top of page

นักวิชาการ เตือนทบทวนความปลอดภัย Online Banking


ผศ.ดร.วิลาวรรณ รักผกาวงศ์ หัวหน้าสาขาวิชาวิทยาการคอมพิวเตอร์ คณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยธรรมศาสตร์ เปิดเผยว่าภาครัฐ สถาบันการเงิน และประชาชนควรพิจารณาถึงเรื่องความสมดุลระหว่างระบบความปลอดภัยทางการเงินและความสะดวกสบายของผู้ใช้บริการ

ทั้งนี้จากกรณีบริการ “พร้อมเพย์” (PromptPay) ที่ประชาชนตื่นตัวกับความปลอดภัยของระบบดังกล่าวมากขึ้น ไม่ว่าจะเป็นการผูกหมายเลขโทรศัพท์หรือบัตรประชาชนเข้ากับบัญชีธนาคาร แม้ว่าในการทำธุรกรรมผ่าน “พร้อมเพย์” จะใช้ในการรับเงินเป็นหลัก กล่าวคือถ้าเราเป็นคนรับเงินก็จะบอกหมายเลขโทรศัพท์หรือบัตรประชาชนแทนที่จะบอกเบอร์บัญชีและธนาคาร ซึ่งหมายถึงข้อมูลส่วนตัวที่สำคัญคือหมายเลขโทรศัพท์หรือหมายเลขบัตรประชาชน รวมถึงชื่อและนามสกุลจะต้องเปิดเผยให้กับผู้ที่จะโอนเงินมาให้ซึ่งอาจมีความเสี่ยงมากขึ้นเนื่องจากมิจฉาชีพสามารถสรรหากลโกงต่าง ๆ เพื่อหลอกลวงหาประโยชน์ในรูปแบบที่คาดเดาได้ยาก

อาทิเช่น SMS ปลอมเพื่อหลอกว่าได้มีการโอนเข้าบัญชีที่ผูกกับหมายเลขโทรศัพท์นั้น หรืออาจโทรศัพท์มาโดยอ้างว่าเจ้าหน้าที่หน่วยงานของรัฐหรือธนาคาร ซึ่งอาจจะทำให้เจ้าของบัญชีหลงเชื่อได้ โดยทั่วไปนโยบายของผู้ให้บริการทางการเงินของประเทศไทย จะให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้มาเป็นอันดับแรกและจะให้ความสำคัญกับความปลอดภัยเป็นอันดับรอง โดยไม่ได้คำนึงว่าความสะดวกสบายมักจะแปรผกผันกับเรื่องความปลอดภัย

ขณะที่อีกหนึ่งประเด็นที่สำคัญคือ เรื่องระบบการทำธุรกรรมทางการเงินออนไลน์หรือผ่านโทรศัพท์มือถือ (Online Banking / Mobile Banking) ในประเทศไทยใช้ระบบการยืนยันตนเองสองระดับ (2FA – 2-Factor Authentication) คือ ระดับแรกระบบจะต้องใช้ สิ่งที่ผู้ใช้ทราบ (Something you know) นั่นก็คือ ชื่อบัญชีผู้ใช้งานและรหัสผ่าน (Username and Password) จากนั้นเมื่อมีการทำรายการ ระบบจะทำการตรวจสอบระดับที่สอง คือสิ่งที่ผู้ใช้มี (Something you have) โดยในประเทศไทยเลือกใช้วิธีการส่ง ชุดรหัสผ่านที่ใช้ครั้งเดียว (OTP – One Time Password) มายังโทรศัพท์มือถือ ที่ลงทะเบียนไว้กับทางสถาบันการเงิน

สำหรับการใช้วิธีดังกล่าวมีช่องโหว่คือ หากเกิดเหตุโทรศัพท์โดนขโมยหรือตกอยู่ในมือของผู้ไม่ประสงค์ดี ตัวรหัสผ่านครั้งเดียวนี้ก็จะไม่สามารถป้องกันอะไรได้เลย ในขณะที่ประเทศหลายประเทศในยุโรป เช่น ประเทศอังกฤษ จะมีการใช้ระบบการยืนยันตนเองสามระดับ (3-Factor Authentication) เริ่มจากการบังคับให้ผู้ใช้ตั้งรหัสผ่านที่มีความยาวหรือซับซ้อนมากขึ้น

ในส่วนของการ Logon เข้าสู่ระบบออนไลน์แต่ละครั้งผู้ใช้ไม่ได้ใส่ค่ารหัสผ่านทั้งหมด แต่ระบบจะมีการสุ่มถามตัวอักษรในตำแหน่งต่างๆ ของรหัสผ่านที่ไม่ซ้ำกัน เช่น ให้ป้อนรหัสผ่านตำแหน่งที่ 5, 2, 4 เป็นต้น ซึ่งกระบวนการดังกล่าว จะทำให้การส่งข้อมูลทุกครั้งไม่เหมือนเดิม เป็นการเพิ่มความปลอดภัยในการใช้งานอีกระดับหนึ่ง

นอกจากนี้ผู้ใช้ที่จะทำธุรกรรมการเงินออนไลน์จะต้องมีบัตรสมาร์ทการ์ด และทางธนาคารจะแจกการ์ดรีดเดอร์ (Card Reader) ในการทำธุรกรรมออนไลน์ ผู้ใช้จะต้องใช้บัตรสมาร์ทการ์ดใส่ในการ์ดรีดเดอร์และใส่ค่า Pin ของบัตรที่ถูกต้องจึงจะสามารถผ่านขั้นตอนเพื่อทำธุรกรรมการเงินที่สำคัญได้ จึงเป็นการเพิ่มความปลอดภัยในการใช้งานออนไลน์อีกระดับหนึ่ง

อย่างไรก็ตามจากกรณีที่กล่าวมาสะท้อนให้เห็นว่า นโยบายการให้บริการทางการเงินของประเทศไทยให้ความสำคัญกับเรื่องความสะดวกสบายของผู้ใช้บริการ มากกว่าด้านความปลอดภัยของข้อมูลและการใช้บริการ ซึ่งตรงกันข้ามกับต่างประเทศที่ให้ความสำคัญกับด้านความปลอดภัยเป็นหลัก โดยเมื่อเทียบสถิติการร้องเรียนกรณีโจรกรรมทางการเงินออนไลน์ ในไตรมาสที่ 3 ปี 2558 กับช่วงเดียวกันในปี 2559 นั้น พบว่ามีจำนวนสูงขึ้นถึง 82.47 เปอร์เซ็นต์ (ที่มา: ศูนย์คุ้มครองผู้ใช้บริการทางการเงิน) ซึ่งจะต้องหันกลับมาพิจารณาทั้งในส่วนผู้ให้บริการคือสถาบันการเงินต่างๆ และผู้ใช้บริการ ว่าควรจะปรับตัวอย่างไรกับประเด็นนี้

ที่มา : Thaiquote ติดตามข่าวสาร ผ่านแฟนเพจเฟซบุ๊ค Thaiquote.org https://www.facebook.com/thaiquote.org ทวิตเตอร์ @ThaiQuoteORG


Recent Posts
bottom of page