ในปัจจุบัน เรามักได้ยินข่าวรหัสผ่านหลุด รหัสผ่านโดนหลอกลวง (phishing) อยู่เป็นระยะ ดังนั้น องค์กรต่างๆ จึงได้พยายามหาแนวทางยกระดับการยืนยันตัวตนให้มีความปลอดภัยมากยิ่งขึ้น ซึ่งหนึ่งในวิธีนั้นคือ การยืนยันตัวตัวโดยไม่ใช้รหัสผ่าน (Passwordless authentication) โดยทางเว็บของไมโครซอฟท์ได้ให้ข้อมูลไว้ว่าการยืนยันตัวตนแบบนี้ มีความปลอดภัยที่สูงมากๆ และอาจมีหลายคนที่กำลังใช้การยืนยันตัวตนแบบนี้อยู่
ประเภทของ Passwordless Authentication
การทำ Passwordless authentication นั้นสามารถทำได้หลายวิธี ตัวอย่างเช่น
- ไบโอเมตริก เช่น สแกนลายนิ้วมือ สแกนม่านตา
- อุปกรณ์ที่ถือครอง (Possession factors) เป็นการยืนยันตัวตนผ่านของบางอย่างที่ผู้ใช้งานถือครอง เช่น Time-based OTP จากแอป Authenticator, OTP ผ่าน SMS หรือ ฮาร์ดแวร์โทเค็น เป็นต้น
- เมจิกลิงก์ (Magic links) เป็นการรับ authentication link ผ่านทางอีเมล เมื่อคลิกลิงก์ที่ได้รับ ก็จะเป็นการยืนยันตัวตนโดยทันที
Passwordless Authentication ปลอดภัยหรือไม่
การจะบอกว่าการยืนยันตัวตนโดยไม่ใช้รหัสผ่านนั้นปลอดภัยหรือไม่ ก็คงจะต้องดูที่คำนิยามของคำว่าปลอดภัย
หากความปลอดภัยหมายถึง ยากต่อการแฮ็ก มีช่องโหว่น้อยกว่าการใช้รหัสผ่านปกติ ก็สามารถตอบได้ว่า ปลอดภัยกว่ารหัสผ่านแบบปกติมาก
หากหมายถึง ไม่สามารถแฮ็กได้ ก็คงต้องตอบว่า ณ ตอนนี้ยังไม่มีการยืนยันตัวตนรูปแบบไหน ที่สามารถป้องกันการแฮ็กได้ 100%
แต่อย่างที่กล่าวมาข้างต้น การยืนยันตัวตนโดยไม่ใช้รหัสผ่านนั้นเป็นวิธีที่ปลอดภัยกว่าการใช้รหัสผ่านมาก และเริ่มได้รับความนิยมมากขึ้นเรื่อยๆ ในปัจจุบัน
ข้อดี-ข้อเสียของ Passwordless Authentication
ข้อดี
- ความปลอดภัยที่มากขึ้น เป็นที่ทราบกันดีอยู่แล้วว่ารหัสผ่านเป็นหนึ่งในจุดอ่อนที่สำคัญในระบบคอมพิวเตอร์ และเป็นเป้าหมายแรกในการโจมตีจากผู้ไม่หวังดี
- ประสบการณ์การใช้งานที่ดีขึ้น นอกจากจะไม่ต้องตั้งรหัสผ่านที่จำยากหรือซ้ำๆ กันทุกที่แล้ว ยังไม่ต้องคอยเปลี่ยนรหัสผ่านหากเกิดการรั่วไหลอีกด้วย
- ลดค่าใช้จ่ายด้าน IT เนื่องจากไม่ต้องเก็บรหัสผ่านไว้ในฐานข้อมูล และไม่ต้องมีนโยบายเกี่ยวกับการตั้งรหัสผ่าน
ข้อเสีย
- มีค่าใช้จ่ายในการใช้งานที่สูง แม้ว่าในระยะยาว Passwordless authentication จะประหยัดค่าใช้จ่ายกว่า แต่ในการปรับเปลี่ยนระบบครั้งแรกจะมีการลงทุนที่สูง ทั้งการพัฒนาและติดตั้งระบบ และค่าอุปกรณ์ที่ต้องใช้
- ต้องมีการเรียนรู้ เนื่องจากการใช้งานจะต่างไปจากระบบรหัสผ่านที่ใช้กันอยู่ จึงต้องมีการเทรนนิ่งให้กับทั้งฝ่าย IT และผู้ใช้งาน
- ต้องเก็บรักษาอุปกรณ์ไว้ให้ดี เช่น ถ้าทำโทรศัพท์มือถือ หรือฮาร์ดแวร์โทเค็นหาย ก็จะไม่สามารถยืนยันตัวตนได้ (ปัจจุบันก็ได้มีการคิดค้นทางแก้โดยการใช้ Recovery Codes)
ที่มา:
https://www.onelogin.com/learn/passwordless-authentication
https://en.wikipedia.org/wiki/Passwordless_authentication
https://www.microsoft.com/th-th/security/business/solutions/passwordless-authentication