ปัจจัยต่างๆ ของ การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่าง

การพิสูจน์ตัวผู้ใช้จะเริ่มเมื่อพยายามจะลงชื่อเข้าใช้บัญชีคอมพิวเตอร์ (เช่น เครือข่ายคอมพิวเตอร์ อุปกรณ์ หรือแอป)ซึ่งอาจกำหนดให้ระบุข้อมูลบุคคลที่บริการนั้นรู้จัก บวกกับข้อมูลพิสูจน์ว่าเป็นผู้ใช้นั้นจริงๆ ข้อมูลพิสูจน์ธรรมดาจะมีแค่ปัจจัยเดียว ซึ่งทั่วไปก็คือรหัสผ่านแต่เพื่อเพิ่มความปลอดภัย บริการนั้นอาจบังคับให้มีปัจจัยยิ่งกว่าหนึ่งอย่าง เพื่อพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง หรือด้วยสองอย่างถ้าต้องให้หลักฐานสองอย่าง[2]

การใช้ปัจจัยหลายอย่างเพื่อพิสูจนตัวมีแนวคิดว่า ผู้ไม่ได้รับอนุญาตไม่น่าจะแสดงปัจจัยต่างๆ ที่ใช้เพื่อลงชื่อเข้าบัญชีได้เพราะถึงแม้จะมีปัจจัยหนึ่งอย่าง แต่ถ้าไม่มีปัจจัยที่เหลือ ก็ยังไม่สามารถเข้าบัญชีที่ป้องกันความปลอดภัยด้วยวิธีนี้ได้ปัจจัยที่ใช้อาจรวม[3]

สิ่งที่ผู้ใช้มี คือสิ่งของที่ผู้ใช้มี เช่น โทเค็นความปลอดภัย (security token เช่น ยูเอสบีแฟลชไดรฟ์) บัตรเอทีเอ็ม หรือกุญแจความปลอดภัย (security hardware key)
สิ่งที่ผู้ใช้รู้ คืออะไรบางอย่างที่ผู้ใช้เท่านั้นรู้ เช่น รหัสผ่าน, รหัส PIN
สิ่งที่ผู้ใช้เป็น คือลักษณะทางชีวมิติของผู้ใช้ เช่น ลายนิ้วมือ ลายม่านตา เสียงพูด ลักษณะการพิมพ์คีย์บอร์ด

ตัวอย่างของการพิสูจน์ผู้ใช้ด้วยปัจจัยสองอย่างก็คือการถอนเงินจากตู้เอทีเอ็มต่อเมื่อมีทั้งบัตรเอทีเอ็มที่ถูกต้อง (สิ่งที่ผู้ใช้มี) และรหัส PIN (สิ่งที่ผู้ใช้รู้) จึงจะสามารถทำธุรกรรมได้ตัวอย่างอื่นๆ ที่บูรณาการความปลอดภัยการใช้รหัสผ่านก็คือ รหัสผ่านใช้ครั้งเดียว (OTP, one-time password) หรือเลขรหัสที่แอปออเทนทิเคเทอร์ได้รับหรือระบุ (เช่นที่พบในโทเค็นความปลอดภัยหรือสมาร์ทโฟน) ซึ่งเป็นวัตถุที่ผู้ใช้เท่านั้นมี[4]

ส่วนแอปออเทนทิเคเทอร์ของบริษัท/บุคคลที่สามปกติจะแสดงเลขรหัสสุ่มที่เปลี่ยนไปเรื่อยๆ โดยไม่ได้ส่งมาทางข้อความเอสเอ็มเอสหรือวิธีอื่นๆ และผู้ใช้สามารถลงบันทึกเลขนั้นเพื่อพิสูจน์ตัวได้ข้อดียิ่งของแอปชนิดนี้ก็คือทำงานได้โดยไม่ต้องมีอินเทอร์เน็ตตัวอย่างแอปรวมทั้ง Google Authenticator, Authy และ Microsoft Authenticatorตัวจัดการรหัสผ่านบางแอป เช่น Bitwarden ก็มีบริการนี้เช่นกัน[5]

สิ่งที่รู้

สิ่งที่รู้ก็สามารถเป็นปัจจัยเพื่อพิสูจน์ผู้ใช้เช่นกันคือต้องรู้ความลับอะไรบางอย่างเป็นการพิสูจน์

รหัสผ่านเป็นคำลับหรือเป็นชุดอักษรที่ใช้พิสูจน์ตัวจริงได้นี่เป็นปัจจัยพิสูจน์ตนที่มีใช้อย่างสามัญที่สุด[3]การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างอาจใช้รหัสลับเป็นปัจจัยอย่างหนึ่งเพื่อพิสูจน์รหัสผ่านแบบยาวรูปแบบหนึ่งก็คือการใช้คำหลายๆ คำ (อังกฤษ: passphrase) หรือรูปแบบสั้นอย่างหนึ่งก็คือรหัสเป็นเลขล้วนเช่น รหัส PIN ซึ่งใช้กับเครื่องเอทีเอ็มทั่วไปแล้ว ผู้ใช้จะต้องจำรหัสผ่าน แต่ก็อาจเขียนไว้ในกระดาษหรือไฟล์ที่ซ่อนไว้

สิ่งที่มี

RSA SecurID token เป็นตัวอย่างโทเค็นฮาร์ดแวร์ที่ไม่ต่อกับอินเทอร์เน็ต

ปัจจัยคือสิ่งที่ผู้ใช้มี ได้ใช้เป็นเครื่องพิสูจน์ตนเป็นศตวรรษๆ แล้ว ในรูปแบบของลูกกุญแจที่ใช้ไขตัวกุญแจหลักก็คือลูกกุญแจมีความลับร่วมกันกับตัวกุญแจ เป็นหลักเดียวกันที่ใช้พิสูจน์ตัวผู้ใช้ในระบบคอมพิวเตอร์โทเค็นความปลอดภัย (security token ในภาพ) เป็นตัวอย่างปัจจัยคือสิ่งที่มี

โทเค็นแบบไม่เชื่อม (disconnected token) เป็นโทเค็นความปลอดภัยที่ไม่ต่อกับระบบรับบริการปกติจะมีจอในตัวเพื่อแสดงเลขสรหัสพิสูจน์ผู้ใช้ที่สร้างขึ้น โดยผู้ใช้จะลงบันทึกรหัสในระบบรับบริการโทเค็นชนิดนี้มักแสดง OTP คือรหัสผ่านที่ใช้ได้ครั้งเดียว[6]

โทเค็นความปลอดภัยแบบยูเอ็สบี ยี่ห้อ ยูบิคีย์

โทเค็นแบบเชื่อม (connected token) เป็นอุปกรณ์ที่ต้องต่อกับคอมพิวเตอร์เมื่อใช้การโดยโทเค็นจะเป็นตัวส่งข้อมูลเอง ผู้ใช้ไม่ต้องลงบันทึกรหัสใดๆ[7]มีโทเค็นรูปแบบอื่นๆ อีกรวมทั้ง โทเค็นยูเอสบี สมาร์ตการ์ด และแบบคลื่นวิทยุ [7]เริ่มตั้งแต่ปี 2015 เว็บบราวเซอร์หลักๆ ได้เริ่มสนับสนุนมาตรฐานโทเค็น WebAuthn ซึ่งโปรโหมตโดยสมาคมไฟโดอัลไลอานซ์ (FIDO Alliance) และเวิลด์ไวด์เว็บคอนซอร์เทียม (W3C)

อนึ่ง โทเค็นแบบซอฟต์แวร์ ก็ใช้พิสูจน์ตัวผู้ใช้ด้วยปัจจัย 2 อย่างได้เหมือนกันโดยข้อมูลลับที่ใช้สร้างโทเค็นจะเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์ทั่วไป เช่น คอมพิวเตอร์แบบตั้งโต๊ะ แล็ปท็อป โทรศัพท์เคลื่อนที่ หรือสมาร์ทโฟน ดังนั้น อาจถูกก๊อปเอาไปได้นี่เทียบกับโทเค็นแบบฮาร์ดแวร์ซึ่งเก็บความลับไว้ในอุปกรณ์โดยเฉพาะๆ และดังนั้น จึงก๊อปข้อมูลลับเอาไปไม่ได้ ยกเว้นจะเปิดทำลายอุปกรณ์เพื่อก๊อปข้อมูล

การพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างก็ใช้รักษาความปลอดภัยทั่วไปได้เช่นกันซึ่งปกติมักเอาสิ่งที่ผู้ใช้มี เช่น การ์ดกุญแจ และสิ่งที่ผู้ใช้เป็น เช่น ลักษณะใบหน้า หรือม่านตานี่เอาไว้เปิดประตูที่ล็อกไม่ให้คนอื่นเข้า

สิ่งที่เป็น

ปัจจัยต่อเป็นสิ่งที่ผู้ใช้มีหรือเป็นตามธรรมชาติ ซึ่งปกติก็คือลักษณะทางชีวมิติรวมทั้งลายนิ้วมือ ใบหน้า[8]เสียงพูด หรือลายม่านตาโดยสัญลักษณ์ทางพฤติกรรม เช่น ลักษณะการพิมพ์คีย์บอร์ด ก็อาจใช้ได้เหมือนกัน

ตำแหน่งที่ตั้ง

ตำแหน่งที่อยู่ของผู้ใช้ปัจจุบัน ก็ใช้เป็นปัจจัยพิสูจน์ตัวจริงเพิ่มขึ้นเรื่อยๆเช่น เมื่อกำลังใช้เครือข่ายคอมพิวเตอร์ของบริษัทอยู่ ผู้ใช้อาจสามารถลงชื่อเข้าใช้ด้วยรหัส PIN เพียงเท่านั้นแต่ถ้าใช้เครือข่ายอื่นอยู่ ก็อาจต้องใส่โค๊ดจากโทเค็นซอฟต์แวร์เพิ่มขึ้นด้วยด้วยนี่อาจใช้เป็นส่วนของมาตรฐานที่บริษัท/องค์กรต้องใช้ในการเข้าถึงทรัพยากรต่างๆ ที่ควบคุมการเข้าถึง[ต้องการอ้างอิง]