric sensors.
สินค้า Yubico
สอบถามสินค้าและบริการ
📱Line: https://lin.ee/cCTeKBE
☎️Tel: 02-026-6664
📩Email: [email protected]