ข้ามไปเนื้อหา

การพิสูจน์ตัวจริงโดยไร้รหัสผ่าน

จากวิกิพีเดีย สารานุกรมเสรี

การพิสูจน์ตัวจริงโดยไร้รหัสผ่าน[1] (อังกฤษ: passwordless authentication) เป็นวิธีการพิสูจน์ตัวผู้ใช้ เมื่อลงชื่อเข้าใช้บัญชีระบบคอมพิวเตอร์โดยไม่ต้องจดจำหรือใส่รหัสผ่าน หรือแม้แต่ข้อมูลลับที่มีร่วมกันอื่นๆ ในการทำให้เกิดผลโดยมาก ผู้ใช้จะใส่ตัวระบุบัญชี (เช่นชื่อผู้ใช้ เบอร์โทร หรือที่อยู่อีเมล) แล้วพิสูจน์ตัวตนด้วยข้อมูลระบุผู้ใช้ ซึ่งเก็บไว้อย่างปลอดภัยในอุปกรณ์ที่ลงทะเบียนไว้

การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านปกติจะอาศัยโครงสร้างพื้นฐานของการเข้ารหัสแบบกุญแจอสมมาตร เมื่อลงทะเบียน ระบบผู้ใช้จะให้กุญแจสาธารณะ (public key) แก่ระบบบริการไม่ว่าจะเป็นเซิร์ฟเวอร์ แอป หรือเว็บไซต์ โดยระบบผู้ใช้จะเก็บกุญแจส่วนตัว (private key) ไว้ในคอมพิวเตอร์ สมาร์ทโฟน หรือใน security token ซึ่งสามารถเข้าถึงได้โดยลักษณะทางชีวมิติ (เช่นลายนิ้วมือ) หรือปัจจัยการพิสูจน์ตัวจริงอื่นๆ ที่ปกติจะไม่อาศัยความรู้

ปัจจัยการพิสูจน์ตัวจริงที่ไม่ใช้ความรู้ปกติจะจัดอยู่ในหมวดสองหมวด คือ

  • สิ่งที่ผู้ใช้มี เช่น โทรศัพท์มือถือ, โทเค็นสร้างรหัสผ่านที่ใช้ครั้งเดียว (OTP token), สมาร์ตการ์ด หรือ security token
  • สิ่งที่ผู้ใช้เป็น คือสิ่งที่มีโดยธรรมชาติ เช่น ลายนิ้วมือ ลายม่านตา ใบหน้า หรือเสียงพูด

วิธีการอื่นๆ อาจรวมการใช้ปัจจัยหลายอย่างร่วมกัน เช่น ตำแหน่งทางภูมิศาสตร์ ที่อยู่ไอพี รูปแบบพฤติกรรม และท่าทาง/การเคลื่อนไหวร่างกาย

การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านบางครั้งจะสับสนกับการพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง (MFA) เพราะทั้งสองล้วนใช้ปัจจัยการพิสูจน์ตัวจริงหลายอย่าง ความต่างก็คือ MFA เป็นตัวเพิ่มความปลอดภัยให้แก่การพิสูจน์ตัวผู้ใช้ซึ่งต้องใช้รหัสผ่าน แต่การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านจะไม่ใช้ความลับที่ต้องจำอย่างใดอย่างหนึ่ง และปกติจะใช้ปัจจัยที่ปลอดภัยมากเพื่อพิสูจน์ตัวผู้ใช้ จึงทำให้ใช้ได้ง่ายกว่าและเร็วกว่า

เมื่อใช้วิธีทั้งสองร่วมกัน ก็จะใช้คำว่า "Passwordless MFA" โดยการพิสูจน์ตัวผู้ใช้จะทั้งไม่ใช้รหัสผ่านและใช้ปัจจัยหลายอย่างร่วมกัน ซึ่งจะปลอดภัยที่สุดเมื่อทำให้เกิดผลได้อย่างถูกต้อง

ประวัติ

[แก้]

แนวคิดว่ารหัสผ่านควรจะเลิกใช้ ได้มีในวิทยาการคอมพิวเตอร์อย่างช้าก็เริ่มในปี 2004 เหตุผลที่ให้มักจะเกี่ยวกับความสะดวกง่ายดายในการใช้และความปลอดภัย ในงานประชุม RSA Conference ปี 2004 บิล เกตส์ได้พยากรณ์การยกเลิกใช้รหัสผ่านโดยกล่าวว่า "มันใช้การได้ไม่ดีกับทุกอย่างที่ต้องการทำให้ปลอดภัย"[2][3] ในปี 2011 บริษัทไอบีเอ็มพยากรณ์ว่า ใน 5 ปี "จะไม่ต้องใช้รหัสผ่านอีกต่อไป"[4] ส่วนนักข่าวที่นิตยสาร Wired ผู้ตกเป็นเหยื่อของแฮ็กเกอร์ได้กล่าวในปี 2012 ว่า "สมัยของรหัสผ่านได้ถึงที่สุดแล้ว"[5] ส่วนผู้จัดการทางความปลอดภัยข้อมูลของกูเกิลได้กล่าวในปี 2013 ว่า "รหัสผ่านจบแล้วที่กูเกิล"[6] ส่วนรองประธานด้านวิศวกรรมความปลอดภัยที่กูเกิลระบุว่า "รหัสผ่านกับโทเค็นที่ใช้ระบุผู้ใช้ตามปกติ เช่น คุกกี้ [ปัจจุบัน]ไม่พอรักษาความปลอดภัยให้แก่ผู้ใช้แล้ว"[7] ส่วนนักข่าวที่หนังสือพิมพ์ เดอะวอลล์สตรีทเจอร์นัล ได้กล่าวว่า รหัสผ่าน "ในที่สุดก็กำลังจะตาย" และพยากรณ์การพิสูจน์ตัวผู้ใช้ด้วยอุปกรณ์ แล้วระบุว่ารหัสผ่านของเขาสำหรับทวิตเตอร์ทำให้เขาต้องเปลี่ยนเบอร์โทรศัพท์มือถือ[8]

งานศึกษาปี 2012 ได้เปรียบเทียบวิธีการพิสูจน์ตัวผู้ใช้ด้วยรหัสผ่านกับวิธี 35 อย่างอื่นๆ ที่เป็นคู่แข่งโดยการใช้ง่าย การจัดนำไปใช้ได้ง่าย (deployability) และความปลอดภัย[9][10] (รายงานทางเทคนิคที่อ้างอิงจะมีรายละเอียดยิ่งกว่าเอกสารทางวิชาการที่ตีพิมพ์ในวารสารที่ตรวจสอบโดยผู้รู้เสมอกัน) การวิเคราะห์พบว่า วิธีการอื่นๆ โดยมากดีกว่ารหัสผ่านในเรื่องความปลอดภัย บางอย่างดีกว่าและบางอย่างแย่กว่าในเรื่องการใช้ง่าย แต่ไม่มีวิธีไหนเลยที่จัดนำไปใช้ได้ง่ายเท่ากับรหัสผ่าน ดังนั้นผู้เขียนจึงระบุว่า "ความดีกว่าเพียงเล็กน้อยมักไม่มีกำลังพอให้มองข้ามค่าใช้จ่ายที่สูงในการเปลี่ยนระบบ ซึ่งอาจอธิบายได้ดีสุดว่า ทำไมเราจึงน่าจะต้องอยู่ต่อไปอีกนานพอสมควรกว่าจะได้เห็นขบวนแห่ศพของรหัสผ่านที่จะนำไปสู่สุสาน"

ความก้าวหน้าทางเทคโนโลยีเร็วๆ นี้ (เช่น การขยายตัวใช้อุปกรณ์ทางชีวมิติและสมาร์ทโฟนอย่างรวดเร็ว) และความเปลี่ยนแปลงทางธุรกิจ (เช่น การยอมรับใช้ลักษณะทางชีวมิติ และการมีพนักงานที่ไม่ได้ทำงานในที่เดียวกัน) เป็นแรงผลักดันให้ยอมรับการพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านเพิ่มขึ้นเรื่อยๆ บริษัทเทคโนโลยีแนวหน้า เช่น ไมโครซอฟต์[11] และกูเกิล[12] และโปรเจ็กต์ริเริ่มต่างๆ ที่ได้การสนับสนุนจากอุตสาหกรรม ต่างก็กำลังพัฒนาทั้งสถาปัตยกรรมและแนวปฏิบัติเพื่อให้นำไปใช้ได้อย่างกว้างขวาง โดยอาจสำรองเก็บรหัสผ่านไว้ใช้ในบางกรณี การพัฒนามาตรฐานแบบโอเพน เช่น FIDO2 และ WebAuthn ก็ทำให้มีการยอมรับใช้เทคโนโลยีที่ไร้รหัสผ่านมากขึ้น เช่น วินโดวส์ฮัลโหล ในวันที่ 24 มิถุนายน 2020 เว็บบราวเซอร์ซาฟารีประกาศว่า เทคโนโลยี Face ID และ Touch ID จะสามารถใช้เป็นตัวพิสูจน์ตัวผู้ใช้สำหรับการลงชื่อเข้าบัญชีแบบไร้รหัสผ่าน[13]

กลไก

[แก้]
การลงทะเบียน

ผู้ใช้จะต้องลงทะเบียนกับระบบก่อนที่จะใช้กระบวนการพิสูจน์ตัวตนผู้ใช้ได้ การลงทะเบียนแบบไร้รหัสผ่านอาจมีขั้นตอนดังต่อไปนี้[14]

  • Registration request (การขอให้ลงทะเบียน) คือเมื่อผู้ใช้พยายามจะลงทะเบียนกับเว็บไซต์ เซิร์ฟเวอร์จะส่งคำขอให้ลงทะเบียนไปยังอุปกรณ์ของผู้ใช้
  • Authentication factor selection (การเลือกปัจจัยการพิสูจน์ตัวผู้ใช้) คือเมื่ออุปกรณ์ผู้ใช้ได้รับคำขอ ก็จะเลือกวิธีการพิสูจน์ตัวผู้ใช้ เช่น อาจจะเลือกลักษณะทางชีวมิติ เช่น ลายนิ้วมือ หรือใบหน้า เพื่อเป็นตัวระบุผู้ใช้[15]
  • Key generation (การสร้างกุญแจ) คืออุปกรณ์ผู้ใช้จะสร้างคู่กุญแจ คือกุญแจสาธารณะกับกุญแจส่วนตัว แล้วส่งกุญแจสาธารณะไปให้เซิร์ฟเวอร์เพื่อใช้พิสูจน์ยืนยันผู้ใช้ในอนาคต[16]
การใช้เข้าบัญชี

เมื่อลงทะเบียนแล้ว ผู้ใช้ก็จะสามารถลงชื่อเข้าบัญชีของระบบด้วยกระบวนการดังต่อไปนี้

  • Authentication challenge (การเรียกร้องให้พิสูจน์ตัวผู้ใช้) คือเมื่อผู้ใช้พยายามจะลงชื่อเข้าบัญชี เซิร์ฟเวอร์จะส่งคำเรียกร้องให้พิสูจน์ตัวผู้ใช้ไปยังอุปกรณ์ของผู้ใช้[16]
  • User authentication (การพิสูจน์ตัวผู้ใช้) คือผู้ใช้พิสูจน์ตนต่ออุปกรณ์โดยใช้ลักษณะทางชีวมิติ เป็นการปลดล็อกกุญแจส่วนตัว[17]
  • Challenge response (การตอบสนองคำเรียกร้อง) คือ อุปกรณ์ผู้ใช้จะเซ็นคำตอบสนองทางดิจิทัลด้วยกุญแจส่วนตัวของผู้ใช้ เพื่อตอบสนองต่อคำเรียกร้องให้พิสูจน์ตัวผู้ใช้[18]
  • Response validation (การตรวจสอบคำตอบสนอง) คือ เซิร์ฟเวอร์จะใช้กุญแจสาธารณะของผู้ใช้เพื่อตรวจสอบความถูกต้องของคำตอบสนองที่เซ็นทางดิจิทัล แล้วจึงให้ผู้ใช้เข้าถึงบัญชีได้[18]

ข้อดีข้อเสีย

[แก้]
ข้อดี

ผู้สนับสนุนชี้ข้อดีพิเศษของวิธีนี้ซึ่งเหนือกว่าวิธีการพิสูจน์ตัวผู้ใช้อื่นๆ

  • ปลอดภัยดีกว่า เพราะการใช้รหัสผ่านรู้อยู่แล้วว่าเป็นจุดอ่อนของระบบคอมพิวเตอร์ (เพราะรหัสผ่านเดียวกันจะถูกนำไปใช้ซ้ำๆ เพราะให้คนอื่นใช้ เพราะแคร็กได้เป็นต้น) และจัดว่าเป็นจุดอ่อนที่ทำให้แฮ็กระบบได้มากที่สุด (อาจถึง 80%)
  • ผู้ใช้สะดวกกว่า เพราะผู้ใช้ไม่ต้องจำรหัสผ่านที่ซับซ้อน หรือต้องทำตามนโยบายความปลอดภัยอันต่างๆ กัน โดยยังไม่ต้องเปลี่ยนรหัสผ่านเป็นประจำอีกด้วย
  • ค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศขององค์กรจะลดลง เพราะไม่ต้องเก็บและบริหารรหัสผ่าน ฝ่ายเทคโนโลยีสารสนเทศก็จะไม่ต้องตั้งนโยบายรหัสผ่าน ไม่ต้องตรวจจับการรั่วไหล ไม่ต้องจัดการการลืมรหัส และไม่ต้องทำตามกฎหมายควบคุมการเก็บรหัสผ่าน
  • เห็นได้ชัดเจนกว่าว่าใครใช้ เพราะข้อมูลการเข้าถึงบัญชีจะอยู่กับอุปกรณ์โดยเฉพาะๆ หรือเป็นลักษณะทางชีวมิติของผู้ใช้ จึงไม่สามารถก๊อปเอาไปใช้ได้ ดังนั้น ความปลอดภัยของระบบก็จะดีกว่า
  • ขยายใช้ได้ดีกว่า เพราะผู้ใช้เพิ่มใช้บัญชีได้โดยไม่ต้องมีรหัสผ่านเพิ่มยิ่งๆ ขึ้น และไม่ต้องผ่านกระบวรการลงทะเบียนบัญชีที่ซับซ้อน
ข้อเสีย

ส่วนผู้อื่นก็ชี้ข้อเสียในด้านปฏิบัติการและค่าใช้จ่าย

  • มีค่าใช้จ่ายในการทำให้เกิดผล แม้จะยอมรับกันแล้วว่า การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านจะลดค่าใช้จ่ายในระยะยาว แต่การจัดนำไปใช้ในเบื้องต้นก็มีค่าใช้จ่ายอันเป็นอุปสรรคต่อผู้ที่สนใจใช้เป็นจำนวนมาก โดยมีค่าใช้จ่ายสำหรับการติดตั้งกลไกพิสูจน์ตัวผู้ใช้สำหรับสารบบผู้ใช้ตามที่มีอยู่แล้ว และค่าใช้จ่ายสำหรับฮาร์ดแวร์ที่ผู้ใช้ต้องมี (เช่น โทเค็นสร้าง OTP, หรือกุญแจความปลอดภัย)
  • ต้องมีการฝึกและมีผู้ชำนาญ คือเทียบกับระบบจัดการรหัสผ่านที่คุ้นเคยและใช้มานานแล้ว ทั้งผู้จัดการระบบสารสนเทศและผู้ใช้จะต้องเรียนรู้และปรับตัวใหม่
  • เป็นจุดล้มเหลวจุดเดียว โดยเฉพาะก็คือ รหัสผ่านแบบใช้ครั้งเดียว หรือข้อความเตือนแบบ push notification ที่ได้ทางแอปสมาร์ทโฟนอาจสร้างปัญหาแก่ผู้ใช้เมื่อสมาร์ทโฟนเสีย หรือหาย หรือถูกขโมย หรือต้องเปลี่ยนใหม่[19]

เชิงอรรถและอ้างอิง

[แก้]
  1. "authentication", Longdo Dict, อังกฤษ-ไทย: ศัพท์บัญญัติราชบัณฑิตยสถาน, สืบค้นเมื่อ 2023-09-29, การพิสูจน์ตัวจริง [คอมพิวเตอร์ ๑๙ มิ.ย. ๒๕๔๔]
  2. Kotadia, Munir (2004-02-25). "Gates predicts death of the password". News.cnet.com. สืบค้นเมื่อ 2020-04-12.
  3. Kotadia, Munir (2004-02-25). "Gates predicts death of the password". ZDNet. สืบค้นเมื่อ 2019-05-08.
  4. "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. เก็บจากแหล่งเดิมเมื่อ 2015-03-17. สืบค้นเมื่อ 2015-03-14.
  5. Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect us Anymore". Wired. เก็บจากแหล่งเดิมเมื่อ 2015-03-16. สืบค้นเมื่อ 2015-03-14.
  6. "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. เก็บจากแหล่งเดิมเมื่อ 2015-04-02. สืบค้นเมื่อ 2015-03-14.
  7. Grosse, Eric; Upadhyay, Mayank (January 2013). "Authentication at Scale". IEEE Security & Privacy. 11 (1): 15–22. doi:10.1109/MSP.2012.162. S2CID 57409. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-04-23. สืบค้นเมื่อ 2022-07-02.
  8. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. สืบค้นเมื่อ 2019-03-22. {{cite journal}}: Cite journal ต้องการ |journal= (help)
  9. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.
  10. "Use passwordless authentication to improve security". Microsoft.com. 2020-01-28. สืบค้นเมื่อ 2020-04-12.
  11. "Making authentication even easier". security.googleblog.com. 2019. สืบค้นเมื่อ 2020-04-12.
  12. "Apple Developer Documentation". developer.apple.com. สืบค้นเมื่อ 2020-10-07.
  13. "Passwordless Authentication: A Complete Guide [2022] - Transmit Security". Transmit Security. 2022-01-13. สืบค้นเมื่อ 2022-04-12.
  14. "No password for Microsoft Account: What does passwordless authentication mean?". Business Today (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-04-12.
  15. 16.0 16.1 Deighton, Katie (2022-03-22). "Technology Alliance Says It Is Closer to Killing Off Passwords". Wall Street Journal. สืบค้นเมื่อ 2022-04-12.
  16. "Accelerating the Journey to Passwordless Authentication". IBM. สืบค้นเมื่อ 2022-04-12.
  17. 18.0 18.1 "Passwordless Authentication" (PDF). World Economic Forum. สืบค้นเมื่อ 2022-04-12.
  18. Smithson, Nigel (2020-06-09). "Issues with Multi-Factor Authentication: PSA for MFA App Users". sayers.com. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2020-08-10. สืบค้นเมื่อ 2022-07-02.

แหล่งข้อมูลอื่น

[แก้]