Opinion

การจัดการบัญชีออนไลน์ด้วยหลัก “4A”

หลายคำแนะนำบอกว่าช่องโหว่ที่ใหญ่ที่สุดบนโลกออนไลน์ก็คือตัวผู้ใช้เอง หรือวิธีที่จะควบคุมผู้ใช้ที่ไม่สนใจกฏระเบียบ ซึ่งเป็นไปได้ยากแต่ก็ไม่ถึงกับเป็นไปไม่ได้ การรวมกันของหลากหลายเทคนิคช่วยจำกัดความเสียหายที่อาจจะเกิดขึ้นได้ พวกเราขอแนะนำให้รู้จักเทคนิคการจัดการบัญชีแบบ “4A” ซึ่งง่ายต่อการจดจำ

บทความนี้มีจุดประสงค์เพื่อรวบรวมเทคนิคที่หลากหลาย และวิธีใช้อย่างไรให้ได้ผล เพื่อช่วยเพิ่มความปลอดภัยให้กับผู้ใช้ และในบทความต่อๆไปจะมาลงลึกถึงเทคนิคที่จะรับมือกับเหตุการณ์เฉพาะหน้า

  • Authentication – บอกซิว่าคุณเป็นใคร

ก้าวแรกของการจัดการคล้ายกับการยืนยันตน นี่เป็นวิธีการสร้างตัวตนและแสดงให้เห็นว่าเราเป็นใคร บนโลกออนไลน์เป็นเรื่องปกติที่เราจะสร้าง Username และ Password ที่เกี่ยวข้องกับผู้ใช้ และเมื่อเราล็อคอินเข้าเว็บไซต์ต่างๆ ก็เหมือนการยืนยันตนโดยการใช้ User เดียวกัน

  • Authorization – ผู้ได้รับอนุญาต

หลังจากพิสูจน์ตัวตนกันเรียบร้อยแล้ว เราต้องให้อนุญาตการเข้าถึงและเปลี่ยนแปลง โดยแท้จริงแล้วกระบวนการนี้เกิดขึ้นอัตโนมัติหลังจากสร้างแอคเค้าท์และระบุตัวตนแล้ว โดยส่วนมากผู้ใช้จะให้การเข้าถึงครอบคลุมทุกกรณีนอกจากกรณีที่ผู้ใช้ต้องการใช้โปรแกรมจ่ายออนไลน์ การอนุญาตช่วยให้ผู้ใช้สามารถเข้าถึงพื้นที่เฉพาะได้ เช่น พื้นที่ส่วนตัว ส่วนรวม ไฟล์สำคัญหรือสมุดรายชื่อ ในสังคมการทำงานการอนุญาตจะถูกแบ่งสันปันส่วนไปตามแผนกต่างๆ หรือตามลำดับขั้น

  • Access Control – การจำกัดการเข้าถึง

การจำกัดการเข้าถึงทำให้ผู้ดูแลสามารถจำแนกกลุ่มหรือบุคคลเพื่อจำกัดข้อมูลหรือบริการที่ไม่เป็นที่ต้องการออกไปได้ โดยที่ผู้ดูแลหรือเจ้าของสามารถควบคุมได้จริง และสามารถปฏิเสธคำขอของใครก็ตามที่ไม่ได้รับการรับรอง มากไปกว่านั้นผู้ใช้ยังสามารถลิมิตให้แสดงผลเฉพาะกิจกรรมหรือข้อมูลที่เกี่ยวข้องในชีวิตประจำวันได้อีกด้วย

  • Audit Logging – ใครทำอะไรเมื่อไหร่

ในบางครั้งสิ่งสำคัญอาจไม่ใช่แค่การอนุญาตและการกีดกัน ในความจริงสิ่งที่ไม่ต้องการหรือไม่คาดคิดเกิดขึ้นได้ และเป็นเรื่องที่ดีที่จะเก็บบันทึกกิจกรรมทั้งหมด ในบันทึกการตรวจสอบจะเก็บบันทึกทุกกิจกรรมไว้ ว่าใครเป็นคนทำ และเมื่อไหร่ ดังนั้นทำให้การตรวจสอบทำได้ง่ายมากขึ้น

แต่จะเป็นการดีมากเลยถ้าผู้ใช้สามารถเพิ่มการอนุญาตได้ด้วยตัวเองตั้งแต่ที่สร้างบัญชีขึ้นมา และเก็บหลักฐานเอาไว้ด้วย พวกเรามีเครื่องมือที่สามารถจำกัดความเสี่ยงจากการที่ผู้ใช้เชื่อมต่อกับเครือข่าย การสร้างนโยบายจำกัดการอนุญาตและการกีดกัน บันทึกและการตรวจสอบ พร้อมจัดการให้การเข้าถึงเกิดอย่างเหมาะสม และผมเชื่อว่าทุกคนทำได้

ในบทความถัดไปพวกเราจะลงลึกไปกับเทคนิคเหล่านี้ และนำเสนอไอเดียให้เหมาะสมและใช้ได้จริงกับทุกคน

%d bloggers like this: