“การพิสูจน์ตัวตน” ของระบบ “ลงทะเบียนออนไลน์”

“การพิสูจน์ตัวตน” ของระบบ “ลงทะเบียนออนไลน์”

การลงทะเบียนระบบออนไลน์ ที่มีความสำคัญยิ่งอย่างการเลือกตั้งออนไลน์ จะต้องให้ความสำคัญกับการพิสูจน์ตัวตนให้ดี

เมื่อสัปดาห์ที่แล้วผมเข้าไปลงทะเบียนเพื่อจะขอใช้สิทธิ “เลือกตั้งออนไลน์” ขององค์กรแห่งหนึ่ง แบบฟอร์มออนไลน์ให้กรอกเพียงแค่ ชื่อ ข้อมูลสถานศึกษา หมายเลขโทรศัพท์ และอีเมลที่ผมต้องการ จะใช้สิทธิเลือกตั้งในวันลงคะแแนน พอเดาได้ว่า ระบบการลงทะเบียนแบบนี้จะเหมาะกับการเลือกตั้งที่ตั้งใจทำพอเป็นพิธีการ ไม่ใช่ระบบการเลือกตั้งที่แข่งขันกันอย่างจริงจัง เพราะระบบการลงทะเบียนไม่สามารถจะพิสูจน์ตัวตนได้ว่า บุคคลที่มาลงทะเบียนบนโลกดิจิทัลกับตัวตนบนโลกจริงคือบุคคลคนเดียวกัน

นั่นคือ ใครก็สามารถใช้ชื่อของคนอื่นมาลงทะเบียนแทนได้ เช่น การสร้างอีเมลขึ้นมา และอ้างว่าเป็นบุคคลผู้นั้น และหากใครที่ต้องการจะทุจริตการเลือกตั้งแบบนี้ก็สามารถทำได้โดยง่าย โดยเฉพาะกรณีที่ผู้มีสิทธิจำนวนมากไม่ได้ใส่ใจจะมาใช้สิทธิออนไลน์ก็อาจจะทำให้มีคนสวมสิทธิลงทะเบียนแทน เพราะคนจำนวนมากไม่ใส่ใจและไม่ทราบว่าถูกใช้สิทธิแทน

การลงทะเบียนระบบออนไลน์ ที่มีความสำคัญยิ่งอย่างการเลือกตั้งออนไลน์ จะต้องให้ความสำคัญกับการพิสูจน์ตัวตนให้ดี เทียบเท่ากับ กรณีที่เราต้องไปขอ Username และ Password ของบัญชี Mobile Banking ที่จะต้องไปยืนยันตัวตนด้วยตัวเอง เพื่อให้เจ้าหน้าที่มั่นใจได้ว่า เราคือบุคคลคนนั้นจริง ป้องกันไม่ให้คนอื่นสวมสิทธิใช้บัญชีออนไลน์แทนเรา

ปัจจุบันหลายหน่วยพยายามที่จะทำระบบลงทะเบียนออนไลน์ให้สะดวกสบายขึ้น โดยผู้ลงทะเบียนไม่จำเป็นต้องไปยืนยันตัวตนด้วยตัวเอง ซึ่งก็มีหลายระบบที่ทำได้ค่อนข้างดี จนถึงขนาดที่ว่าเราสามารถที่จะเปิดบัญชีธนาคารแบบออนไลน์โดยไม่ต้องไปที่สาขา แต่ทั้งนี้ผู้ให้บริการจำเป็นต้องเข้าใจวิธีการพิสูจน์ตัวตนที่ดีพอ

วิธีการที่น่าเชื่อถือที่สุดในปัจจุบันคือ การใช้ดิจิทัลไอดี (Digital ID) ซึ่งเป็นการระบุอัตลักษณ์และคุณลักษณะของบุคคลทางดิจิทัล ซึ่งก็อาจเป็น Username และ Password เหมือนระบบอีเมลทั่วไป แต่จะต่างกันที่ระบบดิจิทัลไอดีอาจตรวจสอบคุณลักษณะตัวบุคคลเพิ่มเติมผ่าน OTP ของมือถือ หรือการสแกนใบหน้า

โดยคนทั่วไปที่ต้องการจะขอมีดิจิทัลไอดี จำเป็นต้องทำการขึ้นทะเบียนกับหน่วยงานที่น่าเชื่อถือที่จะทำหน้าที่ในการออกดิจิทัลไอดี และต้องพิสูจน์ตัวตนก่อนการใช้บริการ ซึ่งหน่วยงานเช่นนี้จะถูกเรียกว่า “ID Provider”

ในปัจจุบันบ้านเราก็มีสำนักงานพัฒนารัฐบาลดิจิทัล (DGA) ที่สามารถจะออกดิจิทัลไอดีให้กับประชาชนทั่วไปได้ และผู้ใช้บริการสามารถเลือกที่จะยืนยันตัวตนได้อย่างปลอดภัยผ่านแอปพลิเคชัน D.Dopa โดยผู้ใช้จำเป็นต้องไปยืนยันตัวตนลงทะเบียนเปิดใช้งานที่สำนักงานเขตก่อน

นอกจากนี้ บ้านเรายังมีระบบ NDID หรือ National Digital ID ซึ่งเป็นบริการยืนยันตัวตนรูปแบบดิจิทัล​​ที่ออกโดยสถาบันการเงินและหน่วยงานของรัฐต่างๆ ที่ช่วยให้สามารถทำธุรกรรมออนไลน์ต่างๆ ได้ อย่างมีประสิทธิภาพมากขึ้น โดยไม่ต้องเดินทางไปที่สาขา หรือสำนักงาน เพื่อทำการแสดงตนสำหรับสมัครบริการ เช่น การเปิดบัญชีธนาคาร หรือบัญชีหลักทรัพย์ เป็นต้น

หน่วยงานที่ต้องการจะให้คนทั่วไปมาลงทะเบียนเข้าใช้บริการออนไลน์ของตัวเองด้วยดิจิทัลไอดี จำเป็นต้องพัฒนาโปรแกรมการลงทะเบียนเพื่อให้สามารถล็อกอินโดยใช้ดิจิทัลไอดี มีการเชื่อมโยงไปยังระบบของ ID Provider เพื่อยืนยันตัวตนทุกครั้งที่มีการล็อกอิน

วิธีการยืนยันตัวตนด้วยดิจิทัลไอดีที่ออกโดยหน่วยงานที่มีความน่าเชื่อ จะช่วยทำให้เรามั่นใจได้ว่าผู้ลงทะเบียนเข้าระบบออนไลน์คือบุคคลคนเดียวกันบนโลกจริง

แต่ระบบดิจิทัลไอดียังใช้งานไม่มากนัก และในบ้านเรายังมีจำนวนคนที่มีดิจิทัลไอดีไม่มาก ทั้งนี้ วิธีพิสูจน์ตัวตนที่น่าเชื่อถืออีกแบบหนึ่งที่นิยมทำ คือ ให้ผู้ลงทะเบียนกรอกเลขบัตรประชาชน เลขหลังบัตรประชาชน และต้องถ่ายรูปใบหน้าพร้อมถือบัตรประชาชนส่งไปในระบบลงทะเบียน รวมถึงอาจต้องขยับร่างกาย เพื่อให้มั่นใจว่าไม่ใช่ภาพนิ่ง ที่เคยถ่ายมาไว้ก่อนแล้ว โดยผู้รับลงทะเบียน อาจใช้ระบบเอไอตรวจสอบภาพถ่ายที่ส่งมากับภาพในบัตรประชาชน

บางหน่วยงานเลือกพิสูจน์ตัวตนแบบง่ายๆ แค่ให้ผู้ลงทะเบียนต้องกรอกเลขบัตรประชาชน และเลขหลังบัตรประชาชน พร้อมทั้งข้อมูลส่วนบุคคลต่างๆ แต่วิธีนี้มีความเสี่ยงค่อนข้างสูง เพราะผู้อื่นจะนำข้อมูลบัตรประชาชนมาลงทะเบียนแทนได้ การลงทะเบียนแบบนี้คงเหมาะกับงานบริการทั่วไป ที่อาจไม่สำคัญมากนัก และไม่เกี่ยวกับธุรกรรมการเงิน

สำหรับการทำธุรกรรมภายในหน่วยงาน อาจพิสูจน์ตัวตนโดยใช้อีเมลที่ออกโดยฝ่ายบุคคลของหน่วยงานได้ แต่ก่อนที่จะออกอีเมล ฝ่ายบุคคลจำเป็นต้องให้ผู้ใช้อีเมลยืนยันตัวบุคคลด้วยตนเอง และต้องมั่นใจว่า Username และ Password ของอีเมลถูกเปิดโดยบุคคลคนนั้นจริง แต่การยืนยันตัวตนแบบนี้เหมาะกับการใช้งานภายในหน่วยงานเท่านั้น

ส่วนการพิสูจน์ตัวตนโดยใช้อีเมลสาธารณะเช่น Gmail หรือ Hotmail นั้นคงเป็นไปไม่ได้ เพราะการสมัครอีเมลสาธารณะจะไม่มีการพิสูจน์ตัวตนจากบริษัทที่ออกอีเมลให้ ดังนั้นถ้าบริการใดๆ อนุญาตให้นำอีเมลสาธารณะมาใช้ในการลงทะเบียน และขาดวิธีการพิสูจน์ตัวตนที่ดี เช่น ไม่ตรวจสอบข้อมูลบัตรประชาชนและเลขหลังบัตรแต่กลับให้กรอกข้อมูลเฉพาะวันเดือนปีเกิด หรือแค่เลขบัตรประชาชน ก็ยังไม่สามารถพิสูจน์ตัวตนได้ ถ้ายิ่งใส่แค่ชื่อ อีเมล และเบอร์โทรศัพท์ ก็ยิ่งปลอมแปลงตัวตนกันได้ง่ายมาก กลายเป็นระบบลงทะเบียนที่ไม่สามารถพิสูจน์ตัวตนได้จึงและขาดความน่าเชื่อถือ