เดี๋ยวนี้เห็นมีข่าวเรื่องการแฮกบัญชีธนาคารบ่อยมากๆ
ผมเห็นควรว่าแต่ละธนาคาร ควรมีมาตรการ มีการเพิ่มความปลอดภัย เกี่ยวกับการแจ้งเตือนการ login จากคอมพิวเตอร์ หรือมือถืออื่น (Computer Session)
ที่ไม่ใช่เครื่องที่ผู้ใช้งาน ใช้งานอยู่ประจำ โดยใช้ การยืนยันสองทาง (two way authentication) เพื่อเพิ่มความปลอดภัยของระบบใด้แล้ว (แม้แต่ระบบ facebook หรือเกมเช่น steam ยังมีระบบนี้ ระบบของธนาคารซึ่งต้องการความปลอดภัยที่มากกว่า ก็ควรจะมีเช่นเดียวกัน
ยกตัวอย่างของระบบนี้
เช่น การ login เข้า id google หรือ android เมื่อมีการเข้าใช้งานจากอุปกรณ์ใหม่ เช่นคอมใหม่ ก็จะต้องมีการส่ง authentication ยืนยันโดยการส่ง SMS ไปมือถือ
ส่วนถ้าล๊อคอินจากมือถือใหม่ ก็จะต้องมีการ ยืนยันจากอีเมล์ หรือ เบอร์มือถือสำรองอื่นๆแทน เป็นต้น
ทำไมการแจ้งเตือน การล๊อคอินเข้ามือถือใหม่ หรือคอมใหม่จึงมีความสำคัญ?
ปรกติผู้ที่ใช้งานบัญชีออนไลน์ในการโอนเงินอยู่เป็นประจำ มักจะไม่ใช้คอมสาธารณะ มือถือ หรือ คอมเครื่องอื่น อยู๋แล้วเพื่อเลี้ยงการถูกโจรกรรมข้อมูล ดังนั้นถ้าเกิดการ login เข้าสู่ระบบ จากคอมเครื่องอื่นๆที่ไม่ใช่เครื่องเดิม ระบบควรจะจะมีการตรวจสอบโดยการส่ง authentication ไปยังผู้ใช้ ไม่ทางใดก็ทางหนึ่ง หรืออาจจะสองทางขึ้นไป เพิ่อยืนยันว่าผู้ใช้ในคอม หรือมือถือเครื่องใหม่นั้น เป็นผู้ใช้เก่าจริง
การนำไปปรับใช้กับระบบธนาคาร
เว็บธนาคารอาจใช้การส่ง uniqe cookie เข้าไปเก็บใว้ในเครื่องของผู้ใช้งาน เมื่อมีการใช้งานจากคอมเครื่องใหม่ หรือ บราวเซอร์ใหม่ ผู้ใช้ก็ควรจะต้องทำการยืนยันใหม่ทุกครั้ง หรือ อาจจะเพิ่มเติมการใส่รหัสยืนยันพิเศษอีกครั้ง (อาจจะเป็นการส่งรหัสทางอีเมล์ หรือ ใส่สรัสพิเศษ เช่น รหัสบัตร ATM ก็ใด้) เพื่อยืนยันการอนุญาติให้ login เข้าเว็บของธนาคารใด้ จากคอม หรือมือถือเครื่องใหม่นั้น (หลังจากยืนยันแล้ว ก็คอมเครื่องนั้นก็ไม่จำเป็นต้องทำการยืนยันอีก)
หารผู้ไม่ประสงค์ดีต้องการ hack ก็จะไม่สามารถเข้าไปทำธุรกรรมใดๆใด้เลย เพราะไม่สามารถ login เว็บใด้แม้มีพาสเวรด์เข้าเว็บใด้ก็ตาม
ปล.
1. จริงๆมันมีระบบที่ดีกว่า คือ hardware token แต่คิดว่าทางธนาคารคงไม่มีทางแจกให้ทุกคนที่เปิดบัญชีกับธนาคารใช้ฟรีแน่ๆ เพราะมันเพิ่มต้นทุนให้กับธนาคาร
2. ถ้าต้องการลดงบในการพัทนาในส่วนนี้ ผมแนะนำให้ผู้พัทนาระบบ ผูกบัญชีเข้ากับระบบที่มีการตรวจสอบเรื่องนี้อยู่แล้ว (google / facebook) เพื่อให้ทางเว็บของธนาคาร สามารถดึงข้อมูลสำคัญของ user ที่ใช้งานอยู่ในปัจจุบัณ ไปตรวจสอบใด้ว่า เป็นผู้ใช้เดิมหรือไม่
ทั้งนี้ ไม่ใด้หมายถึงว่าสามารถใช้ facebook / google ในการ login แทนใด้นะครับ แต่หมายถึงการอนุญาติให้ทางเว็บสามารถดึงข้อมูลมากจากแหล่งนั้นใด้ต่างหาก
ซึ่งข้อมูลตรงนี้นอกจากเพิ่มความปลอดภัยให้ระบบใด้แล้ว ธนาคารยังสามารถนำข้อมูลส่วนนี้ ไปใช้ประโยชน์ทางการตลาดอื่นๆใด้อีกด้วย
แนะนำระบบตรวจสอบ และแจ้งเตือนการล๊อกอินเข้าใช้งาน ของระบบธนาคาร จากคอมหรือมือถือเครื่องใหม่
ผมเห็นควรว่าแต่ละธนาคาร ควรมีมาตรการ มีการเพิ่มความปลอดภัย เกี่ยวกับการแจ้งเตือนการ login จากคอมพิวเตอร์ หรือมือถืออื่น (Computer Session)
ที่ไม่ใช่เครื่องที่ผู้ใช้งาน ใช้งานอยู่ประจำ โดยใช้ การยืนยันสองทาง (two way authentication) เพื่อเพิ่มความปลอดภัยของระบบใด้แล้ว (แม้แต่ระบบ facebook หรือเกมเช่น steam ยังมีระบบนี้ ระบบของธนาคารซึ่งต้องการความปลอดภัยที่มากกว่า ก็ควรจะมีเช่นเดียวกัน
ยกตัวอย่างของระบบนี้
เช่น การ login เข้า id google หรือ android เมื่อมีการเข้าใช้งานจากอุปกรณ์ใหม่ เช่นคอมใหม่ ก็จะต้องมีการส่ง authentication ยืนยันโดยการส่ง SMS ไปมือถือ
ส่วนถ้าล๊อคอินจากมือถือใหม่ ก็จะต้องมีการ ยืนยันจากอีเมล์ หรือ เบอร์มือถือสำรองอื่นๆแทน เป็นต้น
ทำไมการแจ้งเตือน การล๊อคอินเข้ามือถือใหม่ หรือคอมใหม่จึงมีความสำคัญ?
ปรกติผู้ที่ใช้งานบัญชีออนไลน์ในการโอนเงินอยู่เป็นประจำ มักจะไม่ใช้คอมสาธารณะ มือถือ หรือ คอมเครื่องอื่น อยู๋แล้วเพื่อเลี้ยงการถูกโจรกรรมข้อมูล ดังนั้นถ้าเกิดการ login เข้าสู่ระบบ จากคอมเครื่องอื่นๆที่ไม่ใช่เครื่องเดิม ระบบควรจะจะมีการตรวจสอบโดยการส่ง authentication ไปยังผู้ใช้ ไม่ทางใดก็ทางหนึ่ง หรืออาจจะสองทางขึ้นไป เพิ่อยืนยันว่าผู้ใช้ในคอม หรือมือถือเครื่องใหม่นั้น เป็นผู้ใช้เก่าจริง
การนำไปปรับใช้กับระบบธนาคาร
เว็บธนาคารอาจใช้การส่ง uniqe cookie เข้าไปเก็บใว้ในเครื่องของผู้ใช้งาน เมื่อมีการใช้งานจากคอมเครื่องใหม่ หรือ บราวเซอร์ใหม่ ผู้ใช้ก็ควรจะต้องทำการยืนยันใหม่ทุกครั้ง หรือ อาจจะเพิ่มเติมการใส่รหัสยืนยันพิเศษอีกครั้ง (อาจจะเป็นการส่งรหัสทางอีเมล์ หรือ ใส่สรัสพิเศษ เช่น รหัสบัตร ATM ก็ใด้) เพื่อยืนยันการอนุญาติให้ login เข้าเว็บของธนาคารใด้ จากคอม หรือมือถือเครื่องใหม่นั้น (หลังจากยืนยันแล้ว ก็คอมเครื่องนั้นก็ไม่จำเป็นต้องทำการยืนยันอีก)
หารผู้ไม่ประสงค์ดีต้องการ hack ก็จะไม่สามารถเข้าไปทำธุรกรรมใดๆใด้เลย เพราะไม่สามารถ login เว็บใด้แม้มีพาสเวรด์เข้าเว็บใด้ก็ตาม
ปล.
1. จริงๆมันมีระบบที่ดีกว่า คือ hardware token แต่คิดว่าทางธนาคารคงไม่มีทางแจกให้ทุกคนที่เปิดบัญชีกับธนาคารใช้ฟรีแน่ๆ เพราะมันเพิ่มต้นทุนให้กับธนาคาร
2. ถ้าต้องการลดงบในการพัทนาในส่วนนี้ ผมแนะนำให้ผู้พัทนาระบบ ผูกบัญชีเข้ากับระบบที่มีการตรวจสอบเรื่องนี้อยู่แล้ว (google / facebook) เพื่อให้ทางเว็บของธนาคาร สามารถดึงข้อมูลสำคัญของ user ที่ใช้งานอยู่ในปัจจุบัณ ไปตรวจสอบใด้ว่า เป็นผู้ใช้เดิมหรือไม่
ทั้งนี้ ไม่ใด้หมายถึงว่าสามารถใช้ facebook / google ในการ login แทนใด้นะครับ แต่หมายถึงการอนุญาติให้ทางเว็บสามารถดึงข้อมูลมากจากแหล่งนั้นใด้ต่างหาก
ซึ่งข้อมูลตรงนี้นอกจากเพิ่มความปลอดภัยให้ระบบใด้แล้ว ธนาคารยังสามารถนำข้อมูลส่วนนี้ ไปใช้ประโยชน์ทางการตลาดอื่นๆใด้อีกด้วย