ในช่วงที่ผ่านมาจากข่าวพ่อค้าถูกขโมยเงินทำให้เป็นที่กังวลเรื่องความปลอดภัยของการทำธุรกรรมออนไลน์ทั้งในส่วนของธนาคารผู้ให้บริการและผู้ใช้บริการเอง ในบทความนี้จะมาแนะนำการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตของธนาคาร Barclays ในประเทศอังกฤษที่มีระบบการยืนยันความเป็นเจ้าของบัญชีที่ต่างออกไป
ธนาคารมีวิธีในการยืนยันตัวบุคคลที่ช่วยเพิ่มความปลอดภัยให้กับเจ้าของบัญชีในการเข้าใช้งาน เรียกว่า PINsentry เพื่อความเข้าใจที่ดียิ่งขึ้นขออธิบายรายละเอียดในส่วนนี้ก่อนจะเริ่มการเข้าทำธุรกรรมจากบริการของธนาคาร
##PINsentry
เป็นเครื่องมือที่ใช้ในการสร้างรหัสแปดหลักสำหรับใช้ในการยืนยันตัวบุคคลหรือยืนยันการทำรายการผ่านอินเทอร์เน็ตซึ่งไม่มีการส่ง one time password เข้าหมายเลขโทรศัพท์ โดยสามารถรับรหัสดังกล่าวได้ 2 วิธี
####PINsentry card reader
เครื่องอ่านบัตรหรือ token ตัวเครื่องธนาคารจะส่งมาให้ตามที่อยู่ที่ให้ไว้กับธนาคารหลังจากผู้ใช้บริการส่งคำขอเพื่อทำธุรกรรมออนไลน์ ซึ่งไม่เสียค่าใช้จ่ายสำหรับการขอครั้งแรก โดยเครื่องอ่านบัตรไม่ได้มีความจำเพาะสำหรับบุคคลดังนั้นสามารถใช้ร่วมด้วยกันได้หากคนใกล้ชิดมีเครื่องนี้อยู่แล้ว
ก่อนจะขอรหัสทุกครั้งผู้ใช้ต้องป้อนรหัสบัตรเดบิต 4 หลัก (รหัสเดียวกับรหัสที่ใช้กดเงินผ่านตู้เอทีเอ็มหรือชำระค่าบริการสินค้าผ่านบัตร) หากป้อนรหัสบัตรเดบิตผิด 3 ครั้งเมื่อใช้เครื่องอ่าน บัตรดังกล่าวจะถูกล็อกและไม่สามารถทำรายการได้จนกว่าจะปลดล็อกที่ตู้กดเงินของธนาคารหรือที่ทำการสาขาต่างๆ
รหัสที่ได้จากเครื่องอ่าน PINsentry ไม่จำกัดเวลา เมื่อกดขอใช้รหัสแล้วสามารถจดไว้ใช้งานภายหลังได้
Mobile PINsentry
เพื่อความสะดวกในการรับรหัสและไม่จำเป็นต้องพกพาเครื่องอ่านตลอดเวลา สามารถขอรหัสได้จากเมนูบนแอปพลิเคชั่นMobile Banking ของธนาคารเอง เมื่อทำการติดตั้งแอปพลิเคชั่นครั้งแรกต้องใช้เวลา 10 วันถึงจะสามารถเข้าใช้งานในเมนูนี้ได้ โดยระหว่างนั้นการยืนยันการทำธุรกรรมทั้งหมดต้องใช้รหัสจากเครื่องอ่าน PINsentry ไปก่อน
รหัสที่ขอจาก Mobile PINsentry จะต่างจากเครื่องอ่าน โดยจะต้องใช้งานภายใน 30 วินาทีสำหรับการทำรายการ
เมื่อเปิดใช้งานแล้ว PINSentry จะสามารถใช้ยืนยันตัวตนได้ ตามประเภทของการทำธุรกรรม แบ่งเป็น 3 ประเภท ดังนี้
- Identify: ใช้สำหรับการเปลี่ยนข้อมูลบัญชี เช่น ข้อมูลส่วนบุคคล หรือที่อยู่, เพิ่มบุคคลหรือบริษัทใหม่ที่ใช้ในการโอนเงินหรือชำระสินค้า, ไปจนถึงเปลี่ยนแปลงวิธีการเข้าใช้งานหรือรหัสผ่าน
- Sign: ยืนยันการทำรายการ เช่น การโอนเงินออกจากบัญชี
- Respond: สำหรับการตรวจสอบเมื่อลงทะเบียนใช้บริการต่างๆของธนาคาร เช่น Mobile Banking
ในส่วนนี้เรามาดูการเข้าใช้งานซึ่งการทำธุรกรรมสามารถทำได้ผ่านบริการของธนาคาร 2 ช่องทาง คือ
- Barclays online banking: สำหรับเดสทอป ในบทความนี้จะทดลองการล็อกอิน
- Barclays mobile banking: สำหรับสมาร์ทโฟนหรือแทบเลต ในบทความนี้จะสาธิตการติดตั้งแอปพลิเคชั่นและลงทะเบียนใช้งาน
Barclays online banking
ผู้ใช้บริการสามารถลงทะเบียนและเข้าสู่ระบบได้จากเว็บไชต์ธนาคาร
ขั้นตอนการเข้าใช้งานธนาคารออนไลน์
- กรอกข้อมูลนามสกุลของเจ้าของบัญชี
- ในการเข้าใช้งานสามารถเลือกข้อมูลที่ใช้ในการยืนยันตัวตนได้ดังนี้
- Membership number: จะได้รับหมายเลขนี้เมื่อเปิดบัญชีใหม่กับธนาคาร
- Card number: หมายเลขบัตรเดบิต 16 หลัก
- Sort code and account number: หมายเลขประจำสาขาของธนาคารและเลขบัญชี ซึ่งเลขชุดนี้แสดงอยู่บนบัตรเดบิตเช่นเดียวกัน
-
เมื่อกรอกข้อมูลเรียบร้อยแล้วต้องยืนยันรหัสผ่านซึ่งสามารถทำได้ 2 วิธี คือ
- กรอก PINsentry ในกรณีนี้เราสามารถขอรหัส Identify จากเครื่องอ่าน PINsentry หรือ Mobile PINsentry มาล็อกอินได้
- รหัสผ่าน 5 หลักและ memorable word รหัสผ่านได้รับทางจดหมายหลังจากเปิดบัญชี ผู้ใช้งานสามารถเปลี่ยนได้ภายหลังจากเข้าระบบเพื่อทำรายการและหากลืมรหัสดังกล่าวต้องแจ้งกับธนาคารเพื่อรับรหัสใหม่ที่จะส่งมาทางไปรษณีย์ เมื่อส่งคำขอรหัสใหม่จะทำให้ memorable word ที่เคยตั้งค่าไว้ถูกยกเลิกและต้องตั้งค่าใหม่อีกครั้ง Memorable word สามารถสร้างได้เมื่อเริ่มต้นใช้งานครั้งแรกสูงสุด 8 หลัก (ใช้ a-z และ 0-9) ซึ่งเมื่อเข้าใช้งานจะถูกสุ่มถามแค่บางหลักเท่านั้น จำนวน 2 หลัก
Barclays mobile banking
ผู้ใช้บริการสามารถติดตั้งแอปพลิเคชั่นซึ่งรองรับทั้ง iOS และ Android แต่เมื่อติดตั้งแล้วจะมีการยืนยันตัวตนผู้ใช้ก่อน
ขั้นตอนติดตั้งแอปพลิเคชั่น
หมายเหตุ: เนื่องจากไม่สามารถ screen capture ได้เพราะแอปพลิเคชั่นป้องกันไว้จึงใช้วิธีการถ่ายภาพจากจอโทรศัพท์
- หลังจากติดตั้งแอปพลิเคชั่นเรียบร้อยแล้ว เข้าสู่หน้าแรก
- ตั้งค่ารหัสผ่าน 5 หลัก
- กรอกข้อมูลบัญชี (sort code: รหัสประจำสาขา และ account number: เลขที่บัญชี) ชื่อและที่อยู่ หมายเลขโทรศัพท์เพื่อยันยืนการลงทะเบียนติดตั้ง
- หลังจากยืนยันข้อมูลจะได้รับ SMS พร้อมรหัส 6 หลักเพื่อตรวจสอบความถูกต้องของหมายเลขโทรศัพท์
- เมื่อป้อนรหัสยืนยันดังกล่าว ขั้นตอนสุดท้ายคือการตรวจสอบความถูกต้องของบัญชีซึ่งจะมีให้เลือก 2 วิธี คือ
- ยืนยันด้วย PINsentry กรอกเลข 4 หลักสุดท้ายของบัตรเดบิต, ป้อนรหัสบัตร 4 หลักของบัตรหลังจากเสียบบัตรเดบิตเข้ากับเครื่องอ่านบัตรเพื่อยืนยันตัวตนและเข้าสู่เมนู Respond, ป้อนรหัส 8 หลักที่แสดงบนแอปพลิเคชั่นลงในเครื่องอ่านบัตรเมื่อรหัสดังกล่าวถูกต้องจะได้รับรหัส 8 หลักจากเครื่องอ่านบัตรสำหรับการป้อนกลับอีกครั้ง
- ยืนยันผ่านตู้กดเงินของธนาคาร(ไม่ได้ทดลองในส่วนนี้)
หลังจากป้อนรหัสสมบูรณ์แล้วก่อนการเริ่มต้นใช้งานต้องตั้งข้อความต้อนรับส่วนบุคคล (Personal greeting) เพื่อให้แน่ใจว่าเข้าใช้งานจากแอปพลิเคชั่นแท้จริงของทางธนาคาร
เมื่อติดตั้งและยืนยันบัญชีเรียบร้อยแล้ว สำหรับการใช้งานครั้งต่อไปสามารถเข้าทำรายการได้โดยการใช้รหัสผ่าน 5 หลักที่ตั้งไว้ในขั้นตอนแรก หากจำรหัสไม่ได้หรือป้อนรหัสผ่านผิดเกินจำนวนครั้งที่กำหนดต้องทำการลงทะเบียนข้อมูลบัญชีใหม่เพราะข้อมูลที่เคยป้อนไว้จะถูกลบทันที
สรุปการเข้าใช้งาน
บริการออนไลน์ของธนาคาร Barclays สามารถเปิดการใช้งานบริการใหม่ๆ ได้โดยไม่ต้องเดินทางไปที่สาขาแต่อย่างใด สามารถยืนยันตัวตนผู้ใช้ผ่านบัตรเอทีเอ็มชิป โดยผู้ใช้เพียงแต่ต้องขอเครื่องอ่านให้ส่งมาที่บ้านฟรี ในบทความนี้ผู้เขียนสามารถเปิดบริการธนาคารผ่านโทรศัพท์มือถือได้ด้วยการยืนยันตัวตนผ่านรหัสจากบัตรเอทีเอ็ม
on







รหัสที่ได้จากเครื่องอ่าน
Elysium Sun, 28/08/2016 - 23:50
อันนี้เป็น OTP หรือเปล่าครับ แล้วการที่มันไม่จำกัดเวลาจะกลายเป็นช่องโหว่หรือเปล่า
อันนี้เป็นข้อจำกัดปกติของ
lew Mon, 29/08/2016 - 11:06
In reply to รหัสที่ได้จากเครื่องอ่าน by Elysium
อันนี้เป็นข้อจำกัดปกติของ HOTP (เช่น rfc4226) ครับ ข้อดีของกระบวนการแบบนี้คือในอุปกรณ์สร้างรหัสไม่จำเป็นต้องมีนาฬิกา เช่นกรณีนี้เครื่องอ่านบัตรไม่ต้องมีนาฬิกาในตัว ก็จะลดความเสี่ยงจากปัญหาโดยเฉพาะนาฬิกาไม่ตรงในเครื่องอ่านไปได้
ส่วนการสร้างรหัสแบบจำกัดเวลา หรือ TOTP (เช่น rfc6238) จะทำได้ง่ายในกรณีที่อุปกรณ์สร้างรหัสามารถซิงก์เวลาได้โดยง่าย เช่น โทรศัพท์มือถือสามารถซิงก์เวลาได้จากทั้งเสาสัญญาณโทรศัพท์, เซิร์ฟเวอร์ NTP, หรือ GPS กรณีในบทความจะเห็นว่าธนาคารเลือกใช้ TOTP กับการสร้างรหัสจากโทรศัพท์มือถือ
ถามว่าเป็นช่องโหว่ไหม ต้องบอกว่ามันเป็น "ข้อจำกัดที่รู้กันโดยทั่วไป" ครับ
pinsentry นี่หลักการเดียวกับ
pd2002 Mon, 29/08/2016 - 00:31
pinsentry นี่หลักการเดียวกับ google authenticator เปล่าครับ
เพิ่งรุ้ว่าของ Barclay's
naja_return Mon, 29/08/2016 - 00:50
เพิ่งรุ้ว่าของ Barclay's มีบริการแบบนี้ด้วย
LLOYDS นี่ใช้เป็นเอา OTP จากหน้าเว็บใส่กดผ่าน IVR (IVR จะโทรเข้าหลังจากยืนยันทำธุรกรรม)
ส่วนการ Login ใช้ รหัสผ่าน 8 หลัก + memorable word เช่นกันครับ
Bitdefender
pongmile Mon, 29/08/2016 - 03:08
Bitdefender อยู่ดีๆก็เตือนครับ เข้ามาหน้านี้
ถ้าเตือน phishing
lew Mon, 29/08/2016 - 04:33
In reply to Bitdefender by pongmile
ถ้าเตือน phishing แบบนี้ปัญหาคงไม่ได้อยู่ที่หน้านี้นะครับ คงต้องไปแจ้งทาง bitdefender เอง
ผมเข้าเว็บไม่มีขึ้นเตือนนะครั
pongmile Mon, 29/08/2016 - 10:47
In reply to ถ้าเตือน phishing by lew
ผมเข้าเว็บไม่มีขึ้นเตือนนะครับ เข้าบทความข่าวนี้เตือนซะงั้น
การคอมเมนต์ข่าวไม่ใช่การซัพพอ
lew Mon, 29/08/2016 - 11:03
In reply to ผมเข้าเว็บไม่มีขึ้นเตือนนะครั by pongmile
การคอมเมนต์ข่าวไม่ใช่การซัพพอร์ตปัญหาในเครื่องของคุณครับ
เครื่องของคุณมีปัญหาจากซอฟต์แวร์ที่คุณลงเอง ควรไปแก้ปัญหาด้วยตัวเอง
ปัญหาทางผมไม่มีแล้วครับ
pongmile Mon, 29/08/2016 - 12:05
In reply to การคอมเมนต์ข่าวไม่ใช่การซัพพอ by lew
ปัญหาทางผมไม่มีแล้วครับ มันโชว์แค่ครั้งเดียวครับ หลังจากกดยอมรับก็ไม่มีแล้ว แค่มาแจ้งไว้ครับ เผื่อทางเว็บจะตรวจสอบอะไร เช่นลิงค์ หรือรูปภาพ ถ้าปัญหามาจากตัว bitdefender ที่ False Alarm เองก็ไม่เป็นไรครับ
ผมไม่ขึ้นนะ
ash_to_ash Mon, 29/08/2016 - 06:54
In reply to Bitdefender by pongmile
ผมไม่ขึ้นนะ หรือตัวอัพเดทใหม่ยังไม่มาหว่า?
ของผมใช้ Biddefender
pakoros Mon, 29/08/2016 - 16:26
In reply to Bitdefender by pongmile
ของผมใช้ Biddefender ก็ขึ้นครับ เดาว่าลิงค์ หรือรูปภาพ อาจจะตีความเป็น พวกเว็บ ฟิชชิ่งได้ ข่าวอื่นปกติ ครับ
ดูปลอดภัยดี
crisis_xiii Mon, 29/08/2016 - 09:44
ดูปลอดภัยดี แต่ความสะดวกก็ลดลงตามมา
ระบบนี้ดีจริงๆ
Polwath Mon, 29/08/2016 - 10:05
ระบบนี้ดีจริงๆ ดีกว่าของธนาคารไทยตั้งเลย แม้แต่ธนาคารกรุงเทพเองยังไม่ได้ขนาดนี้
ถึงจะดูยุ่งยาก
Virusfowl Wed, 31/08/2016 - 16:59
ถึงจะดูยุ่งยาก แต่ก็เพื่อความปลอดภัย แต่ข้อสำคัญคือ มันก็ดูว่า accessible อยากรู้ว่ามีระบบไหนใช้ขั้นตอนเพื่อความปลอดภัยแปลกๆ เหมือน easynet ที่ใช้ virtual keyboard ของตัวเอง จนทำให้มันไม่ accessible หรือเปล่านะ