สพธอ. ประกาศข้อเสนอแนะมาตรฐานฯ เกี่ยวกับแนวทางการใช้ดิจิทัลไอดีสำหรับประเทศไทย เป็นเอกสาร 3 ฉบับ ได้แก่

• ขมธอ. 18-2561ภาพรวมแนวทาง
• ขมธอ. 19-2561การลงทะเบียนและพิสูจน์ตัวตน
• ขมธอ. 20-2561การยืนยันตัวตน

การจัดหมวดหมู่เอกสารและหัวข้อต่างๆ เห็นได้ชัดว่าล้อมาจากเอกสาร NIST SP800-63 ( ข่าวเก่าบน Blognone )

เอกสารที่น่าสนใจที่สุดคงเป็น ขมธอ. 20-2561 ที่ล้อมาจาก NIST SP800-63B

ความแตกต่างทางเทคนิคของการยืนยันตัวตน (authentication) ประเภทต่างๆ เ่ช่น

• รหัสลับจดจำ(memorized secret) แนะนำให้ความยาวอย่างน้อย 8 ตัว หรือหากสุ่มโดยระบบยาวอย่างน้อย 6 ตัว, ต้องตรวจสอบกับพจนานุกรมและ รหัสที่เคยถูกโจมตี , มีมาตรวัดระดับความปลอดภัย, มีการจำกัดจำนวนครั้ง โดยมีส่วนที่ต่างจาก NIST สำคัญๆ เช่น
  • ไม่ห้ามการตรวจสอบรหัสผ่านเพียงบางส่วน (truncated)
  • ไม่บังคับเก็บรหัสผ่านในรูปแบบแฮชที่แข็งแรงพร้อมค่า salt
  • ไม่แนะนำว่าการตั้งรหัสควรเลิกบังคับกฎการผสมประเภทตัวอักษร, อนุญาตให้ paste รหัสผ่านได้, หรือควรรองรับรหัสผ่านอย่างน้อย 64 ตัวอักษร
• อุปกรณ์สื่อสารช่องทางอื่น(out-of-band) อนุญาตให้ใช้โทรศัพท์บ้าน (PSTN) และ SMS ได้ตามเดิม ต่างจาก NIST ที่จำกัดการใช้ SMS โดยผู้ที่จะใช้งานต้องแจ้งผู้ใช้ให้ทราบความเสี่ยงและต้องมีทางเลือกอื่นให้ใช้งานได้

ปัจจุบันการยืนยันตัวตนของธนาคารไทยแทบทั้งหมดเป็นการใช้รหัสผ่านร่วมกับ SMS หลายแห่งไม่รองรับคำแนะนำใหม่ๆ ของ NIST เช่นการจำกัดความยาวรหัสผ่านไว้สั้นมาก หรือไม่ยอมให้ paste รหัสผ่านจากซอฟต์แวร์จัดการรหัสผ่าน การดัดแปลงเช่นนี้คงทำให้แนวทางการยืนยันตัวตนของธนาคารในไทยผ่าน IAL2 โดยไม่ต้องมีการปรับปรุงระบบเพิ่มแต่อย่างใด

ที่มา - ETDA