Skip to content
image 9
IAL & AAL

IAL และ AAL คืออะไร? รู้จักความน่าเชื่อถือและความปลอดภัยในการพิสูจน์ตัวตนบนโลกออนไลน์ 

ปี 2565 ที่ผ่านมา ประเทศไทยมีเหตุอาชญากรรมไซเบอร์เกี่ยวกับการหลอกลวงให้ซื้อสินค้าออนไลน์ ทำธุรกรรมหรือการโอนเงินรวมกว่า 70,000 คดี นับเป็นอันดับ 1 ของอาชญากรรมไซเบอร์ทั้งหมดที่เกิดขึ้นในประเทศไทย เหตุเพราะปัจจุบันความก้าวหน้าทางเทคโนโลยีที่สูงขึ้นทำให้การทำธุรกรรมต่างๆ มีความสะดวกและรวดเร็ว ซึ่งในอีกมุมหนึ่งก็เกิดเป็นช่องว่างที่ทำให้มิจฉาชีพอาศัยความสะดวกนี้ก่ออาชญากรรมไซเบอร์ที่ทำให้มีผู้เสียหายเกิดขึ้นเป็นจำนวนมาก 

เพื่อป้องกันความเสี่ยงในการเกิดอาชญากรรมไซเบอร์และเพื่อยกระดับความปลอดภัยในการทำธุรกรรม ในบทความนี้ 8Docu จะพาทุกคนไปรู้จักกับ IAL (ระดับในการพิสูจน์ตัวตน) และ AAL (ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน) ว่าคืออะไร มีขั้นตอนการใช้งานยังไง แล้วจะช่วยเพิ่มความปลอดภัยในการทำธุรกรรมของเราได้อย่างไรบ้าง ? 

IAL หรือ Identity Assurance Level 

คือระดับในการพิสูจน์ตัวตนมีด้วยกันทั้งหมด 3 ระดับ เริ่มตั้งแต่การยืนยันตัวตนโดยไม่ใช้ข้อมูลใดๆ ไปจนถึงการยืนยันตัวตนที่มีความน่าเชื่อถือสูงใกล้เคียงกับการพบหน้าแบบ Face-to-Face ยิ่งมีระดับสูงมากเท่าไหร่ ยิ่งทำให้มั่นใจได้ว่าผู้ใช้นั้นมีตัวตนจริงๆ เป็นการช่วยลดโอกาสของการพิสูจน์ตัวตนที่ผิดพลาดและป้องกันการปลอมแปลงตัวตนในโลกออนไลน์ 

IAL1: Identity Assurance Level 1 

ไม่มีข้อกำหนดในการตรวจสอบตัวตนของบุคคล การให้ข้อมูลต่างๆ จะเกิดขึ้นโดยผู้ใช้เป็นผู้ยืนยันข้อมูลด้วยตนเอง (Self-Asserted) ไม่มีการตรวจสอบหรือพิสูจน์ข้อมูลโดยผู้ให้บริการพิสูจน์และยืนยันความถูกต้องของตัวบุคคล (Identity Provider) เช่น การสมัครใช้บัญชี Social Media ต่างๆ (Facebook, Twitter, YouTube, TikTok) 

IAL1 ยังแบ่งแยกย่อยได้อีกเป็น 3 ระดับคือ 

IAL1.1: ไม่มีการตรวจสอบข้อมูลหรือหลักฐานการแสดงตนจากผู้ใช้ ผู้ใช้จะเป็นผู้ยืนยันหลักฐานด้วยตนเองทั้งหมด 

IAL1.2: มีการขอหลักฐานแสดงตนจากผู้ใช้ โดยเป็นการขอสำเนาต่างๆ เช่น สำเนาบัตรประชาชนหรือสำเนาหนังสือเดินทาง 

IAL1.3: มีการขอหลักฐานแสดงตนจากผู้ใช้ เป็นบัตรประชาชนหรือหนังสือเดินทางฉบับจริง แต่ไม่ได้มีการตรวจสอบกับแหล่งที่มาของหลักฐาน เช่น กรมการปกครองหรือผู้ให้ข้อมูลที่น่าเชื่อถือ  

image 4
IAL 1

IAL2: Identity Assurance Level 2 

มีข้อกำหนดในการตรวจสอบข้อมูลและมีการขอหลักฐานในการยืนยันตัวตนของผู้ใช้ โดยจะต้องเป็นหลักฐานจากแหล่งข้อมูลที่มีความน่าเชื่อถือ เช่น การยืนยันตัวตนด้วยรหัสผ่าน การใช้เครื่องอ่านบัตรประชาชน การตรวจภาพใบหน้าและลายนิ้วมือของผู้ใช้หรือการตรวจสอบข้อมูลผู้ใช้ผ่าน Email และหมายเลขโทรศัพท์ มักใช้กับการเปิดใช้บัญชีธนาคารหรือสมัครใช้แอปพลิเคชันที่เกี่ยวข้องกับการซื้อขายสินค้าออนไลน์ 

IAL2 ยังแบ่งแยกย่อยได้อีกเป็น 3 ระดับคือ 

IAL2.1  

• แสดงตนแบบพบหน้าหรือผ่านแอปพลิเคชันหรือ Kiosk 

• ใช้เครื่องอ่านบัตร (Dip Chip) ตรวจสอบหลักฐานแสดงตนอย่างบัตรประชาชนหรือหนังสือเดินทาง 

• ตรวจสอบบุคคล จากลักษณะที่ปรากฏเทียบกับรูปถ่ายจากหลักฐานแสดงตน 

• ตรวจสอบช่องทางการติดต่อ เช่น Email หรือหมายเลขโทรศัพท์ 

IAL2.2 

• เพิ่มการตรวจสอบสถานะออนไลน์ของบัตรประชาชนหรือหนังสือเดินทาง 

IAL2.3 

• เพิ่มการตรวจสอบบุคคลจากใบหน้าหรือลายนิ้วมือ (Biometrics) เทียบกับข้อมูลจากหลักฐานแสดงตน 

image 6
IAL2

IAL3: Identity Assurance Level 3 

มีระดับความน่าเชื่อถือสูงที่สุด เป็นการเพิ่มความน่าเชื่อถือจาก IAL2 ด้วยการขอเอกสารหรือหลักฐานที่แสดงถึงตัวตนของผู้ใช้อย่างน้อย 2 ชิ้น IAL3 จะสามารถทำได้เฉพาะการพบเจอกันแบบ Face-to-Face หรือหากทำผ่านรูปแบบออนไลน์ ก็ต้องใช้ระบบที่มีความน่าเชื่อถือในระดับเดียวกันกับการนัดพบ มักใช้ในธุรกิจการเงิน ธนาคารหรือการทำธุรกรรมที่มีความเสี่ยงไปจนถึงการเซ็นสัญญาในเอกสารลับขององค์กร 

image 10
IAL3

นอกจาก IAL ที่เป็นระดับในการพิสูจน์ตัวตนของผู้ใช้แล้ว ก็ยังต้องมีสิ่งที่เรียกว่า AAL (Authenticator Assurance Level) ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตนในการทำงานควบคู่กันเพื่อให้เกิดความปลอดภัยสูงที่สุด 

AAL (Authenticator Assurance Level) คือ ระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน เป็นระดับของความเข้มงวดในกระบวนการยืนยันตัวตนของผู้ใช้ ซึ่งจะช่วยจำกัดโอกาสของการยืนยันตัวตนที่ผิดพลาดหรือการปลอมแปลงตัวตนได้ โดย AAL จะถูกแบ่งออกเป็น 3 ระดับเช่นเดียวกัน ได้แก่ 

AAL1: Authenticator Assurance Level 1 

การยืนยันตัวตนโดยใช้ปัจจัยเดียว (Single-Factor Authentication)  

เป็นระดับที่ไม่มีการตรวจสอบข้อมูลหรือหลักฐานของผู้ใช้ ข้อมูลต่างๆ ผู้ใช้จะเป็นผู้ยืนยันด้วยตนเอง โดยใช้การยืนยันตัวตนเพียงอย่างใดอย่างหนึ่ง เช่น การกรอกรหัสผ่าน, การกรอกรหัส OTP ในการเข้าใช้งาน, การใช้ซอฟต์แวร์เข้ารหัสลับหรือการใช้อุปกรณ์เข้ารหัสลับและการใช้งาน Out-of-Band Device 

การใช้ AAL1 ช่วยป้องกัน MitM Attack (การดักฟังหรือเป็นตัวกลางในการรับส่ง) ของช่องทางที่รับส่งข้อมูล  

image 11
AAL 1

เกร็ดน่ารู้ 

Out-of-Band Device คืออะไร? 

Out-of-Band Device หมายถึง อุปกรณ์สื่อสารช่องทางอื่น เป็นอุปกรณ์ที่สามารถสื่อสารกับผู้พิสูจน์และยืนยันตัวตน เช่น เมื่อเรากำลังเข้าใช้งานโปรแกรมหรือเว็บไซต์ผ่านคอมพิวเตอร์แล้วระบบได้ส่งรหัส OTP มาทางหมายเลขโทรศัพท์ของเรา เพื่อให้เรานำรหัสที่ได้นี้กลับไปกรอกในคอมพิวเตอร์อีกครั้ง หมายความว่า โทรศัพท์มือถือของเราได้กลายเป็น Out-of-Band Device แล้วนั่นเอง 

AAL2: Authenticator Assurance Level 2 

เป็นการยืนยันตัวตนโดยใช้สองปัจจัยที่ต่างกัน (Two-Factor Authentication) เช่น การกรอกรหัสผ่านร่วมกับการใช้ OTP หรือการใช้ Biometrics ร่วมกับการใช้ซอฟต์แวร์เข้ารหัสลับ 

การใช้ AAL2 ช่วยป้องกัน MitM Attack (การดักฟังหรือเป็นตัวกลางในการรับส่ง) ของช่องทางที่รับส่งข้อมูล และป้องกัน Replay Attack (การคัดลอกข้อมูลเพื่อนำมาใช้เข้าสู่ระบบเพื่อปลอมแปลงตัวตน) 

image 7
AAL2

AAL3: Authenticator Assurance Level 3 

การยืนยันตัวตนโดยใช้สองปัจจัยที่ต่างกัน (Two-Factor Authentication) โดยต้องมีปัจจัยหนึ่งเป็นกุญแจเข้ารหัสและใช้งานการเข้ารหัสลับ (Cryptography) เมื่อใส่รหัสผ่านถูกจึงจะสามารถใช้งานได้ 

การใช้ AAL3 ช่วยป้องกัน MitM Attack (การดักฟังหรือเป็นตัวกลางในการรับส่ง) ของช่องทางที่รับส่งข้อมูล และป้องกัน Replay Attack (การคัดลอกข้อมูลเพื่อนำมาใช้เข้าสู่ระบบเพื่อปลอมแปลงตัวตน) ไปจนถึงการป้องกัน IdP Impersonation Attack (การปลอมตัวเป็น IdP ที่ออกสิ่งที่ใช้ยืนยันตัวตนได้) 

image 5
AAL3
image 8
AAL3

หากคุณกำลังมองหาเทคโนโลยีที่จะช่วยให้การทำงานด้านเอกสารของคุณเป็นไปอย่างปลอดภัย สะดวก รวดเร็ว ลื่นไหล และมีประสิทธิภาพมากขึ้น เลือกใช้งานระบบ e-Signature และ e-Document จาก 8Docu   

สะดวก รวดเร็ว ครอบคลุมทุกการใช้งานด้านเอกสาร ปลอดภัยด้วยเทคโนโลยีบล็อกเชน มีระบบความน่าเชื่อถือระดับ AAL Level 3 ใช้งานได้แบบไม่จำกัดจำนวนเอกสาร  

บอกลาการใช้เอกสารแบบเก่า ก้าวสู่วันใหม่ที่ปลอดภัยกว่า รวดเร็วกว่า เพื่อประสิทธิภาพที่สูงกว่าในการทำงานได้แล้ววันนี้ เลือก e-Signature และ e-Document จาก 8Docu  

#DV8 #DV8Thailand #8Docu #ITSolution #eSignature #eDocument #IAL #ALL 

Cover ยกระดับ e document