สพธอ. ประกาศข้อเสนอแนะมาตรฐานฯ เกี่ยวกับแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย เป็นเอกสาร 3 ฉบับ ได้แก่
- ขมธอ. 18-2561 ภาพรวมแนวทาง
- ขมธอ. 19-2561 การลงทะเบียนและพิสูจน์ตัวตน
- ขมธอ. 20-2561 การยืนยันตัวตน
การจัดหมวดหมู่เอกสารและหัวข้อต่างๆ เห็นได้ชัดว่าล้อมาจากเอกสาร NIST SP800-63 (ข่าวเก่าบน Blognone)
เอกสารที่น่าสนใจที่สุดคงเป็น ขมธอ. 20-2561 ที่ล้อมาจาก NIST SP800-63B
ความแตกต่างทางเทคนิคของการยืนยันตัวตน (authentication) ประเภทต่างๆ เ่ช่น
- รหัสลับจดจำ (memorized secret) แนะนำให้ความยาวอย่างน้อย 8 ตัว หรือหากสุ่มโดยระบบยาวอย่างน้อย 6 ตัว, ต้องตรวจสอบกับพจนานุกรมและรหัสที่เคยถูกโจมตี, มีมาตรวัดระดับความปลอดภัย, มีการจำกัดจำนวนครั้ง โดยมีส่วนที่ต่างจาก NIST สำคัญๆ เช่น
- ไม่ห้ามการตรวจสอบรหัสผ่านเพียงบางส่วน (truncated)
- ไม่บังคับเก็บรหัสผ่านในรูปแบบแฮชที่แข็งแรงพร้อมค่า salt
- ไม่แนะนำว่าการตั้งรหัสควรเลิกบังคับกฎการผสมประเภทตัวอักษร, อนุญาตให้ paste รหัสผ่านได้, หรือควรรองรับรหัสผ่านอย่างน้อย 64 ตัวอักษร
- อุปกรณ์สื่อสารช่องทางอื่น (out-of-band) อนุญาตให้ใช้โทรศัพท์บ้าน (PSTN) และ SMS ได้ตามเดิม ต่างจาก NIST ที่จำกัดการใช้ SMS โดยผู้ที่จะใช้งานต้องแจ้งผู้ใช้ให้ทราบความเสี่ยงและต้องมีทางเลือกอื่นให้ใช้งานได้
ปัจจุบันการยืนยันตัวตนของธนาคารไทยแทบทั้งหมดเป็นการใช้รหัสผ่านร่วมกับ SMS หลายแห่งไม่รองรับคำแนะนำใหม่ๆ ของ NIST เช่นการจำกัดความยาวรหัสผ่านไว้สั้นมาก หรือไม่ยอมให้ paste รหัสผ่านจากซอฟต์แวร์จัดการรหัสผ่าน การดัดแปลงเช่นนี้คงทำให้แนวทางการยืนยันตัวตนของธนาคารในไทยผ่าน IAL2 โดยไม่ต้องมีการปรับปรุงระบบเพิ่มแต่อย่างใด
ที่มา - ETDA