Passwordless Authentication

ในปัจจุบัน เรามักได้ยินข่าวรหัสผ่านหลุด รหัสผ่านโดนหลอกลวง  (phishing) อยู่เป็นระยะ ดังนั้น องค์กรต่างๆ จึงได้พยายามหาแนวทางยกระดับการยืนยันตัวตนให้มีความปลอดภัยมากยิ่งขึ้น ซึ่งหนึ่งในวิธีนั้นคือ การยืนยันตัวตัวโดยไม่ใช้รหัสผ่าน (Passwordless authentication) โดยทางเว็บของไมโครซอฟท์ได้ให้ข้อมูลไว้ว่าการยืนยันตัวตนแบบนี้ มีความปลอดภัยที่สูงมากๆ และอาจมีหลายคนที่กำลังใช้การยืนยันตัวตนแบบนี้อยู่

ประเภทของ Passwordless Authentication

การทำ Passwordless authentication นั้นสามารถทำได้หลายวิธี ตัวอย่างเช่น

  • ไบโอเมตริก เช่น สแกนลายนิ้วมือ สแกนม่านตา
  • อุปกรณ์ที่ถือครอง (Possession factors) เป็นการยืนยันตัวตนผ่านของบางอย่างที่ผู้ใช้งานถือครอง เช่น Time-based OTP จากแอป Authenticator, OTP ผ่าน SMS หรือ ฮาร์ดแวร์โทเค็น เป็นต้น
  • เมจิกลิงก์ (Magic links) เป็นการรับ authentication link ผ่านทางอีเมล เมื่อคลิกลิงก์ที่ได้รับ ก็จะเป็นการยืนยันตัวตนโดยทันที

Passwordless Authentication ปลอดภัยหรือไม่

การจะบอกว่าการยืนยันตัวตนโดยไม่ใช้รหัสผ่านนั้นปลอดภัยหรือไม่ ก็คงจะต้องดูที่คำนิยามของคำว่าปลอดภัย

หากความปลอดภัยหมายถึง ยากต่อการแฮ็ก มีช่องโหว่น้อยกว่าการใช้รหัสผ่านปกติ ก็สามารถตอบได้ว่า ปลอดภัยกว่ารหัสผ่านแบบปกติมาก

หากหมายถึง ไม่สามารถแฮ็กได้ ก็คงต้องตอบว่า ณ ตอนนี้ยังไม่มีการยืนยันตัวตนรูปแบบไหน ที่สามารถป้องกันการแฮ็กได้ 100%

แต่อย่างที่กล่าวมาข้างต้น การยืนยันตัวตนโดยไม่ใช้รหัสผ่านนั้นเป็นวิธีที่ปลอดภัยกว่าการใช้รหัสผ่านมาก และเริ่มได้รับความนิยมมากขึ้นเรื่อยๆ ในปัจจุบัน

ข้อดี-ข้อเสียของ Passwordless Authentication

ข้อดี

  • ความปลอดภัยที่มากขึ้น เป็นที่ทราบกันดีอยู่แล้วว่ารหัสผ่านเป็นหนึ่งในจุดอ่อนที่สำคัญในระบบคอมพิวเตอร์ และเป็นเป้าหมายแรกในการโจมตีจากผู้ไม่หวังดี
  • ประสบการณ์การใช้งานที่ดีขึ้น นอกจากจะไม่ต้องตั้งรหัสผ่านที่จำยากหรือซ้ำๆ กันทุกที่แล้ว ยังไม่ต้องคอยเปลี่ยนรหัสผ่านหากเกิดการรั่วไหลอีกด้วย
  • ลดค่าใช้จ่ายด้าน IT เนื่องจากไม่ต้องเก็บรหัสผ่านไว้ในฐานข้อมูล และไม่ต้องมีนโยบายเกี่ยวกับการตั้งรหัสผ่าน

ข้อเสีย

  • มีค่าใช้จ่ายในการใช้งานที่สูง แม้ว่าในระยะยาว Passwordless authentication จะประหยัดค่าใช้จ่ายกว่า แต่ในการปรับเปลี่ยนระบบครั้งแรกจะมีการลงทุนที่สูง ทั้งการพัฒนาและติดตั้งระบบ และค่าอุปกรณ์ที่ต้องใช้
  • ต้องมีการเรียนรู้ เนื่องจากการใช้งานจะต่างไปจากระบบรหัสผ่านที่ใช้กันอยู่ จึงต้องมีการเทรนนิ่งให้กับทั้งฝ่าย IT และผู้ใช้งาน
  • ต้องเก็บรักษาอุปกรณ์ไว้ให้ดี เช่น ถ้าทำโทรศัพท์มือถือ หรือฮาร์ดแวร์โทเค็นหาย ก็จะไม่สามารถยืนยันตัวตนได้ (ปัจจุบันก็ได้มีการคิดค้นทางแก้โดยการใช้ Recovery Codes)

ที่มา:

https://www.onelogin.com/learn/passwordless-authentication

https://en.wikipedia.org/wiki/Passwordless_authentication

https://www.microsoft.com/th-th/security/business/solutions/passwordless-authentication