การพิสูจน์ตัวจริงโดยไร้รหัสผ่าน

บทความนี้อ้างอิงคริสต์ศักราช/คริสต์ทศวรรษ/คริสต์ศตวรรษ ซึ่งเป็นสาระสำคัญของเนื้อหา

การพิสูจน์ตัวจริงโดยไร้รหัสผ่าน^[1] (อังกฤษ: passwordless authentication) เป็นวิธีการพิสูจน์ตัวผู้ใช้ เมื่อลงชื่อเข้าใช้บัญชีระบบคอมพิวเตอร์โดยไม่ต้องจดจำหรือใส่รหัสผ่าน หรือแม้แต่ข้อมูลลับที่มีร่วมกันอื่นๆ ในการทำให้เกิดผลโดยมาก ผู้ใช้จะใส่ตัวระบุบัญชี (เช่นชื่อผู้ใช้ เบอร์โทร หรือที่อยู่อีเมล) แล้วพิสูจน์ตัวตนด้วยข้อมูลระบุผู้ใช้ ซึ่งเก็บไว้อย่างปลอดภัยในอุปกรณ์ที่ลงทะเบียนไว้

การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านปกติจะอาศัยโครงสร้างพื้นฐานของการเข้ารหัสแบบกุญแจอสมมาตร เมื่อลงทะเบียน ระบบผู้ใช้จะให้กุญแจสาธารณะ (public key) แก่ระบบบริการไม่ว่าจะเป็นเซิร์ฟเวอร์ แอป หรือเว็บไซต์ โดยระบบผู้ใช้จะเก็บกุญแจส่วนตัว (private key) ไว้ในคอมพิวเตอร์ สมาร์ทโฟน หรือใน security token ซึ่งสามารถเข้าถึงได้โดยลักษณะทางชีวมิติ (เช่นลายนิ้วมือ) หรือปัจจัยการพิสูจน์ตัวจริงอื่นๆ ที่ปกติจะไม่อาศัยความรู้

ปัจจัยการพิสูจน์ตัวจริงที่ไม่ใช้ความรู้ปกติจะจัดอยู่ในหมวดสองหมวด คือ

สิ่งที่ผู้ใช้มี เช่น โทรศัพท์มือถือ, โทเค็นสร้างรหัสผ่านที่ใช้ครั้งเดียว (OTP token), สมาร์ตการ์ด หรือ security token
สิ่งที่ผู้ใช้เป็น คือสิ่งที่มีโดยธรรมชาติ เช่น ลายนิ้วมือ ลายม่านตา ใบหน้า หรือเสียงพูด

วิธีการอื่นๆ อาจรวมการใช้ปัจจัยหลายอย่างร่วมกัน เช่น ตำแหน่งทางภูมิศาสตร์ ที่อยู่ไอพี รูปแบบพฤติกรรม และท่าทาง/การเคลื่อนไหวร่างกาย

การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านบางครั้งจะสับสนกับการพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่าง (MFA) เพราะทั้งสองล้วนใช้ปัจจัยการพิสูจน์ตัวจริงหลายอย่าง ความต่างก็คือ MFA เป็นตัวเพิ่มความปลอดภัยให้แก่การพิสูจน์ตัวผู้ใช้ซึ่งต้องใช้รหัสผ่าน แต่การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านจะไม่ใช้ความลับที่ต้องจำอย่างใดอย่างหนึ่ง และปกติจะใช้ปัจจัยที่ปลอดภัยมากเพื่อพิสูจน์ตัวผู้ใช้ จึงทำให้ใช้ได้ง่ายกว่าและเร็วกว่า

เมื่อใช้วิธีทั้งสองร่วมกัน ก็จะใช้คำว่า "Passwordless MFA" โดยการพิสูจน์ตัวผู้ใช้จะทั้งไม่ใช้รหัสผ่านและใช้ปัจจัยหลายอย่างร่วมกัน ซึ่งจะปลอดภัยที่สุดเมื่อทำให้เกิดผลได้อย่างถูกต้อง

ประวัติ[แก้]

แนวคิดว่ารหัสผ่านควรจะเลิกใช้ ได้มีในวิทยาการคอมพิวเตอร์อย่างช้าก็เริ่มในปี 2004 เหตุผลที่ให้มักจะเกี่ยวกับความสะดวกง่ายดายในการใช้และความปลอดภัย ในงานประชุม RSA Conference ปี 2004 บิล เกตส์ได้พยากรณ์การยกเลิกใช้รหัสผ่านโดยกล่าวว่า "มันใช้การได้ไม่ดีกับทุกอย่างที่ต้องการทำให้ปลอดภัย"^[2]^[3] ในปี 2011 บริษัทไอบีเอ็มพยากรณ์ว่า ใน 5 ปี "จะไม่ต้องใช้รหัสผ่านอีกต่อไป"^[4] ส่วนนักข่าวที่นิตยสาร Wired ผู้ตกเป็นเหยื่อของแฮ็กเกอร์ได้กล่าวในปี 2012 ว่า "สมัยของรหัสผ่านได้ถึงที่สุดแล้ว"^[5] ส่วนผู้จัดการทางความปลอดภัยข้อมูลของกูเกิลได้กล่าวในปี 2013 ว่า "รหัสผ่านจบแล้วที่กูเกิล"^[6] ส่วนรองประธานด้านวิศวกรรมความปลอดภัยที่กูเกิลระบุว่า "รหัสผ่านกับโทเค็นที่ใช้ระบุผู้ใช้ตามปกติ เช่น คุกกี้ [ปัจจุบัน]ไม่พอรักษาความปลอดภัยให้แก่ผู้ใช้แล้ว"^[7] ส่วนนักข่าวที่หนังสือพิมพ์ เดอะวอลล์สตรีทเจอร์นัล ได้กล่าวว่า รหัสผ่าน "ในที่สุดก็กำลังจะตาย" และพยากรณ์การพิสูจน์ตัวผู้ใช้ด้วยอุปกรณ์ แล้วระบุว่ารหัสผ่านของเขาสำหรับทวิตเตอร์ทำให้เขาต้องเปลี่ยนเบอร์โทรศัพท์มือถือ^[8]

งานศึกษาปี 2012 ได้เปรียบเทียบวิธีการพิสูจน์ตัวผู้ใช้ด้วยรหัสผ่านกับวิธี 35 อย่างอื่นๆ ที่เป็นคู่แข่งโดยการใช้ง่าย การจัดนำไปใช้ได้ง่าย (deployability) และความปลอดภัย^[9]^[10] (รายงานทางเทคนิคที่อ้างอิงจะมีรายละเอียดยิ่งกว่าเอกสารทางวิชาการที่ตีพิมพ์ในวารสารที่ตรวจสอบโดยผู้รู้เสมอกัน) การวิเคราะห์พบว่า วิธีการอื่นๆ โดยมากดีกว่ารหัสผ่านในเรื่องความปลอดภัย บางอย่างดีกว่าและบางอย่างแย่กว่าในเรื่องการใช้ง่าย แต่ไม่มีวิธีไหนเลยที่จัดนำไปใช้ได้ง่ายเท่ากับรหัสผ่าน ดังนั้นผู้เขียนจึงระบุว่า "ความดีกว่าเพียงเล็กน้อยมักไม่มีกำลังพอให้มองข้ามค่าใช้จ่ายที่สูงในการเปลี่ยนระบบ ซึ่งอาจอธิบายได้ดีสุดว่า ทำไมเราจึงน่าจะต้องอยู่ต่อไปอีกนานพอสมควรกว่าจะได้เห็นขบวนแห่ศพของรหัสผ่านที่จะนำไปสู่สุสาน"

ความก้าวหน้าทางเทคโนโลยีเร็วๆ นี้ (เช่น การขยายตัวใช้อุปกรณ์ทางชีวมิติและสมาร์ทโฟนอย่างรวดเร็ว) และความเปลี่ยนแปลงทางธุรกิจ (เช่น การยอมรับใช้ลักษณะทางชีวมิติ และการมีพนักงานที่ไม่ได้ทำงานในที่เดียวกัน) เป็นแรงผลักดันให้ยอมรับการพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านเพิ่มขึ้นเรื่อยๆ บริษัทเทคโนโลยีแนวหน้า เช่น ไมโครซอฟต์^[11] และกูเกิล^[12] และโปรเจ็กต์ริเริ่มต่างๆ ที่ได้การสนับสนุนจากอุตสาหกรรม ต่างก็กำลังพัฒนาทั้งสถาปัตยกรรมและแนวปฏิบัติเพื่อให้นำไปใช้ได้อย่างกว้างขวาง โดยอาจสำรองเก็บรหัสผ่านไว้ใช้ในบางกรณี การพัฒนามาตรฐานแบบโอเพน เช่น FIDO2 และ WebAuthn ก็ทำให้มีการยอมรับใช้เทคโนโลยีที่ไร้รหัสผ่านมากขึ้น เช่น วินโดวส์ฮัลโหล ในวันที่ 24 มิถุนายน 2020 เว็บบราวเซอร์ซาฟารีประกาศว่า เทคโนโลยี Face ID และ Touch ID จะสามารถใช้เป็นตัวพิสูจน์ตัวผู้ใช้สำหรับการลงชื่อเข้าบัญชีแบบไร้รหัสผ่าน^[13]

กลไก[แก้]

การลงทะเบียน

ผู้ใช้จะต้องลงทะเบียนกับระบบก่อนที่จะใช้กระบวนการพิสูจน์ตัวตนผู้ใช้ได้ การลงทะเบียนแบบไร้รหัสผ่านอาจมีขั้นตอนดังต่อไปนี้^[14]

Registration request (การขอให้ลงทะเบียน) คือเมื่อผู้ใช้พยายามจะลงทะเบียนกับเว็บไซต์ เซิร์ฟเวอร์จะส่งคำขอให้ลงทะเบียนไปยังอุปกรณ์ของผู้ใช้
Authentication factor selection (การเลือกปัจจัยการพิสูจน์ตัวผู้ใช้) คือเมื่ออุปกรณ์ผู้ใช้ได้รับคำขอ ก็จะเลือกวิธีการพิสูจน์ตัวผู้ใช้ เช่น อาจจะเลือกลักษณะทางชีวมิติ เช่น ลายนิ้วมือ หรือใบหน้า เพื่อเป็นตัวระบุผู้ใช้^[15]
Key generation (การสร้างกุญแจ) คืออุปกรณ์ผู้ใช้จะสร้างคู่กุญแจ คือกุญแจสาธารณะกับกุญแจส่วนตัว แล้วส่งกุญแจสาธารณะไปให้เซิร์ฟเวอร์เพื่อใช้พิสูจน์ยืนยันผู้ใช้ในอนาคต^[16]

การใช้เข้าบัญชี

เมื่อลงทะเบียนแล้ว ผู้ใช้ก็จะสามารถลงชื่อเข้าบัญชีของระบบด้วยกระบวนการดังต่อไปนี้

Authentication challenge (การเรียกร้องให้พิสูจน์ตัวผู้ใช้) คือเมื่อผู้ใช้พยายามจะลงชื่อเข้าบัญชี เซิร์ฟเวอร์จะส่งคำเรียกร้องให้พิสูจน์ตัวผู้ใช้ไปยังอุปกรณ์ของผู้ใช้^[16]
User authentication (การพิสูจน์ตัวผู้ใช้) คือผู้ใช้พิสูจน์ตนต่ออุปกรณ์โดยใช้ลักษณะทางชีวมิติ เป็นการปลดล็อกกุญแจส่วนตัว^[17]
Challenge response (การตอบสนองคำเรียกร้อง) คือ อุปกรณ์ผู้ใช้จะเซ็นคำตอบสนองทางดิจิทัลด้วยกุญแจส่วนตัวของผู้ใช้ เพื่อตอบสนองต่อคำเรียกร้องให้พิสูจน์ตัวผู้ใช้^[18]
Response validation (การตรวจสอบคำตอบสนอง) คือ เซิร์ฟเวอร์จะใช้กุญแจสาธารณะของผู้ใช้เพื่อตรวจสอบความถูกต้องของคำตอบสนองที่เซ็นทางดิจิทัล แล้วจึงให้ผู้ใช้เข้าถึงบัญชีได้^[18]

ข้อดีข้อเสีย[แก้]

ข้อดี

ผู้สนับสนุนชี้ข้อดีพิเศษของวิธีนี้ซึ่งเหนือกว่าวิธีการพิสูจน์ตัวผู้ใช้อื่นๆ

ปลอดภัยดีกว่า เพราะการใช้รหัสผ่านรู้อยู่แล้วว่าเป็นจุดอ่อนของระบบคอมพิวเตอร์ (เพราะรหัสผ่านเดียวกันจะถูกนำไปใช้ซ้ำๆ เพราะให้คนอื่นใช้ เพราะแคร็กได้เป็นต้น) และจัดว่าเป็นจุดอ่อนที่ทำให้แฮ็กระบบได้มากที่สุด (อาจถึง 80%)
ผู้ใช้สะดวกกว่า เพราะผู้ใช้ไม่ต้องจำรหัสผ่านที่ซับซ้อน หรือต้องทำตามนโยบายความปลอดภัยอันต่างๆ กัน โดยยังไม่ต้องเปลี่ยนรหัสผ่านเป็นประจำอีกด้วย
ค่าใช้จ่ายด้านเทคโนโลยีสารสนเทศขององค์กรจะลดลง เพราะไม่ต้องเก็บและบริหารรหัสผ่าน ฝ่ายเทคโนโลยีสารสนเทศก็จะไม่ต้องตั้งนโยบายรหัสผ่าน ไม่ต้องตรวจจับการรั่วไหล ไม่ต้องจัดการการลืมรหัส และไม่ต้องทำตามกฎหมายควบคุมการเก็บรหัสผ่าน
เห็นได้ชัดเจนกว่าว่าใครใช้ เพราะข้อมูลการเข้าถึงบัญชีจะอยู่กับอุปกรณ์โดยเฉพาะๆ หรือเป็นลักษณะทางชีวมิติของผู้ใช้ จึงไม่สามารถก๊อปเอาไปใช้ได้ ดังนั้น ความปลอดภัยของระบบก็จะดีกว่า
ขยายใช้ได้ดีกว่า เพราะผู้ใช้เพิ่มใช้บัญชีได้โดยไม่ต้องมีรหัสผ่านเพิ่มยิ่งๆ ขึ้น และไม่ต้องผ่านกระบวรการลงทะเบียนบัญชีที่ซับซ้อน

ข้อเสีย

ส่วนผู้อื่นก็ชี้ข้อเสียในด้านปฏิบัติการและค่าใช้จ่าย

มีค่าใช้จ่ายในการทำให้เกิดผล แม้จะยอมรับกันแล้วว่า การพิสูจน์ตัวผู้ใช้โดยไร้รหัสผ่านจะลดค่าใช้จ่ายในระยะยาว แต่การจัดนำไปใช้ในเบื้องต้นก็มีค่าใช้จ่ายอันเป็นอุปสรรคต่อผู้ที่สนใจใช้เป็นจำนวนมาก โดยมีค่าใช้จ่ายสำหรับการติดตั้งกลไกพิสูจน์ตัวผู้ใช้สำหรับสารบบผู้ใช้ตามที่มีอยู่แล้ว และค่าใช้จ่ายสำหรับฮาร์ดแวร์ที่ผู้ใช้ต้องมี (เช่น โทเค็นสร้าง OTP, หรือกุญแจความปลอดภัย)
ต้องมีการฝึกและมีผู้ชำนาญ คือเทียบกับระบบจัดการรหัสผ่านที่คุ้นเคยและใช้มานานแล้ว ทั้งผู้จัดการระบบสารสนเทศและผู้ใช้จะต้องเรียนรู้และปรับตัวใหม่
เป็นจุดล้มเหลวจุดเดียว โดยเฉพาะก็คือ รหัสผ่านแบบใช้ครั้งเดียว หรือข้อความเตือนแบบ push notification ที่ได้ทางแอปสมาร์ทโฟนอาจสร้างปัญหาแก่ผู้ใช้เมื่อสมาร์ทโฟนเสีย หรือหาย หรือถูกขโมย หรือต้องเปลี่ยนใหม่^[19]

เชิงอรรถและอ้างอิง[แก้]

↑ "authentication", Longdo Dict, อังกฤษ-ไทย: ศัพท์บัญญัติราชบัณฑิตยสถาน, สืบค้นเมื่อ 2023-09-29, การพิสูจน์ตัวจริง [คอมพิวเตอร์ ๑๙ มิ.ย. ๒๕๔๔]
↑ Kotadia, Munir (2004-02-25). "Gates predicts death of the password". News.cnet.com. สืบค้นเมื่อ 2020-04-12.
↑ Kotadia, Munir (2004-02-25). "Gates predicts death of the password". ZDNet. สืบค้นเมื่อ 2019-05-08.
↑ "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. เก็บจากแหล่งเดิมเมื่อ 2015-03-17. สืบค้นเมื่อ 2015-03-14.
↑ Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect us Anymore". Wired. เก็บจากแหล่งเดิมเมื่อ 2015-03-16. สืบค้นเมื่อ 2015-03-14.
↑ "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. เก็บจากแหล่งเดิมเมื่อ 2015-04-02. สืบค้นเมื่อ 2015-03-14.
↑ Grosse, Eric; Upadhyay, Mayank (January 2013). "Authentication at Scale". IEEE Security & Privacy. 11 (1): 15–22. doi:10.1109/MSP.2012.162. S2CID 57409. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-04-23. สืบค้นเมื่อ 2022-07-02.
↑
- Mims, Christopher (2014-07-14). "The Password is Finally Dying. Here's Mine". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2015-01-09. สืบค้นเมื่อ 2015-03-14.
- Mims, Christopher (2014-07-15). "Commentary: What I Learned, and What You Should Know, After I Published My Twitter Password". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2014-07-16. สืบค้นเมื่อ 2022-07-02.
↑ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. สืบค้นเมื่อ 2019-03-22. {{cite journal}}: Cite journal ต้องการ |journal= (help)
↑ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.
↑ "Use passwordless authentication to improve security". Microsoft.com. 2020-01-28. สืบค้นเมื่อ 2020-04-12.
↑ "Making authentication even easier". security.googleblog.com. 2019. สืบค้นเมื่อ 2020-04-12.
↑ "Apple Developer Documentation". developer.apple.com. สืบค้นเมื่อ 2020-10-07.
↑ "Passwordless Authentication: A Complete Guide [2022] - Transmit Security". Transmit Security. 2022-01-13. สืบค้นเมื่อ 2022-04-12.
↑ "No password for Microsoft Account: What does passwordless authentication mean?". Business Today (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-04-12.
↑ ^16.0 ^16.1 Deighton, Katie (2022-03-22). "Technology Alliance Says It Is Closer to Killing Off Passwords". Wall Street Journal. สืบค้นเมื่อ 2022-04-12.
↑ "Accelerating the Journey to Passwordless Authentication". IBM. สืบค้นเมื่อ 2022-04-12.
↑ ^18.0 ^18.1 "Passwordless Authentication" (PDF). World Economic Forum. สืบค้นเมื่อ 2022-04-12.
↑ Smithson, Nigel (2020-06-09). "Issues with Multi-Factor Authentication: PSA for MFA App Users". sayers.com. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2020-08-10. สืบค้นเมื่อ 2022-07-02.

แหล่งข้อมูลอื่น[แก้]

"True Passwordless MFA" - HYPR Corporation
Passwordless Authentication - Secret Double Octopus
Intro to Passwordless - Passage

[RoyalDict-1] "authentication", Longdo Dict, อังกฤษ-ไทย: ศัพท์บัญญัติราชบัณฑิตยสถาน, สืบค้นเมื่อ 2023-09-29, การพิสูจน์ตัวจริง [คอมพิวเตอร์ ๑๙ มิ.ย. ๒๕๔๔]

[2] Kotadia, Munir (2004-02-25). "Gates predicts death of the password". News.cnet.com. สืบค้นเมื่อ 2020-04-12.

[3] Kotadia, Munir (2004-02-25). "Gates predicts death of the password". ZDNet. สืบค้นเมื่อ 2019-05-08.

[4] "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 2011-12-19. เก็บจากแหล่งเดิมเมื่อ 2015-03-17. สืบค้นเมื่อ 2015-03-14.

[5] Honan, Mat (2012-05-15). "Kill the Password: Why a String of Characters Can't Protect us Anymore". Wired. เก็บจากแหล่งเดิมเมื่อ 2015-03-16. สืบค้นเมื่อ 2015-03-14.

[6] "Google security exec: 'Passwords are dead'". CNET. 2004-02-25. เก็บจากแหล่งเดิมเมื่อ 2015-04-02. สืบค้นเมื่อ 2015-03-14.

[10.1109/MSP.2012.162-7] Grosse, Eric; Upadhyay, Mayank (January 2013). "Authentication at Scale". IEEE Security & Privacy. 11 (1): 15–22. doi:10.1109/MSP.2012.162. S2CID 57409. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2013-04-23. สืบค้นเมื่อ 2022-07-02.

[published-my-twitter-password-8] 
Mims, Christopher (2014-07-14). "The Password is Finally Dying. Here's Mine". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2015-01-09. สืบค้นเมื่อ 2015-03-14.

Mims, Christopher (2014-07-15). "Commentary: What I Learned, and What You Should Know, After I Published My Twitter Password". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2014-07-16. สืบค้นเมื่อ 2022-07-02.

[9] Mims, Christopher (2014-07-14). "The Password is Finally Dying. Here's Mine". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2015-01-09. สืบค้นเมื่อ 2015-03-14.

[10] Mims, Christopher (2014-07-15). "Commentary: What I Learned, and What You Should Know, After I Published My Twitter Password". Wall Street Journal. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2014-07-16. สืบค้นเมื่อ 2022-07-02.

[Bonneau_et_al._2012_tech_report-9] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. สืบค้นเมื่อ 2019-03-22. {{cite journal}}: Cite journal ต้องการ |journal= (help)

[Bonneau_et_al._2012_peer-reviewed_paper-10] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44.

[11] "Use passwordless authentication to improve security". Microsoft.com. 2020-01-28. สืบค้นเมื่อ 2020-04-12.

[12] "Making authentication even easier". security.googleblog.com. 2019. สืบค้นเมื่อ 2020-04-12.

[13] "Apple Developer Documentation". developer.apple.com. สืบค้นเมื่อ 2020-10-07.

[14] "Passwordless Authentication: A Complete Guide [2022] - Transmit Security". Transmit Security. 2022-01-13. สืบค้นเมื่อ 2022-04-12.

[15] "No password for Microsoft Account: What does passwordless authentication mean?". Business Today (ภาษาอังกฤษ). สืบค้นเมื่อ 2022-04-12.

[wsj22-16] 16.0 ^16.1 Deighton, Katie (2022-03-22). "Technology Alliance Says It Is Closer to Killing Off Passwords". Wall Street Journal. สืบค้นเมื่อ 2022-04-12.

[17] "Accelerating the Journey to Passwordless Authentication". IBM. สืบค้นเมื่อ 2022-04-12.

[wef-18] 18.0 ^18.1 "Passwordless Authentication" (PDF). World Economic Forum. สืบค้นเมื่อ 2022-04-12.

[19] Smithson, Nigel (2020-06-09). "Issues with Multi-Factor Authentication: PSA for MFA App Users". sayers.com. คลังข้อมูลเก่าเก็บจากแหล่งเดิมเมื่อ 2020-08-10. สืบค้นเมื่อ 2022-07-02.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]