การใช้ Biometric พิสูจน์ตัวตน ในยุคที่เราถูกขโมยตัวตนง่าย ๆ

Loading

ทุกวันนี้ คุณตั้งค่าปลดล็อกสมาร์ตโฟนและแอปพลิเคชันต่าง ๆ ในเครื่องของคุณด้วยวิธีใด? จริง ๆ ค่อนข้างเชื่อว่าตั้งแต่ที่สมาร์ตโฟนยี่ห้อต่าง ๆ มีฟังก์ชัน “ปลดล็อกด้วยการสแกนลายนิ้วมือ” หรือ “ปลดล็อกด้วยการสแกนใบหน้า”

หลายคนก็เลือกที่จะใช้วิธีการสแกนอวัยวะเหล่านี้ของตนเองเพื่อปลดล็อกโทรศัพท์ส่วนตัว มากกว่าที่จะมานั่งจำ password จำรหัส pin หรือแม้แต่จำการวาด pattern เพราะการสแกนนั้นง่ายและรวดเร็วกว่ามาก เราสามารถเข้าสู่หน้าจอโทรศัพท์ในเวลาเพียงเสี้ยววินาที ทั้งยังไม่ต้องจำรหัสอะไรด้วย เว้นเสียแต่ระบบจะล็อกไม่ให้ใช้วิธีการสแกน เนื่องจากเกิดข้อผิดพลาดในการพยายามปลดล็อกหลายครั้ง ถึงจะต้องมาระลึกชาติว่า password เครื่องคืออะไร

นี่เป็นเพียงตัวอย่างหนึ่งของการใช้เทคโนโลยี Biometric ในชีวิตประจำวันที่ใกล้ตัวเรามากที่สุด ปัจจุบันเทคโนโลยีนี้นิยมใช้งานกันอย่างแพร่หลาย เพื่อช่วยรักษาความปลอดภัยในหลาย ๆ ด้าน นอกเหนือจากฟังก์ชันการปลดล็อกของสมาร์ตโฟน เทคโนโลยีนี้ก็ถูกนำมาใช้ในด้านอื่น ๆ ด้วยเช่นกัน ที่ใกล้ตัวมาก ๆ อีกอย่างก็คือในงานฝ่ายบุคคลของบริษัทต่าง ๆ (สแกนลายนิ้วมือเข้างาน) และการทำโปรแกรมเงินเดือน

เทคโนโลยี Biometric คืออะไร

หากพิจารณาตามศัพท์ จะพบว่าคำว่า Biometric ประกอบขึ้นจากคำว่า bio ซึ่งหมายถึงสิ่งมีชีวิต และคำว่า metric ซึ่งหมายถึงคุณลักษณะที่สามารถถูกวัดค่าหรือประเมินจำนวนได้ เมื่อนำ 2 คำนี้มารวมกัน หมายถึงเทคโนโลยีในการใช้คุณลักษณะหรือพฤติกรรมบางอย่างในสิ่งมีชีวิตที่มีความเป็นเอกลักษณ์ และสามารถเทียบวัดหรือนับจำนวนได้ มาผนวกเข้ากับหลักการทางสถิติ เพื่อประโยชน์ในการแยกแยะ จดจำ ยืนยัน และระบุตัวตนของแต่ละบุคคล โดยมีตัวระบุเอกลักษณ์ที่ไม่ซ้ำกันมากกว่า 20 แบบเลยทีเดียว โดยสามารถแบ่งกว้าง ๆ ออกเป็น 2 ลักษณะด้วยกันคือ

  • ลักษณะทางกายภาพ เช่น ลายนิ้วมือ เส้นเลือดในฝ่ามือ ฝ่ามือ จอตา ม่านตา ใบหน้า DNA และกลิ่น
  • ลักษณะทางพฤติกรรม เช่น เสียง ลายเซ็น และการพิมพ์

ข้อมูล Biometric จะเป็นลักษณะทางกายภาพของคนแต่ละคน เช่น ลายนิ้วมือ ลักษณะของใบหน้า ม่านตา เสียง นอกจากนี้ยังรวมถึงพฤติกรรมที่เป็นลักษณะเฉพาะของแต่ละบุคคลด้วย ทำให้ปัจจุบันนี้ เราใช้ประโยชน์จาก Biometric เป็นเทคโนโลยีที่ใช้ยืนยันหรือพิสูจน์ตัวตนบุคคล โดยนำลักษณะทางกายภาพ เช่น ลายนิ้วมือ รูม่านตา และโครงสร้างใบหน้า หรือพฤติกรรมเฉพาะของแต่ละบุคคล เช่น ลักษณะการเดิน การเคลื่อนไหวของมือ เสียงพูด มาใช้ในการจำแนก โดยมีการตรวจสอบลักษณะทางกายภาพเข้ากับเทคโนโลยีด้านคอมพิวเตอร์เข้าด้วยกัน

ความที่เป็นข้อมูลที่เป็นลักษณะเฉพาะ จึงเป็นเอกลักษณ์ที่มนุษย์ไม่มีใครมีเหมือนกัน แม้แต่ฝาแฝดกันก็มีลักษณะเฉพาะตัวของตัวเองแบบที่แฝดอีกคนมีไม่เหมือน เช่น ลายนิ้วมือและม่านตา ฝาแฝดมีไม่เหมือนกัน ต่อให้พิจารณาด้วยสายตา เห็นว่ารูปร่างหน้าตาภายนอกคล้ายกันมากจนเกือบจะเหมือน แต่จริง ๆ ไม่เหมือนกัน Biometric จะแยกได้ ทำให้ Biometric เป็นระบบที่มีความปลอดภัยสูง ปลอมแปลงได้ยาก ป้องกันการสูญหาย และมีความถูกต้องแม่นยำสูง จึงถูกนำมาใช้อย่างแพร่หลายเพื่อป้องกันข้อมูลหรือทรัพย์สินที่ต้องการความปลอดภัยสูง

อย่างไรก็ดี เคยเกิดกรณีที่โทรศัพท์มือถือยี่ห้อดังเจ้าหนึ่ง ซึ่งใช้เทคโนโลยี Face ID ในการปลดล็อกด้วยใบหน้า ทว่า Face ID ก็สร้างเรื่อง เนื่องจาก “แยกฝาแฝดไม่ออก” จึงยอมให้แฝดอีกคนที่ไม่ได้ลงทะเบียน Face ID สามารถปลดล็อกเครื่องเข้าไปใช้งานได้ ทั้งที่ความเป็นจริงไม่ควรจะเป็นเช่นนั้น

จึงเป็นที่น่าสนใจ ว่าจริง ๆ แล้ว Face ID สามารถบอกความแตกต่างของใบหน้าที่คล้ายกันได้มากน้อยแค่ไหนกันแน่ ถ้าหากระบบ Face ID ไม่สามารถแยกใบหน้าของฝาแฝดออก นั่นเท่ากับว่าความปลอดภัยของเทคโนโลยี Face ID อาจจะน้อยกว่าระบบความปลอดภัย Biometric อื่น ๆ อย่างการสแกนลายนิ้วมือหรือการสแกนม่านตาหรือเปล่า

ข้อมูล Biometric ไม่ได้เป็นส่วนตัวขนาดนั้น

ปัจจุบัน เราจะพบว่ามีการนำเทคโนโลยี Biometric มาใช้ประโยชน์กันอย่างแพร่หลาย โดยเฉพาะประโยชน์ด้านการพิสูจน์/ยืนยันตัวบุคคล และด้านการป้องกันข้อมูลหรือทรัพย์สินที่ต้องการความปลอดภัยสูง อย่างที่เราได้ใช้ประโยชน์กันทั่วไปในชีวิตประจำวัน ก็อย่างเช่นการปลดล็อกอุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ และการเข้าสู่ระบบการทำธุรกรรมทางการเงิน เนื่องจากเป็นข้อมูลที่ช่วยลดความเสี่ยงจากการถูกลักลอบและปลอมแปลงข้อมูล ปัจจุบันจึงมีการพัฒนาเทคโนโลยี Biometric ให้มีความแม่นยำมากขึ้น ลดข้อผิดพลาดลง

อย่างไรก็ดี สิ่งที่ควรระวังก็คือ ข้อมูล Biometric ไม่ได้มีความเป็นส่วนตัวขนาดนั้น พูดง่าย ๆ ก็คือ ส่วนใหญ่แล้วเราเป็นคนอัปโหลดภาพเซลฟี่ “ใบหน้า” ลงโซเชียลมีเดียด้วยตนเอง เวลารีวิวสถานที่ท่องเที่ยวต่าง ๆ ก็ถ่ายคลิปไปด้วยซึ่งเห็น “ท่าทางการเดิน” และได้ยิน “เสียง” ของเราชัดเจน นอกจากนี้ตลอดชั่วชีวิตของคนเราก็มีเอกสารหลายร้อยฉบับที่มี “ลายเซ็น” ของเรา ถ้าจะว่ากันตามจริงก็คือ ข้อมูล Biometric เหล่านี้อาจถูกเข้าถึงได้ง่ายมากและเข้าถึงจากที่ไหนก็ได้ เพราะเราเป็นคนสร้างตัวตนพวกนี้ขึ้นมาบนโลกออนไลน์ (โลกเสมือน) ด้วยตัวเราเอง

กับคนธรรมดา ๆ อาจทำอะไรกับข้อมูลเหล่านี้ไม่ได้มากนัก แต่สำหรับอาชญากรไซเบอร์ทั้งหลาย ก็เป็นเรื่องที่ไม่แน่ การที่เรามีตัวตนอยู่บนอินเทอร์เน็ต คุณสมบัติทางกายภาพทั้งหมดของเราอาจเข้าถึงได้โดยอาชญากรผ่านทางภาพถ่ายและวิดีโอที่เราเป็นคนอัปโหลดไว้ และระดับแฮกเกอร์ก็อาจจะนำข้อมูลภาพใบหน้าที่ชัดเจนที่สุดของเราไปสแกนเข้าระบบอะไรสักอย่างก็ได้ หรือภาพถ่ายชู 2 นิ้ว หากแฮกเกอร์ซูมภาพเห็นลายนิ้วมือเราอย่างชัดเจน ก็อาจจะนำภาพลายนิ้วมือของเราไปสแกนเข้าระบบอะไรที่ไหนก็ได้เหมือนกัน กรณีนี้เคยมีข่าวเตือนเมื่อไม่นานมานี้

ตั้งแต่มีการนำเทคโนโลยีจดจำใบหน้าหรือสแกนใบหน้ามาใช้งาน ช่วงเวลาที่ผ่านมาอาจมีการปรับปรุงให้มีประสิทธิภาพมากขึ้น ลดช่องโหว่ในการปลอมแปลง ทำนองว่าไม่สามารถใช้ภาพถ่ายหรือภาพเคลื่อนไหวจากวิดีโอมาสแกนเพื่อปลดล็อกได้ แต่ในความเป็นจริง เหล่าแฮกเกอร์ไม่ได้มีความรู้ทางด้านเทคโนโลยีเหล่านี้น้อยไปกว่าคนที่พยายามปิดกั้นช่องโหว่ไม่ให้เกิดการปลอมแปลง ดีไม่ดีอาจจะเป็นคนเดียวกันก็เป็นได้ ลักษณะเดียวกันกับคำพูดติดตลกเมื่อนานมาแล้ว ว่าคนที่สร้างไวรัสคอมพิวเตอร์ขึ้นมากับคนที่สร้างโปรแกรมแอนตี้ไวรัสอาจเป็นคนเดียวกัน เป็นคนทำให้มีไวรัสขึ้นมา แล้วก็สร้างยาต้านไวรัสเอง เมื่อติดไวรัสแล้วก็จะมารักษาและซื้อยาต้านไป

ยกตัวอย่างเดิมที่เทคโนโลยี Face ID จากแบรนด์โทรศัพท์มือถือเจ้าดัง เคยการันตีไว้ว่าเทคโนโลยีนี้มีความปลอดภัยสูงมาก มีโอกาสเพียง 1 ใน 1,000,000 เท่านั้น ที่จะเกิดข้อผิดพลาด แม้ว่าผู้ใช้จะสวมหมวก ใส่วิก ใส่แว่น แต่งหน้า ไว้เครา ก็ยังคงสามารถสแกนได้ด้วยเทคโนโลยีจดจำใบหน้าที่จดจำหน้าเราเอาไว้แล้ว และไม่สามารถใช้รูปถ่ายหรือวิดีโอมาสแกนปลดล็อกได้ ขณะที่ระบบ Touch ID มีโอกาสผิดพลาดสูงถึง 1 ใน 50,000 แต่จะว่าไป ข้อผิดพลาดที่แย่ที่สุดที่เคยเกิดขึ้นกับ Face ID ก็คือแยกใบหน้าของฝาแฝดยังไม่ออกเลย!

เพราะฉะนั้น แฮกเกอร์ที่เก่ง ๆ อาจจะพยายามทำลายการป้องกัน “ไม่สามารถใช้รูปถ่ายหรือวิดีโอมาสแกนปลดล็อกได้” ลง แล้วใช้รูปถ่ายหรือวิดีโอที่มีใบหน้าเรามาสแกนปลดล็อกได้ในภายหลัง ไม่น่าจะใช่เรื่องยากอะไรสำหรับอาชญากรไซเบอร์ ตัวเราอาจเป็นเจ้าของลายนิ้วมือ ใบหน้า หรือเสียงก็จริง แต่ไม่ใช่เราคนเดียวหรอกที่จะเข้าถึงองค์ประกอบส่วนบุคคลที่เป็นเอกลักษณ์เหล่านั้นได้ ในเมื่อเราเป็นคนอัปโหลดตัวตนส่วนหนึ่งของตัวเองลงอินเทอร์เน็ตเองกับมือ!

ดังนั้น คิดให้รอบคอบก่อนเลือกใช้ข้อมูล Biometric เพราะมันไม่เหมือนกับการโดนแฮกรหัสผ่านที่เราสามารถเข้าไปเปลี่ยนรหัสได้เมื่อความเสียหายมาเยือน แต่ข้อมูล Biometric เราเปลี่ยนไม่ได้ตลอดชีวิต หากถูกขโมยแล้ว ก็เท่ากับว่าเราถูกขโมยตัวตนไปทั้งชีวิต เป็นความเสียหายที่ไม่อาจกู้คืนได้เลยตลอดชีวิต

สะดวกแต่ปลอดภัยจริง ๆ หรือ

Biometric ถือเป็นข้อมูลอ่อนไหวประเภท “ข้อมูลชีวภาพ” ซึ่งก็คือ “ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้” ตามมาตรา 26 พ.ร.บ.ข้อมูลส่วนบุคคล กฎหมายจึงให้ความคุ้มครองเป็นพิเศษเนื่องจากเป็นข้อมูลเฉพาะตัวของบุคคลโดยแท้ หากถูกเปิดเผยโดยมิชอบ จะมีความเสี่ยงในการถูกปฏิบัติอย่างไม่เป็นธรรมโดยง่ายรวมถึงการถูกขโมยตัวตน กฎหมายจึงระบุชัดเจนว่า “ห้าม” เก็บรวบรวมโดยปราศจากความยินยอมโดย “ชัดแจ้ง” จากเจ้าของข้อมูล

ช่วงแรก ๆ ที่เทคโนโลยี Biometric ถูกใช้งานอย่างแพร่หลาย หลายคนก็เข้าใจว่ามันเป็นเทคโนโลยีที่ปลอดภัยที่สุดแล้ว เพราะมีเพียงตัวเราเท่านั้นที่จะมีใบหน้าแบบนี้ มีม่านตาแบบนี้ มีลายนิ้วมือแบบนี้ มี DNA แบบนี้ ที่จะนำไปสแกนหรือยืนยันตัวตนเพื่อปลดล็อก เข้าสู่ระบบ หรืออะไรอื่น ๆ ได้ มันมีความเป็นข้อมูลส่วนตัวสูงมาก

แต่เมื่อได้ใช้งานจริง เราก็เริ่มเห็นแล้วว่ามันยังมีช่องโหว่อยู่มาก ที่ต้องอาศัยทั้งการปรับปรุงพัฒนาเทคโนโลยีในการอุดช่องโหว่นั้น เพื่อให้ใช้งานได้มีประสิทธิภาพขึ้น อีกทั้งในเรื่องของข้อกฎหมายในการคุ้มครองข้อมูลเหล่านี้ ที่อาจถูกลักลอบแอบนำไปใช้โดยไม่ได้รับอนุญาตและสร้างความเสียหาย

ยกตัวอย่างการใช้ลายนิ้วมือหรือใบหน้าในการปลดล็อกโทรศัพท์ซึ่งมักจะมีข้อมูลส่วนตัวของเรา ดูเหมือนจะปลอดภัยเพราะมีแค่เราเท่านั้นที่จะใช้อวัยวะของตัวเองสแกนปลดล็อกโทรศัพท์ส่วนตัว ทว่าสิ่งที่เราอาจเคยเห็นในละครหรือภาพยนตร์ก็คือ เวลาที่ตัวละครหลับลึกหรือถูกทำให้หมดสติ ตัวละครผู้ไม่หวังดีสามารถจับเอานิ้วของเจ้าของเครื่องมาสแกนปลดล็อกโทรศัพท์เครื่องนั้นได้อย่างง่ายเพียงเสี้ยววินาที หรือบังคับให้ทำหน้าตรง ๆ เอาโทรศัพท์มาจ่อหน้า เครื่องก็ปลดล็อกให้แล้ว

ในทางตรงกันข้าม หากเป็นการตั้งล็อกด้วย password ธรรมดา ๆ หรือใช้วิธีวาด pattern เอา แล้วไม่เคยบอกใครว่ารหัสปลดล็อกคืออะไร ก็คงไม่ง่ายนักที่จะปลดล็อกโทรศัพท์เครื่องนั้นในเสี้ยววินาที การเดาสุ่มไปเรื่อย ๆ ใส่รหัสผิดเกินจำนวนครั้ง อาจทำให้เครื่องล็อก ถูกจำกัดการเข้าถึงไปเลยพักใหญ่ ๆ ก็ได้

อย่างไรก็ดี กรณีที่ผู้ไม่หวังดีไม่มี Biometric ของเรา มันก็ช่วยให้เราปลอดภัยจากระบบรีโมต (Remote) หรือการควบคุมอุปกรณ์ระยะไกลได้มากเช่นกัน กรณีถูกแฮกการเข้าใช้งานแอปฯ ธนาคาร มิจฉาชีพควบคุมเครื่องของเราผ่านการส่งลิงก์แปลก ๆ มาหาเรา ซึ่งอาจมีพวกสปายแวร์หรือคำขออนุญาตเปิดการรีโมตแนบมา การใช้ password หรือ pin หรือ pattern จะถูกดักจับผ่านการสอดแนม แต่ไม่สามารถทำงานผ่าน Biometric ได้ เพราะมีเพียงเราคนเดียวที่จะสแกนอวัยวะของตนเองผ่านอุปกรณ์ที่เราตั้งค่าเท่านั้น

เป็นความจริงที่ข้อมูล Biometric ที่เราใช้เปิดแอปฯ และปลดล็อกอุปกรณ์ มีความปลอดภัยสูงในกรณีส่วนใหญ่ เพราะมันมีความเป็นข้อมูลส่วนตัวสูงมาก แต่ก็อย่างว่าว่าข้อมูลตัวตนของเราบนอินเทอร์เน็ตเป็นข้อมูลที่อาจถูกแฮกได้ และวิธีการเหล่านี้จะซับซ้อนยิ่งขึ้นเมื่อเวลาผ่านไป ฉะนั้น มันอาจจะดีกว่าที่เราจะยอมลดความสะดวกสบายลงสักนิด แล้วเปิดการยืนยันตัวตนแบบสองชั้น ทั้งใช้ Biometric พร้อมด้วยรหัสผ่านที่รัดกุม รหัสคือสิ่งที่เราสามารถเปลี่ยนได้ทุกเมื่อที่ต้องการ โดยเฉพาะเมื่อรู้สึกว่าไม่ปลอดภัย เน้นไปที่การสร้างรหัสผ่านที่แข็งแกร่งและคาดเดายากมาช่วยเสริมความปลอดภัยจะดีกว่า

แหล่งข้อมูล

https://www.sanook.com/hitech/1565829/


Smart City Thailand : 02 054 7755
Contact us : thunya.b@gmail.com | thunya@securitysystems.in.th

© smartcitythailand 11 โกสุมรวมใจ ดอนเมือง กรุงเทพมหานคร 10210