Tags:
Topics: 
Node Thumbnail

สพธอ. ประกาศข้อเสนอแนะมาตรฐานฯ เกี่ยวกับแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย เป็นเอกสาร 3 ฉบับ ได้แก่

  • ขมธอ. 18-2561 ภาพรวมแนวทาง
  • ขมธอ. 19-2561 การลงทะเบียนและพิสูจน์ตัวตน
  • ขมธอ. 20-2561 การยืนยันตัวตน

การจัดหมวดหมู่เอกสารและหัวข้อต่างๆ เห็นได้ชัดว่าล้อมาจากเอกสาร NIST SP800-63 (ข่าวเก่าบน Blognone)

เอกสารที่น่าสนใจที่สุดคงเป็น ขมธอ. 20-2561 ที่ล้อมาจาก NIST SP800-63B

ความแตกต่างทางเทคนิคของการยืนยันตัวตน (authentication) ประเภทต่างๆ เ่ช่น

  • รหัสลับจดจำ (memorized secret) แนะนำให้ความยาวอย่างน้อย 8 ตัว หรือหากสุ่มโดยระบบยาวอย่างน้อย 6 ตัว, ต้องตรวจสอบกับพจนานุกรมและรหัสที่เคยถูกโจมตี, มีมาตรวัดระดับความปลอดภัย, มีการจำกัดจำนวนครั้ง โดยมีส่วนที่ต่างจาก NIST สำคัญๆ เช่น

    • ไม่ห้ามการตรวจสอบรหัสผ่านเพียงบางส่วน (truncated)
    • ไม่บังคับเก็บรหัสผ่านในรูปแบบแฮชที่แข็งแรงพร้อมค่า salt
    • ไม่แนะนำว่าการตั้งรหัสควรเลิกบังคับกฎการผสมประเภทตัวอักษร, อนุญาตให้ paste รหัสผ่านได้, หรือควรรองรับรหัสผ่านอย่างน้อย 64 ตัวอักษร
  • อุปกรณ์สื่อสารช่องทางอื่น (out-of-band) อนุญาตให้ใช้โทรศัพท์บ้าน (PSTN) และ SMS ได้ตามเดิม ต่างจาก NIST ที่จำกัดการใช้ SMS โดยผู้ที่จะใช้งานต้องแจ้งผู้ใช้ให้ทราบความเสี่ยงและต้องมีทางเลือกอื่นให้ใช้งานได้

ปัจจุบันการยืนยันตัวตนของธนาคารไทยแทบทั้งหมดเป็นการใช้รหัสผ่านร่วมกับ SMS หลายแห่งไม่รองรับคำแนะนำใหม่ๆ ของ NIST เช่นการจำกัดความยาวรหัสผ่านไว้สั้นมาก หรือไม่ยอมให้ paste รหัสผ่านจากซอฟต์แวร์จัดการรหัสผ่าน การดัดแปลงเช่นนี้คงทำให้แนวทางการยืนยันตัวตนของธนาคารในไทยผ่าน IAL2 โดยไม่ต้องมีการปรับปรุงระบบเพิ่มแต่อย่างใด

ที่มา - ETDA

Get latest news from Blognone

Comments

By: itpcc
ContributoriPhoneRed HatUbuntu
on 2 October 2018 - 09:46 #1073862
itpcc's picture

IAL2 มันคืออะไรครับ? ผมหาของไทยแล้วไม่เจอเลย 😅


บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P

By: Floating Rotten Dog
iPhoneWindows PhoneAndroidWindows
on 2 October 2018 - 11:59 #1073897 Reply to:1073862
Floating Rotten Dog's picture

ผมหาในกูเกิลแล้วเจออันนี้ครับ “Level of identity assurance (IAL2)”

By: nzing82
AndroidWindows
on 2 October 2018 - 14:07 #1073925

อ่านผ่านๆนึกว่า ขมคอ