นับถอยหลังอวสาน OTP กูรูชี้จ่ายเงินด้วย QR Code ช่องโหว่เพียบ

กูรูด้านความปลอดภัยการชำระเงินฟันธง OTP (One Time Password) เสื่อมความนิยมแ้มแต่"สวิตเซอร์แลนด์"ยังเลิกใช้มาเกือบ 15 ปี มั่นใจเทคโนโลยีอนาคตจะมาแทนที่ทุกระบบรหัสผ่าน ระบุ NFC (Near Field Communication) คือโอกาสใหญ่สำหรับภูมิภาคนี้โดยเฉพาะเมื่อรวมกับ e-wallet จะช่วยเพิ่มการเข้าถึงบริการทางการเงินได้ดีกว่าเดิม ยันปลอดภัยกว่าการชำระเงินด้วยคิวอาร์โค้ด (QR Code) ที่มีช่องโหว่เพียบ

ฮันสปีเตอร์ เจสเลอร์ (Hanspeter Jsler) กรรมการผู้จัดการภูมิภาคเอเชียแปซิฟิก บริษัท G+D Netcetera ผู้เชี่ยวชาญด้านความปลอดภัยการชำระเงินและการป้องกันการฉ้อโกง กล่าวถึงแนวโน้มความปลอดภัยในการชำระเงินดิจิทัล ว่าภาพรวมตลาดการชำระเงินในภูมิภาคอาเซียน และโดยเฉพาะในประเทศไทยนั้นมีความหลากหลายมาก และแต่ละประเทศล้วนมีระบบการชำระเงินเป็นของตัวเอง รวมถึงมีระบบการชำระเงินภายในประเทศที่แตกต่างกันไป ซึ่งแม้ว่า QR payment จะเป็นที่นิยม พร้อมกับที่ PromptPay ในประเทศไทยนั้นถือเป็นแพลตฟอร์มกลางที่ดี แต่ความท้าทายคือการทำให้ระบบสามารถเชื่อมโยงกันได้ระหว่างประเทศ

ฮันสปีเตอร์เล่าประสบการณ์ตรงเมื่อครั้งที่เดินทางมากรุงเทพฯ พบว่านักท่องเที่ยวจากสิงคโปร์ ซึ่งอยู่ในภูมิภาคเดียวกัน แต่ยังจ่ายเงินตามร้านค้า หรือแม้แต่อีคอมเมิร์ซได้ค่อนข้างลำบาก ทั้งที่เทคโนโลยีพื้นฐานนั้นคล้ายกัน นอกจากนี้ ด้วยจำนวนประชากรที่สูงมากในภูมิภาคนี้ ทั้งไทยที่มีเกือบ 70 ล้านคน เวียดนาม 100 ล้านคน หรืออินโดนีเซียที่ใหญ่กว่านั้นอีก ทำให้ปริมาณธุรกรรมมีจำนวนมหาศาล อาเซียนจึงกลายเป็นเป้าหมายสำคัญของเหล่ามิจฉาชีพไปโดยปริยาย กลายเป็นความท้าทายสำคัญทั้งในไทยและประเทศเพื่อนบ้าน


G+D Netcetera นั้นเป็นส่วนหนึ่งของบริษัท Giesecke+Devrient ซึ่งเป็นบริษัทยักษ์ใหญ่ด้านเทคโนโลยีความปลอดภัยจากเยอรมนี ที่ผ่านมา G+D ไม่เพียงมุ่งสื่อสารว่ายุคของ OTP นั้นจบแล้ว แต่เน้นให้ความสำคัญกับการยกระดับความปลอดภัยและความยืดหยุ่นของการชำระเงินแบบ Card-not-Present (CNP) หรือการจ่ายเงินโดยที่ไม่มีการรูดบัตรหรือเสียบบัตรจริง ให้ปลอดภัยขึ้นโดยไม่ต้องเพิ่มความยุ่งยากให้กับผู้ใช้งาน

ในส่วนเทคโนโลยีไร้รหัสผ่านอย่าง FIDO (Fast Identity Online) authentication ด้วย passkeys ที่ถูกมองว่าจะมาแทนรหัสผ่านแบบเดิม รวมถึงระบบชำระเงินด้วยโทเคน tokenized payments ที่สามารถบันทึกบัตรไว้ใช้ภายหลัง (card-on-file) ได้อย่างปลอดภัย ทั้งหมดนี้เกี่ยวข้องกับแนวคิด Password-less authentication หรือการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน ด้วยสิ่งที่เรียกว่า "Passkeys"

***สแกนใบหน้า ยังไม่ใช่ password-less

ฮันสปีเตอร์อธิบายว่าการใช้ลายนิ้วมือหรือสแกนหน้าเพื่อปลดล็อก โดยที่เบื้องหลังยังมีการส่งรหัสผ่านไปยังผู้ให้บริการนั้นยังไม่ใช่กระบวนการตามแนวคิด password-less ที่แท้จริง เพราะเมื่อใดก็ตามที่มีรหัสผ่าน รหัสผ่านนั้นย่อมสามารถถูกแฮ็กได้แม้จะเป็นรหัสผ่านใช้ครั้งเดียวหรือ OTP ก็ตาม

"Passkeys คือระบบที่ไม่มีการส่งรหัสผ่านกันเลยในระหว่างการลงทะเบียน ระบบจะสร้างกุญแจ 2 ดอก คือ private key ที่จะเก็บไว้ในอุปกรณ์อย่างปลอดภัยและไม่มีวันหลุดออกไปไหน และ public key ที่จะถูกส่งไปให้ธนาคารหรือผู้ให้บริการ เมื่อจะทำธุรกรรมหรือล็อกอิน ธนาคารจะส่งข้อมูลมาที่แอปของผู้ใช้ ซึ่งก็จะใช้ private key ที่ปลดล็อกด้วยข้อมูลชีวภาพ biometrics อย่างลายนิ้วมือหรือใบหน้า เพื่อ sign หรือลงนามในคำขอนั้น แล้วส่งกลับไปให้ธนาคารตรวจสอบด้วย public key ที่มีอยู่ และถ้าทุกอย่างถูกต้อง การทำธุรกรรมก็จะดำเนินต่อไปได้"


ความปลอดภัยกว่า และการไม่มีรหัสผ่านให้ต้องจำหรือกลัวใครมาแอบหลอกให้บอกรหัส ทำให้สวิตเซอร์แลนด์เป็นประเทศที่เลิกใช้ OTP มาเกือบ 15 ปี โดยปัจจุบัน สิงคโปร์ก็กำลังทยอยเลิกใช้งาน และประเทศไทยเองก็อาจจะก้าวกระโดดไปใช้โซลูชันที่ปลอดภัยที่สุดอย่าง Passkeys ได้เลย โดยไม่ต้องผ่านช่วงเปลี่ยนผ่านเหมือนตลาดอื่น

เมื่อถามถึงโซลูชันของ G+D เอง ฮันสปีเตอร์ย้ำว่าจุดเด่นของ G+D คือการสนับสนุนตลอดทั้งกระบวนการ ตั้งแต่ผู้ถือบัตร ร้านค้า ระบบกลาง ไปจนถึงผู้ออกบัตร โดยมีให้บริการทั้งบัตรแบบจับต้องได้ (physical card) และเทคโนโลยีการชำระเงินดิจิทัลที่ผูกเข้าด้วยกัน

"G+D มีโซลูชันใหม่ที่มีมาตรการความปลอดภัยมากมายบนตัวบัตร เพื่อลดปัญหาการโกงจากตู้ ATM ที่เคยเป็นข่าวในไทย ส่วนในโลกดิจิทัล เรามีบริการที่ช่วยให้ผู้ใช้ออกบัตรดิจิทัลผ่านแอปและใช้งานได้ทันทีอย่างปลอดภัย รวมถึงสนับสนุน Tokenization ในทุกระดับ ทำให้ไม่ต้องใช้เลขบัตรจริงในการทำธุรกรรมอีกต่อไป และธนาคารก็ยังสามารถเห็นได้ว่า token ของบัตรไปผูกอยู่ที่ใดบ้าง ถ้ามีอุปกรณ์เก่าที่ไม่ได้ใช้แล้วก็กดลบออกได้ตามต้องการ"


G+D มีแผนแข่งขันในตลาดอาเซียนอย่างจริงจังช่วงปี 2025 โดยฮันสปีเตอร์ยืนยันว่าจะไม่ได้แข่งที่ราคา แต่จะแข่งด้วยความสามารถรอบด้าน โดยเฉพาะด้านความเป็นสากล เนื่องจาก G+D เป็นบริษัทระดับโลก มีสาขาในหลายประเทศ เข้าใจกฎระเบียบของแต่ละตลาด และให้บริการลูกค้าด้วยทีมงานในภูมิภาคเดียวกัน ใช้ภาษาเดียวกัน เข้าใจความต้องการและความท้าทายของลูกค้า

ด้านที่ 2 คือความมั่นคงและวิสัยทัศน์ระยะยาว เนื่องจาก G+D เป็นบริษัทเก่าแก่กว่า 170 ปี ยังเป็นธุรกิจครอบครัว ไม่ได้มองแค่กำไรระยะสั้น ทำให้ลูกค้ามั่นใจได้ในความสัมพันธ์ระยะยาว ว่าบริษัทจะยังคงอยู่และให้บริการต่อไปอีกหลายปีข้างหน้า และด้านที่ 3 คือความเป็นผู้นำด้านนวัตกรรม เนื่องจาก G+D เป็นสมาชิกและมีบทบาทสำคัญในองค์กรกำหนดมาตรฐานระดับโลกอย่าง FIDO ที่ถูกกำหนดเป็นมาตรฐานความปลอดภัยในการชำระเงิน โดยบริษัทเป็นที่ปรึกษาทางเทคนิค ทำให้รู้มาตรฐานใหม่ๆ ก่อนใคร และโซลูชันของบริษัทมีความทันสมัย เป็นกลุ่มแรกๆ ที่ได้รับการรับรองเทคโนโลยีใหม่

สำหรับตลาดไทยที่การชำระเงินด้วย QR Code ได้รับความนิยมสูง ฮันสปีเตอร์เชื่อว่าแม้ QR Code จะสะดวก สแกนง่าย จ่ายคล่อง แต่ในอีกไม่นาน หรือไม่ช้าก็เร็ว QR Code จะไม่ได้มีความนิยมในระดับที่สูงเหมือนที่เป็นอยู่ในปัจจุบัน เนื่องจากช่องโหว่ความปลอดภัยที่ง่ายมากในการนำเอารหัส QR ปลอมมาแปะทับพื้นที่เดิมเพื่อหลอกลวง 


นอกจากนี้ บางประเทศอย่างไทย สิงคโปร์ หรือมาเลเซีย มีการใช้ข้อมูลส่วนตัวอย่างเลขบัตรประชาชน มาผูกอยู่หลัง QR Code ซึ่งทำให้สามารถตั้งคำถามได้ว่า "ข้อมูลที่ควรเป็นความลับเช่นนี้ ควรนำมาในการชำระเงินจริงหรือ?" เนื่องจากข้อมูลนี้ไม่ใช่ tokenized transaction ทำให้ข้อมูลสำคัญอาจรั่วไหลได้

***จับตา NFC มา

ฮันสปีเตอร์ยังเปรียบเทียบไทยกับจีนที่มีระบบ QR Code แบบที่ผู้ใช้สามารถโชว์ QR ให้ร้านค้าสแกน ซึ่งช่วยลดความเสี่ยงเรื่อง QR ปลอมได้ แต่ก็เป็นระบบปิด ดังนั้น เทคโนโลยี NFC ที่เป็นมาตรฐานเปิดจึงมีโอกาสที่ดีกว่า และน่าจะได้รับการยอมรับจากคนรุ่นใหม่ในระยะยาวมากกว่า


ในส่วน NFC ฮันสปีเตอร์มองว่า NFC คือโอกาสครั้งใหญ่สำหรับภูมิภาคเอเชียตะวันออกเฉียงใต้ เนื่องจากเป็นทางเลือกที่ดีกว่าบริการอย่าง Apple Pay หรือ Google Pay ที่บางครั้งมีค่าใช้จ่ายสูง และมักจะต้องผูกกับบัตรเครดิต ทำให้คนท่ีไม่มีบัตรเข้าไม่ถึง แต่ NFC นั้นสามารถรวมกับบริการ e-wallets ซึ่งจะเพิ่มการเข้าถึงบริการทางการเงินได้ดีกว่า แถมยังใช้งานง่ายสำหรับคนรุ่นใหม่อีกด้วย โดย NFC payment สามารถรองรับกับเครื่องรูดบัตร (terminals) ได้ง่า


ที่สุดแล้ว ฮันสปีเตอร์มองว่าปัญญาประดิษฐ์จะเป็นเครื่องมือสำคัญในการต่อสู้กับมิจฉาชีพ ในเมื่อโจรใช้ AI ภาคการเงินก็ต้องใช้ AI มาป้องกัน โดยหากมองที่ความท้าทายในตลาดไทยและอาเซียน เชื่อว่าสิ่งที่ยากที่สุดคือการตามให้ทันกลุ่มมิจฉาชีพที่พัฒนาวิธีการโกงใหม่อยู่ตลอดเวลา

ฮันสปีเตอร์ยอมรับว่าการลงทุนในเทคโนโลยีป้องกันอย่าง AI นั้นมีค่าใช้จ่ายสูง และบางทีก็ยากที่จะอธิบายให้ลูกค้าเข้าใจถึงความคุ้มค่า เนื่องจากเป็นการลงทุนเพื่อลดความเสี่ยง ไม่ใช่การสร้างรายได้โดยตรง และที่สำคัญคือ การป้องกันภัยไซเบอร์ไม่ใช่ทำครั้งเดียวจบ แต่ต้องปรับปรุงพัฒนาโครงสร้างพื้นฐานร่วมกับลูกค้าอยู่เสมอ.