Barclays

ในช่วงที่ผ่านมาจากข่าวพ่อค้าถูกขโมยเงินทำให้เป็นที่กังวลเรื่องความปลอดภัยของการทำธุรกรรมออนไลน์ทั้งในส่วนของธนาคารผู้ให้บริการและผู้ใช้บริการเอง ในบทความนี้จะมาแนะนำการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตของธนาคาร Barclays ในประเทศอังกฤษที่มีระบบการยืนยันความเป็นเจ้าของบัญชีที่ต่างออกไป

ธนาคารมีวิธีในการยืนยันตัวบุคคลที่ช่วยเพิ่มความปลอดภัยให้กับเจ้าของบัญชีในการเข้าใช้งาน เรียกว่า PINsentry เพื่อความเข้าใจที่ดียิ่งขึ้นขออธิบายรายละเอียดในส่วนนี้ก่อนจะเริ่มการเข้าทำธุรกรรมจากบริการของธนาคาร

##PINsentry
เป็นเครื่องมือที่ใช้ในการสร้างรหัสแปดหลักสำหรับใช้ในการยืนยันตัวบุคคลหรือยืนยันการทำรายการผ่านอินเทอร์เน็ตซึ่งไม่มีการส่ง one time password เข้าหมายเลขโทรศัพท์ โดยสามารถรับรหัสดังกล่าวได้ 2 วิธี

####PINsentry card reader
เครื่องอ่านบัตรหรือ token ตัวเครื่องธนาคารจะส่งมาให้ตามที่อยู่ที่ให้ไว้กับธนาคารหลังจากผู้ใช้บริการส่งคำขอเพื่อทำธุรกรรมออนไลน์ ซึ่งไม่เสียค่าใช้จ่ายสำหรับการขอครั้งแรก โดยเครื่องอ่านบัตรไม่ได้มีความจำเพาะสำหรับบุคคลดังนั้นสามารถใช้ร่วมด้วยกันได้หากคนใกล้ชิดมีเครื่องนี้อยู่แล้ว
ก่อนจะขอรหัสทุกครั้งผู้ใช้ต้องป้อนรหัสบัตรเดบิต 4 หลัก (รหัสเดียวกับรหัสที่ใช้กดเงินผ่านตู้เอทีเอ็มหรือชำระค่าบริการสินค้าผ่านบัตร) หากป้อนรหัสบัตรเดบิตผิด 3 ครั้งเมื่อใช้เครื่องอ่าน บัตรดังกล่าวจะถูกล็อกและไม่สามารถทำรายการได้จนกว่าจะปลดล็อกที่ตู้กดเงินของธนาคารหรือที่ทำการสาขาต่างๆ
รหัสที่ได้จากเครื่องอ่าน PINsentry ไม่จำกัดเวลา เมื่อกดขอใช้รหัสแล้วสามารถจดไว้ใช้งานภายหลังได้

Mobile PINsentry

เพื่อความสะดวกในการรับรหัสและไม่จำเป็นต้องพกพาเครื่องอ่านตลอดเวลา สามารถขอรหัสได้จากเมนูบนแอปพลิเคชั่นMobile Banking ของธนาคารเอง เมื่อทำการติดตั้งแอปพลิเคชั่นครั้งแรกต้องใช้เวลา 10 วันถึงจะสามารถเข้าใช้งานในเมนูนี้ได้ โดยระหว่างนั้นการยืนยันการทำธุรกรรมทั้งหมดต้องใช้รหัสจากเครื่องอ่าน PINsentry ไปก่อน

รหัสที่ขอจาก Mobile PINsentry จะต่างจากเครื่องอ่าน โดยจะต้องใช้งานภายใน 30 วินาทีสำหรับการทำรายการ

เมื่อเปิดใช้งานแล้ว PINSentry จะสามารถใช้ยืนยันตัวตนได้ ตามประเภทของการทำธุรกรรม แบ่งเป็น 3 ประเภท ดังนี้

  • Identify: ใช้สำหรับการเปลี่ยนข้อมูลบัญชี เช่น ข้อมูลส่วนบุคคล หรือที่อยู่, เพิ่มบุคคลหรือบริษัทใหม่ที่ใช้ในการโอนเงินหรือชำระสินค้า, ไปจนถึงเปลี่ยนแปลงวิธีการเข้าใช้งานหรือรหัสผ่าน
  • Sign: ยืนยันการทำรายการ เช่น การโอนเงินออกจากบัญชี
  • Respond: สำหรับการตรวจสอบเมื่อลงทะเบียนใช้บริการต่างๆของธนาคาร เช่น Mobile Banking

ในส่วนนี้เรามาดูการเข้าใช้งานซึ่งการทำธุรกรรมสามารถทำได้ผ่านบริการของธนาคาร 2 ช่องทาง คือ

  • Barclays online banking: สำหรับเดสทอป ในบทความนี้จะทดลองการล็อกอิน
  • Barclays mobile banking: สำหรับสมาร์ทโฟนหรือแทบเลต ในบทความนี้จะสาธิตการติดตั้งแอปพลิเคชั่นและลงทะเบียนใช้งาน

Barclays online banking

ผู้ใช้บริการสามารถลงทะเบียนและเข้าสู่ระบบได้จากเว็บไชต์ธนาคาร

ขั้นตอนการเข้าใช้งานธนาคารออนไลน์

  • กรอกข้อมูลนามสกุลของเจ้าของบัญชี
  • ในการเข้าใช้งานสามารถเลือกข้อมูลที่ใช้ในการยืนยันตัวตนได้ดังนี้
    • Membership number: จะได้รับหมายเลขนี้เมื่อเปิดบัญชีใหม่กับธนาคาร
    • Card number: หมายเลขบัตรเดบิต 16 หลัก
    • Sort code and account number: หมายเลขประจำสาขาของธนาคารและเลขบัญชี ซึ่งเลขชุดนี้แสดงอยู่บนบัตรเดบิตเช่นเดียวกัน

  • เมื่อกรอกข้อมูลเรียบร้อยแล้วต้องยืนยันรหัสผ่านซึ่งสามารถทำได้ 2 วิธี คือ

    • กรอก PINsentry ในกรณีนี้เราสามารถขอรหัส Identify จากเครื่องอ่าน PINsentry หรือ Mobile PINsentry มาล็อกอินได้
    • รหัสผ่าน 5 หลักและ memorable word รหัสผ่านได้รับทางจดหมายหลังจากเปิดบัญชี ผู้ใช้งานสามารถเปลี่ยนได้ภายหลังจากเข้าระบบเพื่อทำรายการและหากลืมรหัสดังกล่าวต้องแจ้งกับธนาคารเพื่อรับรหัสใหม่ที่จะส่งมาทางไปรษณีย์ เมื่อส่งคำขอรหัสใหม่จะทำให้ memorable word ที่เคยตั้งค่าไว้ถูกยกเลิกและต้องตั้งค่าใหม่อีกครั้ง Memorable word สามารถสร้างได้เมื่อเริ่มต้นใช้งานครั้งแรกสูงสุด 8 หลัก (ใช้ a-z และ 0-9) ซึ่งเมื่อเข้าใช้งานจะถูกสุ่มถามแค่บางหลักเท่านั้น จำนวน 2 หลัก

Barclays mobile banking

ผู้ใช้บริการสามารถติดตั้งแอปพลิเคชั่นซึ่งรองรับทั้ง iOS และ Android แต่เมื่อติดตั้งแล้วจะมีการยืนยันตัวตนผู้ใช้ก่อน

ขั้นตอนติดตั้งแอปพลิเคชั่น

หมายเหตุ: เนื่องจากไม่สามารถ screen capture ได้เพราะแอปพลิเคชั่นป้องกันไว้จึงใช้วิธีการถ่ายภาพจากจอโทรศัพท์

  • หลังจากติดตั้งแอปพลิเคชั่นเรียบร้อยแล้ว เข้าสู่หน้าแรก
  • ตั้งค่ารหัสผ่าน 5 หลัก
  • กรอกข้อมูลบัญชี (sort code: รหัสประจำสาขา และ account number: เลขที่บัญชี) ชื่อและที่อยู่ หมายเลขโทรศัพท์เพื่อยันยืนการลงทะเบียนติดตั้ง

  • หลังจากยืนยันข้อมูลจะได้รับ SMS พร้อมรหัส 6 หลักเพื่อตรวจสอบความถูกต้องของหมายเลขโทรศัพท์
  • เมื่อป้อนรหัสยืนยันดังกล่าว ขั้นตอนสุดท้ายคือการตรวจสอบความถูกต้องของบัญชีซึ่งจะมีให้เลือก 2 วิธี คือ
  • ยืนยันด้วย PINsentry กรอกเลข 4 หลักสุดท้ายของบัตรเดบิต, ป้อนรหัสบัตร 4 หลักของบัตรหลังจากเสียบบัตรเดบิตเข้ากับเครื่องอ่านบัตรเพื่อยืนยันตัวตนและเข้าสู่เมนู Respond, ป้อนรหัส 8 หลักที่แสดงบนแอปพลิเคชั่นลงในเครื่องอ่านบัตรเมื่อรหัสดังกล่าวถูกต้องจะได้รับรหัส 8 หลักจากเครื่องอ่านบัตรสำหรับการป้อนกลับอีกครั้ง
  • ยืนยันผ่านตู้กดเงินของธนาคาร(ไม่ได้ทดลองในส่วนนี้)

หลังจากป้อนรหัสสมบูรณ์แล้วก่อนการเริ่มต้นใช้งานต้องตั้งข้อความต้อนรับส่วนบุคคล (Personal greeting) เพื่อให้แน่ใจว่าเข้าใช้งานจากแอปพลิเคชั่นแท้จริงของทางธนาคาร

เมื่อติดตั้งและยืนยันบัญชีเรียบร้อยแล้ว สำหรับการใช้งานครั้งต่อไปสามารถเข้าทำรายการได้โดยการใช้รหัสผ่าน 5 หลักที่ตั้งไว้ในขั้นตอนแรก หากจำรหัสไม่ได้หรือป้อนรหัสผ่านผิดเกินจำนวนครั้งที่กำหนดต้องทำการลงทะเบียนข้อมูลบัญชีใหม่เพราะข้อมูลที่เคยป้อนไว้จะถูกลบทันที

สรุปการเข้าใช้งาน

บริการออนไลน์ของธนาคาร Barclays สามารถเปิดการใช้งานบริการใหม่ๆ ได้โดยไม่ต้องเดินทางไปที่สาขาแต่อย่างใด สามารถยืนยันตัวตนผู้ใช้ผ่านบัตรเอทีเอ็มชิป โดยผู้ใช้เพียงแต่ต้องขอเครื่องอ่านให้ส่งมาที่บ้านฟรี ในบทความนี้ผู้เขียนสามารถเปิดบริการธนาคารผ่านโทรศัพท์มือถือได้ด้วยการยืนยันตัวตนผ่านรหัสจากบัตรเอทีเอ็ม

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

รหัสที่ได้จากเครื่องอ่าน PINsentry ไม่จำกัดเวลา เมื่อกดขอใช้รหัสแล้วสามารถจดไว้ใช้งานภายหลังได้

อันนี้เป็น OTP หรือเปล่าครับ แล้วการที่มันไม่จำกัดเวลาจะกลายเป็นช่องโหว่หรือเปล่า

อันนี้เป็นข้อจำกัดปกติของ HOTP (เช่น rfc4226) ครับ ข้อดีของกระบวนการแบบนี้คือในอุปกรณ์สร้างรหัสไม่จำเป็นต้องมีนาฬิกา เช่นกรณีนี้เครื่องอ่านบัตรไม่ต้องมีนาฬิกาในตัว ก็จะลดความเสี่ยงจากปัญหาโดยเฉพาะนาฬิกาไม่ตรงในเครื่องอ่านไปได้

ส่วนการสร้างรหัสแบบจำกัดเวลา หรือ TOTP (เช่น rfc6238) จะทำได้ง่ายในกรณีที่อุปกรณ์สร้างรหัสามารถซิงก์เวลาได้โดยง่าย เช่น โทรศัพท์มือถือสามารถซิงก์เวลาได้จากทั้งเสาสัญญาณโทรศัพท์, เซิร์ฟเวอร์ NTP, หรือ GPS กรณีในบทความจะเห็นว่าธนาคารเลือกใช้ TOTP กับการสร้างรหัสจากโทรศัพท์มือถือ

ถามว่าเป็นช่องโหว่ไหม ต้องบอกว่ามันเป็น "ข้อจำกัดที่รู้กันโดยทั่วไป" ครับ

เพิ่งรุ้ว่าของ Barclay's มีบริการแบบนี้ด้วย
LLOYDS นี่ใช้เป็นเอา OTP จากหน้าเว็บใส่กดผ่าน IVR (IVR จะโทรเข้าหลังจากยืนยันทำธุรกรรม)
ส่วนการ Login ใช้ รหัสผ่าน 8 หลัก + memorable word เช่นกันครับ

pongmile Mon, 29/08/2016 - 03:08

Bitdefender อยู่ดีๆก็เตือนครับ เข้ามาหน้านี้

lew Mon, 29/08/2016 - 04:33

In reply to by pongmile

ถ้าเตือน phishing แบบนี้ปัญหาคงไม่ได้อยู่ที่หน้านี้นะครับ คงต้องไปแจ้งทาง bitdefender เอง

การคอมเมนต์ข่าวไม่ใช่การซัพพอร์ตปัญหาในเครื่องของคุณครับ

เครื่องของคุณมีปัญหาจากซอฟต์แวร์ที่คุณลงเอง ควรไปแก้ปัญหาด้วยตัวเอง

ปัญหาทางผมไม่มีแล้วครับ มันโชว์แค่ครั้งเดียวครับ หลังจากกดยอมรับก็ไม่มีแล้ว แค่มาแจ้งไว้ครับ เผื่อทางเว็บจะตรวจสอบอะไร เช่นลิงค์ หรือรูปภาพ ถ้าปัญหามาจากตัว bitdefender ที่ False Alarm เองก็ไม่เป็นไรครับ

pakoros Mon, 29/08/2016 - 16:26

In reply to by pongmile

ของผมใช้ Biddefender ก็ขึ้นครับ เดาว่าลิงค์ หรือรูปภาพ อาจจะตีความเป็น พวกเว็บ ฟิชชิ่งได้ ข่าวอื่นปกติ ครับ

Polwath Mon, 29/08/2016 - 10:05

ระบบนี้ดีจริงๆ ดีกว่าของธนาคารไทยตั้งเลย แม้แต่ธนาคารกรุงเทพเองยังไม่ได้ขนาดนี้

ถึงจะดูยุ่งยาก แต่ก็เพื่อความปลอดภัย แต่ข้อสำคัญคือ มันก็ดูว่า accessible อยากรู้ว่ามีระบบไหนใช้ขั้นตอนเพื่อความปลอดภัยแปลกๆ เหมือน easynet ที่ใช้ virtual keyboard ของตัวเอง จนทำให้มันไม่ accessible หรือเปล่านะ