การยืนยันตัวตน (Authentication)

ภายใต้หลักการ Zero Trust

อ้างอิงเอกสาร

แนวปฏิบัติการใช้ซีโร่ทรัสต์ (Zero Trust Guidelines) หน้าที่ 11 และบรรทัดที่ 11 This is an alt text.

ความหมายและหลักการ

ในเอกสารหน้า 11 ได้ระบุถึงหัวใจสำคัญของ Zero Trust คือหลักการ “จงอย่าเชื่อทันที จงตรวจสอบเสมอ (Never Trust, Always Verify)” ซึ่งนำไปสู่แนวปฏิบัติเรื่อง “การตรวจสอบอย่างชัดเจน (Verify Explicitly)”

ดังนั้น การยืนยันตัวตน (Authentication) ในบริบทของหน้านี้ จึงไม่ใช่เพียงแค่การกรอกรหัสผ่านเพื่อเข้าใช้งานครั้งเดียวแล้วจบไป แต่หมายถึง:

“กระบวนการที่ระบบจะต้องตรวจสอบและพิสูจน์ทราบตัวตนของผู้ใช้งานใหม่อย่างต่อเนื่องและชัดเจนในทุกครั้งที่มีการร้องขอเข้าถึงข้อมูล โดยไม่มีข้อยกเว้นว่าผู้ใช้งานนั้นจะอยู่ภายในหรือภายนอกเครือข่าย”

“กระบวนการที่ระบบจะต้องตรวจสอบและพิสูจน์ทราบตัวตนของผู้ใช้งานใหม่อย่างต่อเนื่องและชัดเจนในทุกครั้งที่มีการร้องขอเข้าถึงข้อมูล โดยไม่มีข้อยกเว้นว่าผู้ใช้งานนั้นจะอยู่ภายในหรือภายนอกเครือข่าย”

เราเจอสิ่งนี้ในชีวิตประจำวันอย่างไร?

หลักการ “ตรวจสอบอย่างชัดเจน” ในหน้า 11 สะท้อนออกมาเป็นการใช้งานดิจิทัลในชีวิตประจำวันของนักศึกษาและคนทำงาน ดังนี้:

เมื่อเข้าแอปธนาคาร
- สิ่งที่เจอ: คุณเปิดแอปแล้ววางโทรศัพท์ทิ้งไว้สักพัก พอกลับมาจะโอนเงิน ระบบจะ “ดีดออก” (Session Timeout) และบังคับให้คุณสแกนนิ้วหรือใส่รหัส PIN ใหม่อีกครั้ง
- เหตุผล: ระบบกำลังทำตามหลักการ Verify Explicitly คือไม่เชื่อว่าคนที่ถือโทรศัพท์ตอนนี้ยังเป็นคุณคนเดิมหรือไม่ จึงต้อง “ตรวจสอบซ้ำ” เพื่อความปลอดภัย
- สถานการณ์ที่เจอ: เจอตอนที่เราจะกดโอนเงินจ่ายค่าของหรือโอนให้เพื่อนครับ แม้ว่าเราจะเปิดแอปและล็อกอินเข้ามาแล้ว แต่พอถึงจังหวะสำคัญที่เงินจะออกจากกระเป๋า ระบบมันจะบังคับให้เราต้อง สแกนใบหน้า หรือ กดรหัส PIN ซ้ำอีกรอบทันที เพื่อยืนยันให้แน่ใจว่าคนที่กำลังถือโทรศัพท์กดโอนเงินอยู่ตอนนั้น คือตัวเราจริงๆ ไม่ใช่คนอื่นที่แอบมาใช้เครื่อง
เมื่อล็อกอินเข้าอีเมลจากที่แปลกๆ
- สิ่งที่เจอ: ปกติคุณใช้อีเมลคณะที่หอพักก็เข้าได้เลย แต่วันหนึ่งไปนั่งร้านกาแฟต่างจังหวัด พอกดล็อกอิน ระบบกลับถามหา “รหัส OTP” หรือแจ้งเตือนว่า “มีการเข้าใช้งานจากอุปกรณ์ที่ไม่รู้จัก”
- เหตุผล: ระบบตรวจสอบบริบทแล้วพบว่า “สถานที่” หรือ “อุปกรณ์” เปลี่ยนไป จึงต้องขอการยืนยันตัวตนที่เข้มข้นขึ้น (Verify Explicitly)
- สถานการณ์ที่เจอ: เจอตอนที่เราไปใช้คอมพิวเตอร์เครื่องอื่นที่ไม่ใช่เครื่องประจำ (เช่น คอมฯ คณะ หรือคอมฯ เพื่อน) พอเรากรอกรหัสผ่านอีเมลถูกต้องแล้ว ระบบมันยังไม่ยอมให้เข้าใช้งานทันที แต่มันจะส่งการแจ้งเตือนมาที่มือถือเราให้กด “ยืนยัน” หรือส่ง “รหัสตัวเลข” มาให้เราเอไปกรอกหน้าคอมฯ ก่อน เพื่อเช็กว่าเจ้าของบัญชีตัวจริงรับรู้และอนุญาตให้เข้าใช้งานจากเครื่องแปลกหน้านั้นครับ
การเชื่อมต่อ Wi-Fi สาธารณะ
- สิ่งที่เจอ: เมื่อคุณต่อ Wi-Fi ห้างหรือมหาลัย คุณต้องล็อกอินผ่านหน้าเว็บ (Captive Portal) ทุกครั้ง แม้จะเคยต่อมาแล้วเมื่อวาน
- เหตุผล: เครือข่ายไม่เชื่อถืออุปกรณ์ของคุณโดยอัตโนมัติ (Never Trust) จึงต้องบังคับให้ยืนยันตัวตนใหม่ทุกเซสชัน
- สถานการณ์ที่เจอ: เจอเวลาเราไปเดินห้างแล้วจะใช้ Wi-Fi ฟรีของค่ายมือถือหรือของห้างครับ พอเรากดเชื่อมต่อสัญญาณ Wi-Fi ติดแล้ว เราจะยังเล่นเน็ตไม่ได้ทันที แต่หน้าจอมือถือจะเด้งหน้าเว็บขึ้นมาให้เรา กรอกเบอร์โทรศัพท์ หรือ กดปุ่มล็อกอิน เพื่อลงทะเบียนยืนยันตัวตนก่อน ระบบถึงจะเปิดประตูอนุญาตให้เราออกสู่อินเทอร์เน็ตได้ครับ

สรุป

การยืนยันตัวตนตามหลักการในหน้า 11 สอนให้เรารู้ว่า “ความสะดวกสบายต้องมาทีหลังความปลอดภัย” การที่เราต้องคอยสแกนนิ้ว ยืนยัน OTP หรือล็อกอินใหม่บ่อยๆ ไม่ใช่ความผิดปกติของระบบ แต่คือการทำงานของกลไก “ตรวจสอบอย่างชัดเจน” ที่ช่วยปกป้องข้อมูลสำคัญของเราจากการถูกสวมรอยในโลกไซเบอร์ครับ