Tags:
Node Thumbnail

ในช่วงที่ผ่านมาจากข่าวพ่อค้าถูกขโมยเงินทำให้เป็นที่กังวลเรื่องความปลอดภัยของการทำธุรกรรมออนไลน์ทั้งในส่วนของธนาคารผู้ให้บริการและผู้ใช้บริการเอง ในบทความนี้จะมาแนะนำการทำธุรกรรมทางการเงินผ่านอินเทอร์เน็ตของธนาคาร Barclays ในประเทศอังกฤษที่มีระบบการยืนยันความเป็นเจ้าของบัญชีที่ต่างออกไป

ธนาคารมีวิธีในการยืนยันตัวบุคคลที่ช่วยเพิ่มความปลอดภัยให้กับเจ้าของบัญชีในการเข้าใช้งาน เรียกว่า PINsentry เพื่อความเข้าใจที่ดียิ่งขึ้นขออธิบายรายละเอียดในส่วนนี้ก่อนจะเริ่มการเข้าทำธุรกรรมจากบริการของธนาคาร

PINsentry

เป็นเครื่องมือที่ใช้ในการสร้างรหัสแปดหลักสำหรับใช้ในการยืนยันตัวบุคคลหรือยืนยันการทำรายการผ่านอินเทอร์เน็ตซึ่งไม่มีการส่ง one time password เข้าหมายเลขโทรศัพท์ โดยสามารถรับรหัสดังกล่าวได้ 2 วิธี

No Description

PINsentry card reader

เครื่องอ่านบัตรหรือ token ตัวเครื่องธนาคารจะส่งมาให้ตามที่อยู่ที่ให้ไว้กับธนาคารหลังจากผู้ใช้บริการส่งคำขอเพื่อทำธุรกรรมออนไลน์ ซึ่งไม่เสียค่าใช้จ่ายสำหรับการขอครั้งแรก โดยเครื่องอ่านบัตรไม่ได้มีความจำเพาะสำหรับบุคคลดังนั้นสามารถใช้ร่วมด้วยกันได้หากคนใกล้ชิดมีเครื่องนี้อยู่แล้ว

ก่อนจะขอรหัสทุกครั้งผู้ใช้ต้องป้อนรหัสบัตรเดบิต 4 หลัก (รหัสเดียวกับรหัสที่ใช้กดเงินผ่านตู้เอทีเอ็มหรือชำระค่าบริการสินค้าผ่านบัตร) หากป้อนรหัสบัตรเดบิตผิด 3 ครั้งเมื่อใช้เครื่องอ่าน บัตรดังกล่าวจะถูกล็อกและไม่สามารถทำรายการได้จนกว่าจะปลดล็อกที่ตู้กดเงินของธนาคารหรือที่ทำการสาขาต่างๆ
รหัสที่ได้จากเครื่องอ่าน PINsentry ไม่จำกัดเวลา เมื่อกดขอใช้รหัสแล้วสามารถจดไว้ใช้งานภายหลังได้

Mobile PINsentry

เพื่อความสะดวกในการรับรหัสและไม่จำเป็นต้องพกพาเครื่องอ่านตลอดเวลา สามารถขอรหัสได้จากเมนูบนแอปพลิเคชั่นMobile Banking ของธนาคารเอง เมื่อทำการติดตั้งแอปพลิเคชั่นครั้งแรกต้องใช้เวลา 10 วันถึงจะสามารถเข้าใช้งานในเมนูนี้ได้ โดยระหว่างนั้นการยืนยันการทำธุรกรรมทั้งหมดต้องใช้รหัสจากเครื่องอ่าน PINsentry ไปก่อน

รหัสที่ขอจาก Mobile PINsentry จะต่างจากเครื่องอ่าน โดยจะต้องใช้งานภายใน 30 วินาทีสำหรับการทำรายการ

เมื่อเปิดใช้งานแล้ว PINSentry จะสามารถใช้ยืนยันตัวตนได้ ตามประเภทของการทำธุรกรรม แบ่งเป็น 3 ประเภท ดังนี้

  • Identify: ใช้สำหรับการเปลี่ยนข้อมูลบัญชี เช่น ข้อมูลส่วนบุคคล หรือที่อยู่, เพิ่มบุคคลหรือบริษัทใหม่ที่ใช้ในการโอนเงินหรือชำระสินค้า, ไปจนถึงเปลี่ยนแปลงวิธีการเข้าใช้งานหรือรหัสผ่าน
  • Sign: ยืนยันการทำรายการ เช่น การโอนเงินออกจากบัญชี
  • Respond: สำหรับการตรวจสอบเมื่อลงทะเบียนใช้บริการต่างๆของธนาคาร เช่น Mobile Banking

ในส่วนนี้เรามาดูการเข้าใช้งานซึ่งการทำธุรกรรมสามารถทำได้ผ่านบริการของธนาคาร 2 ช่องทาง คือ

  • Barclays online banking: สำหรับเดสทอป ในบทความนี้จะทดลองการล็อกอิน
  • Barclays mobile banking: สำหรับสมาร์ทโฟนหรือแทบเลต ในบทความนี้จะสาธิตการติดตั้งแอปพลิเคชั่นและลงทะเบียนใช้งาน

Barclays online banking

ผู้ใช้บริการสามารถลงทะเบียนและเข้าสู่ระบบได้จากเว็บไชต์ธนาคาร

ขั้นตอนการเข้าใช้งานธนาคารออนไลน์

  • กรอกข้อมูลนามสกุลของเจ้าของบัญชี
  • ในการเข้าใช้งานสามารถเลือกข้อมูลที่ใช้ในการยืนยันตัวตนได้ดังนี้
    • Membership number: จะได้รับหมายเลขนี้เมื่อเปิดบัญชีใหม่กับธนาคาร
    • Card number: หมายเลขบัตรเดบิต 16 หลัก
    • Sort code and account number: หมายเลขประจำสาขาของธนาคารและเลขบัญชี ซึ่งเลขชุดนี้แสดงอยู่บนบัตรเดบิตเช่นเดียวกัน

No Description

  • เมื่อกรอกข้อมูลเรียบร้อยแล้วต้องยืนยันรหัสผ่านซึ่งสามารถทำได้ 2 วิธี คือ

    • กรอก PINsentry ในกรณีนี้เราสามารถขอรหัส Identify จากเครื่องอ่าน PINsentry หรือ Mobile PINsentry มาล็อกอินได้
    • รหัสผ่าน 5 หลักและ memorable word รหัสผ่านได้รับทางจดหมายหลังจากเปิดบัญชี ผู้ใช้งานสามารถเปลี่ยนได้ภายหลังจากเข้าระบบเพื่อทำรายการและหากลืมรหัสดังกล่าวต้องแจ้งกับธนาคารเพื่อรับรหัสใหม่ที่จะส่งมาทางไปรษณีย์ เมื่อส่งคำขอรหัสใหม่จะทำให้ memorable word ที่เคยตั้งค่าไว้ถูกยกเลิกและต้องตั้งค่าใหม่อีกครั้ง Memorable word สามารถสร้างได้เมื่อเริ่มต้นใช้งานครั้งแรกสูงสุด 8 หลัก (ใช้ a-z และ 0-9) ซึ่งเมื่อเข้าใช้งานจะถูกสุ่มถามแค่บางหลักเท่านั้น จำนวน 2 หลัก

No Description

No Description

Barclays mobile banking

ผู้ใช้บริการสามารถติดตั้งแอปพลิเคชั่นซึ่งรองรับทั้ง iOS และ Android แต่เมื่อติดตั้งแล้วจะมีการยืนยันตัวตนผู้ใช้ก่อน

ขั้นตอนติดตั้งแอปพลิเคชั่น

หมายเหตุ: เนื่องจากไม่สามารถ screen capture ได้เพราะแอปพลิเคชั่นป้องกันไว้จึงใช้วิธีการถ่ายภาพจากจอโทรศัพท์

  • หลังจากติดตั้งแอปพลิเคชั่นเรียบร้อยแล้ว เข้าสู่หน้าแรก
  • ตั้งค่ารหัสผ่าน 5 หลัก
  • กรอกข้อมูลบัญชี (sort code: รหัสประจำสาขา และ account number: เลขที่บัญชี) ชื่อและที่อยู่ หมายเลขโทรศัพท์เพื่อยันยืนการลงทะเบียนติดตั้ง

No Description

  • หลังจากยืนยันข้อมูลจะได้รับ SMS พร้อมรหัส 6 หลักเพื่อตรวจสอบความถูกต้องของหมายเลขโทรศัพท์
  • เมื่อป้อนรหัสยืนยันดังกล่าว ขั้นตอนสุดท้ายคือการตรวจสอบความถูกต้องของบัญชีซึ่งจะมีให้เลือก 2 วิธี คือ
    • ยืนยันด้วย PINsentry กรอกเลข 4 หลักสุดท้ายของบัตรเดบิต, ป้อนรหัสบัตร 4 หลักของบัตรหลังจากเสียบบัตรเดบิตเข้ากับเครื่องอ่านบัตรเพื่อยืนยันตัวตนและเข้าสู่เมนู Respond, ป้อนรหัส 8 หลักที่แสดงบนแอปพลิเคชั่นลงในเครื่องอ่านบัตรเมื่อรหัสดังกล่าวถูกต้องจะได้รับรหัส 8 หลักจากเครื่องอ่านบัตรสำหรับการป้อนกลับอีกครั้ง
    • ยืนยันผ่านตู้กดเงินของธนาคาร(ไม่ได้ทดลองในส่วนนี้)

No Description

หลังจากป้อนรหัสสมบูรณ์แล้วก่อนการเริ่มต้นใช้งานต้องตั้งข้อความต้อนรับส่วนบุคคล (Personal greeting) เพื่อให้แน่ใจว่าเข้าใช้งานจากแอปพลิเคชั่นแท้จริงของทางธนาคาร

เมื่อติดตั้งและยืนยันบัญชีเรียบร้อยแล้ว สำหรับการใช้งานครั้งต่อไปสามารถเข้าทำรายการได้โดยการใช้รหัสผ่าน 5 หลักที่ตั้งไว้ในขั้นตอนแรก หากจำรหัสไม่ได้หรือป้อนรหัสผ่านผิดเกินจำนวนครั้งที่กำหนดต้องทำการลงทะเบียนข้อมูลบัญชีใหม่เพราะข้อมูลที่เคยป้อนไว้จะถูกลบทันที

No Description

สรุปการเข้าใช้งาน

บริการออนไลน์ของธนาคาร Barclays สามารถเปิดการใช้งานบริการใหม่ๆ ได้โดยไม่ต้องเดินทางไปที่สาขาแต่อย่างใด สามารถยืนยันตัวตนผู้ใช้ผ่านบัตรเอทีเอ็มชิป โดยผู้ใช้เพียงแต่ต้องขอเครื่องอ่านให้ส่งมาที่บ้านฟรี ในบทความนี้ผู้เขียนสามารถเปิดบริการธนาคารผ่านโทรศัพท์มือถือได้ด้วยการยืนยันตัวตนผ่านรหัสจากบัตรเอทีเอ็ม

Get latest news from Blognone

Comments

By: Elysium
ContributorWindows PhoneSymbianWindows
on 28 August 2016 - 23:50 #935879
Elysium's picture

รหัสที่ได้จากเครื่องอ่าน PINsentry ไม่จำกัดเวลา เมื่อกดขอใช้รหัสแล้วสามารถจดไว้ใช้งานภายหลังได้

อันนี้เป็น OTP หรือเปล่าครับ แล้วการที่มันไม่จำกัดเวลาจะกลายเป็นช่องโหว่หรือเปล่า


คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 August 2016 - 11:06 #935982 Reply to:935879
lew's picture

อันนี้เป็นข้อจำกัดปกติของ HOTP (เช่น rfc4226) ครับ ข้อดีของกระบวนการแบบนี้คือในอุปกรณ์สร้างรหัสไม่จำเป็นต้องมีนาฬิกา เช่นกรณีนี้เครื่องอ่านบัตรไม่ต้องมีนาฬิกาในตัว ก็จะลดความเสี่ยงจากปัญหาโดยเฉพาะนาฬิกาไม่ตรงในเครื่องอ่านไปได้

ส่วนการสร้างรหัสแบบจำกัดเวลา หรือ TOTP (เช่น rfc6238) จะทำได้ง่ายในกรณีที่อุปกรณ์สร้างรหัสามารถซิงก์เวลาได้โดยง่าย เช่น โทรศัพท์มือถือสามารถซิงก์เวลาได้จากทั้งเสาสัญญาณโทรศัพท์, เซิร์ฟเวอร์ NTP, หรือ GPS กรณีในบทความจะเห็นว่าธนาคารเลือกใช้ TOTP กับการสร้างรหัสจากโทรศัพท์มือถือ

ถามว่าเป็นช่องโหว่ไหม ต้องบอกว่ามันเป็น "ข้อจำกัดที่รู้กันโดยทั่วไป" ครับ


lewcpe.com, @public_lewcpe

By: pd2002 on 29 August 2016 - 00:31 #935889

pinsentry นี่หลักการเดียวกับ google authenticator เปล่าครับ

By: naja_return
AndroidWindows
on 29 August 2016 - 00:50 #935891

เพิ่งรุ้ว่าของ Barclay's มีบริการแบบนี้ด้วย
LLOYDS นี่ใช้เป็นเอา OTP จากหน้าเว็บใส่กดผ่าน IVR (IVR จะโทรเข้าหลังจากยืนยันทำธุรกรรม)
ส่วนการ Login ใช้ รหัสผ่าน 8 หลัก + memorable word เช่นกันครับ

By: pongmile
ContributorAndroidSymbianWindows
on 29 August 2016 - 03:08 #935894
pongmile's picture

Bitdefender อยู่ดีๆก็เตือนครับ เข้ามาหน้านี้

No Description


My facebook จิ้มๆ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 August 2016 - 04:33 #935895 Reply to:935894
lew's picture

ถ้าเตือน phishing แบบนี้ปัญหาคงไม่ได้อยู่ที่หน้านี้นะครับ คงต้องไปแจ้งทาง bitdefender เอง


lewcpe.com, @public_lewcpe

By: pongmile
ContributorAndroidSymbianWindows
on 29 August 2016 - 10:47 #935971 Reply to:935895
pongmile's picture

ผมเข้าเว็บไม่มีขึ้นเตือนนะครับ เข้าบทความข่าวนี้เตือนซะงั้น


My facebook จิ้มๆ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 August 2016 - 11:03 #935978 Reply to:935971
lew's picture

การคอมเมนต์ข่าวไม่ใช่การซัพพอร์ตปัญหาในเครื่องของคุณครับ

เครื่องของคุณมีปัญหาจากซอฟต์แวร์ที่คุณลงเอง ควรไปแก้ปัญหาด้วยตัวเอง


lewcpe.com, @public_lewcpe

By: pongmile
ContributorAndroidSymbianWindows
on 29 August 2016 - 12:05 #936002 Reply to:935978
pongmile's picture

ปัญหาทางผมไม่มีแล้วครับ มันโชว์แค่ครั้งเดียวครับ หลังจากกดยอมรับก็ไม่มีแล้ว แค่มาแจ้งไว้ครับ เผื่อทางเว็บจะตรวจสอบอะไร เช่นลิงค์ หรือรูปภาพ ถ้าปัญหามาจากตัว bitdefender ที่ False Alarm เองก็ไม่เป็นไรครับ


My facebook จิ้มๆ

By: ash_to_ash
AndroidWindows
on 29 August 2016 - 06:54 #935900 Reply to:935894

ผมไม่ขึ้นนะ หรือตัวอัพเดทใหม่ยังไม่มาหว่า?

By: pakoros
Windows PhoneAndroidWindows
on 29 August 2016 - 16:26 #936048 Reply to:935894

ของผมใช้ Biddefender ก็ขึ้นครับ เดาว่าลิงค์ หรือรูปภาพ อาจจะตีความเป็น พวกเว็บ ฟิชชิ่งได้ ข่าวอื่นปกติ ครับ

By: crisis_xiii
iPhone
on 29 August 2016 - 09:44 #935925
crisis_xiii's picture

ดูปลอดภัยดี แต่ความสะดวกก็ลดลงตามมา

By: Polwath
ContributoriPhoneWindows PhoneAndroid
on 29 August 2016 - 10:05 #935932
Polwath's picture

ระบบนี้ดีจริงๆ ดีกว่าของธนาคารไทยตั้งเลย แม้แต่ธนาคารกรุงเทพเองยังไม่ได้ขนาดนี้


Get ready to work from now on.

By: Virusfowl
ContributorAndroidSymbianWindows
on 31 August 2016 - 16:59 #936508

ถึงจะดูยุ่งยาก แต่ก็เพื่อความปลอดภัย แต่ข้อสำคัญคือ มันก็ดูว่า accessible อยากรู้ว่ามีระบบไหนใช้ขั้นตอนเพื่อความปลอดภัยแปลกๆ เหมือน easynet ที่ใช้ virtual keyboard ของตัวเอง จนทำให้มันไม่ accessible หรือเปล่านะ


@ Virusfowl

I'm not a dev. not yet a user.