ธนาคารไทยควรทำ

เมื่อวานมีข่าว KTB Netbank เริ่มประกาศว่าจะไม่ยอมให้เครื่องที่ root ใช้งานได้อีกต่อไป โอเค มันก็เป็น mindset ของคนทำงานธนาคารโดยทั่วไปว่าเครื่องที่ root แล้วความปลอดภัยมันลดลง

แต่บางทีมันคงดี ถ้าธนาคารจะทำ practice ในฝั่งตัวเองให้ครบถ้วน เป็นแบบอย่างบ้าง เช่น

  • HTTPS นี่มันปี 2018 แล้ว เรามีใบรับรองดิจิตอลฟรีมาเป็นปีแล้ว ถ้ามีโดเมนธนาคารยังไม่เป็น HTTPS อยู่มันน่าจะมีอะไรผิด (อาจจะผิดที่ mindset ตรงนี้ไม่สำคัญ ฉันไม่ทำ) ข่าว KTB เองก็ต้องเข้า source ด้วย HTTP ถ้าใส่ HTTPS Everywhere นี่จะเข้าได้ แล้วเจอหน้า 404 สวัสดีปี 2018 เดี๋ยว Chrome ก็จะประจานหนักขึ้นเรื่อยๆ แล้ว จริงๆ แล้วตั้งแต่ปีที่แล้ว ธนาคารและบริษัทลูกที่ใช้แบรนด์เดียวกันทั้งหมดควรมีนโยบาย HTTPS Only กันได้แล้วนะ เคยเจอเว็บธนาคารทำดี สมัคร broker แล้วได้ HTTP server มาเป็นไอพีเลย ใช้ส่งข้อมูล PII เต็มรูปแบบ
  • เซิร์ฟเวอร์อีเมลรับ TLS อันนี้ทำแล้วหลายธนาคาร (ขอชื่นชม) ช่วงหลังกูเกิลประจานหนักขึ้นเรื่อยๆ ใน Gmail ก็ถึงเวลาต้องกลับไปคอนฟิกแล้ว พอมารู้ตอนหลังว่าหลายธนาคารทำทั้งที่ไม่มีใครประจานมาก่อนหน้านี้ก็ต้องชมว่างานละเอียดจริง
  • PDF กำหนดรหัสเองได้ อันนี้ยังไม่เจอธนาคารที่ใช้อยู่ทำ ไม่รู้จะอุตส่าห์ตั้งรหัสเป็นวัน-เดือนเกิดทำไม ประโยชน์เดียวคือ Gmail ค้นข้อความข้างในไม่ได้ ความปลอดภัยไม่ได้เพิ่มขึ้น (รหัสมีความเป็นไปได้ตั้ง 365 กรณี) บางธนาคารเติมปีมาให้ ความปลอดภัยน่าจะเพิ่มขึ้น “ติ๊ดนึง” อาจจะเดาช่วง 10-20 ปีได้ แนวทางหลังจากนี้การรายงานข้อมูลลูกค้าน่าจะเพิ่มขึ้นเรื่อยๆ (สิงคโปร์เริ่มกำหนดให้ส่งอีเมลแจ้ง statement รายวัน) ข้อมูลถ้ารั่วไปหาคนอื่นมันจะร้ายแรงขึ้นเรื่อยๆ เปิดทางให้ user รักษาความปลอดภัยตัวเองสักหน่อย
  • ตรวจข้อมูลก่อนใช้ อันนี้เข้าใจว่าเมื่อก่อนสมัยไม่มีมือถือ หรืออีเมลไม่ได้ใช้งานหนักๆ ก็ไม่ได้ตรวจความถูกต้องกันนัก แต่ข้อมูลการสื่อสารอิเล็กทรอนิกส์พวกนี้มันควรถูกตรวจก่อนใช้งานจริงจังบ้างได้แล้ว ข่าว KTB นี่ user เข้ามาแสดงความเห็นกันเพียบว่าสารพัดธนาคารไม่เคยตรวจว่าอีเมลถูกจริงไหม หนักสุดที่เคยเจอคือใส่ข้อมูลผิดกลายเป็นลงทะเบียน PromptPay สวมเบอร์คนอื่นได้เลย (ผิดประกาศแบงค์ชาติแน่ๆ แต่ไม่เคยได้ยินว่ามีการ mass revoke การลงทะเบียนที่ไม่ได้ตรวจก่อนทั้งหมดนะ)
  • รองรับ password manager เสียที คำแนะนำด้านความปลอดภัยใหม่ๆ เขาแนะนำให้ใช้ password manager มาพักใหญ่แล้ว เลิกห้าม paste รหัสผ่าน, เลิกสร้างคีย์บอร์ดเองในแอปและในเว็บ, เลิกกำหนดความยาวรหัสกันได้แล้ว