เมนูนำทาง
การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง
มาตรฐานความปลอดภัยข้อมูลของสมาคมอุตสาหกรรมบัตรจ่ายเงิน (Payment Card Industry Data Security Standard) บังคับว่า บุคคลผู้จะเข้าถึงข้อมูลบัตรจ่ายเงินจากเครือข่ายนอกระบบ จะต้องพิสูจน์ตัวด้วยปัจจัยหลายอย่าง[21]แต่ถ้าเข้าถึงข้อมูลโดยความเป็นแอดมิน ก็จะต้องใช้ปัจจัยหลายอย่างเพื่อพิสูจน์ตนทุกครั้งแม้จะใช้เครือข่ายในระบบ
คำสั่งการบริการจ่ายเงิน (Payment Services Directive) ของสหภาพยุโรปที่มีผลเป็นกฎหมายในปลายปี 2019 บังคับให้ผู้ใช้ต้องพิสูจน์ตนด้วยปัจจัยหลายอย่างสำหรับการจ่ายเงินทางอิเล็กทรอนิกส์ในเขตเศรษฐกิจยุโรป[22]
ในประเทศอินเดีย ธนาคารทุนสำรองอินเดียบังคับให้ใช้การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยสองอย่าง (2FA) สำหรับธุรกรรมออนไลน์ที่ใช้บัตรจ่ายเงินด้วยรหัสผ่านหรือด้วยรหัสใช้ครั้งเดียวที่ส่งไปทางเอสเอ็มเอสแม้จะเลิกบังคับใช้ในปี 2016 สำหรับการจ่ายเงินไม่เกิน 2,000 รูปีอินเดีย เมื่อเลิกใช้ธนบัตรบางราคาที่สร้างปัญหาทางเศรษฐกิจโดยบริษัทต่างๆ เช่น อูเบอร์ ก็ถูกบังคับให้เปลี่ยนระบบจัดการทางการเงินเพื่อทำตามกฎแม้บริษัทจะเชื่อว่ามีผลเสียต่อผู้บริโภคและต่อธุรกิจ[23][24][25]
มีคำสั่งประธานาธิบดีสหรัฐในปี 2018 ซึ่งกำหนดการใช้วิธีพิสูจน์ตนสำหรับเจ้าหน้าที่ของรัฐบาลกลางทั้งเจ้าหน้าที่แบบบรรจุและชั่วคราว[26]
มาตรฐานสำหรับการเข้าถึงระบบเทคโนโลยีสารสนเทศที่สำคัญของรัฐบาลกลางสหรัฐ บังคับให้ใช้การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง เช่น เมื่อลงชื่อเข้าใช้อุปกรณ์เครือข่ายเพื่อทำกิจของแอดมิน[27]และเมื่อใช้คอมพิวเตอร์ที่ลงชื่อเข้าใช้แบบมีสิทธิพิเศษ[28]
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้เผยแพร่เอกสาร "Special Publication 800-63-3" ที่ระบุการพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) แล้วแนะนำการใช้ในธุรกรรมที่ต้องมีความปลอดภัยในระดับต่างๆ[29]
ในปี 2005 คณะกรรมการตรวจสอบสถาบันการเงินของรัฐบาลกลาง (FFIEC) ได้แนะนำสถาบันทางการเงินให้ประเมินความปลอดภัยโดยขึ้นอยู่กับความเสี่ยง ตรวจสอบโปรแกรมสำรวจความเข้าใจของลูกค้า แล้วสร้างกระบวนการความปลอดภัยเพื่อพิสูจน์ลูกค้าที่ลงชื่อเข้าใช้บริการทางการเงินทางไกลให้ได้ความแน่นอน โดยแนะนำอยา่งเป็นทางการให้ใช้วิธีพิสูจน์ตัวผู้ใช้ด้วยปัจจัยยิ่งกว่าหนึ่งอย่าง (คือสิ่งที่ผู้ใช้รู้ มี หรือเป็น)[30]เพราะการเผยแพร่นี้ บริษัทที่ให้บริการพิสูจน์ตัวจริงเป็นจำนวนมากจึงเริ่มมีวิธีการพิสูจน์ตัวผู้ใช้โดยใช้คำถาม หรือภาพลับ หรือความรู้อะไรๆ อย่างอื่นโดยอ้างว่า เป็นวิธีพิสูจน์ตัวด้วย "ปัจจัยหลายอย่าง"เพราะความสับสนเช่นนี้ และการยอมรับวิธีการดังที่ว่าอย่างกว้างขวาง ปีต่อมาองค์กรจึงเผยแพร่แนวทางเสริมซึ่งระบุว่า โดยนิยามแล้ว ระบบพิสูจน์ตัวด้วยปัจจัยหลายอย่าง "ของแท้" จะต้องปัจจัยสามชนิดที่ได้กำหนดแล้ว (คือสิ่งที่ผู้ใช้รู้ ที่มี หรือที่เป็น) ร่วมกัน ไม่ใช่การใช้ปัจจัยชนิดเดียวหลายรูปแบบ[31]
เมนูนำทาง
การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างใกล้เคียง
แหล่งที่มา
WikiPedia: การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง