หลาย ๆ คนน่าจะประสบปัญหาการจำรหัสผ่านจำนวนมาก ยิ่งอยากให้ปลอดภัยมากขึ้นเท่าไหร่ รหัสผ่านต้องซับซ้อนขึ้น และเดี๋ยวนี้เราไม่ได้มีบริการเดียว ใช้กี่บริการบนโลกอินเตอร์เน็ต เรายิ่งต้องจำรหัสผ่านมากขึ้น มันจะดีกว่านี้มั้ยนะ ถ้ามีอะไรบางอย่างเข้ามาช่วยให้เราสามารถยืนยันตัวตนได้ง่ายกว่า แต่ยังปลอดภัยเหมือนเดิม วันนี้เราจะพาไปทำความรู้จักการยืนยันตัวตนแบบ Passwordless กัน ว่ามันเข้ามาช่วยเราอย่างไรได้บ้าง
การยืนยันตัวตนแบบ Passwordless คืออะไร ?
การยืนยันตัวตนแบบ Passwordless ตามชื่อมันคือ การยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ทำให้เกิดคำถามว่า ถ้าเราไม่ใช้รหัสผ่านแล้วเราจะใช้อะไรได้บ้าง จริง ๆ แนวคิดของการยืนยันตัวตน คือการใช้สิ่งที่เรา เป็น, มี และทราบ เพียงคนเดียวเท่านั้น คนอื่นต้องไม่มี ทำให้มีทั้งหมด 3 อย่าง (Factor) ใหญ่ ๆ
- สิ่งที่เรารู้ (Something you know) ต้องเป็นสิ่งที่เรารู้เพียงคนเดียวเท่านั้น ห้ามแชร์ให้ใคร เช่น รหัสผ่าน
- สิ่งที่เรามี (Something you have) เป็นสิ่งที่เรามี เป็นของเราเท่านั้น เช่น โทรศัพท์มือถือ และ Hardware Authenticator
- สิ่งที่เราเป็น (Something you are) สิ่งที่ทำให้ตัวเรา เป็นตัวเรา เช่น Biometric อย่างลายนิ้วมือ และรูปหน้า
ดังนั้น หากไม่ใช้ รหัสผ่าน หรือสิ่งที่เรารู้แล้ว การยืนยันตัวตนแบบ Passwordless ส่วนใหญ่จึงมุ่งเป้าไปที่การใช้ 2 อย่างหลังเป็นเครื่องมือในการยืนยันตัวตนเป็นหลัก แต่รู้หรือไม่ว่า จริง ๆ แล้วเราคิดว่าหลาย ๆ คนต้องมีประสบการณ์การใช้งาน Passwordless กันมาไม่มากก็น้อย
ตัวอย่างที่ใกล้ตัวเรามากที่สุดคือการเข้าสู่เครื่องคอมพิวเตอร์ เมื่อก่อนเราอาจจะใช้รหัสผ่านกัน แต่เครื่องคอมพิวเตอร์ที่ขายในวันนี้มักมากับอุปกรณ์ยืนยันตัวตนอื่น ๆ เช่น Fingerprint Scanner (เครื่องอ่านลายนิ้วมือ) และ กล้อง Infrared (IR Camera) โดยเราสามารถตั้งค่าเพื่อให้ระบบมีเรียกหา การยืนยันตัวตนจากอุปกรณ์เหล่านี้เพื่อเข้าสู่ระบบได้ เช่น การใช้ Windows Hello ในฝั่ง Windows และ Touch ID ในฝั่ง macOS ได้ หรือในอุปกรณ์เคลื่อนที่อย่าง Face ID บน iPhone และ iPad ทั้งหมดนี้เป็นตัวอย่างของการใช้ สิ่งที่เราเป็น ในการยืนยันตัวตนได้
วิธีการยอดนิยมสำหรับหลากหลายบริการบนโลกอินเตอร์เน็ต มักใช้สิ่งที่เรามีในการยืนยันตัวตนกัน เพราะสามารถใช้งานได้ง่าย ตัวอย่างที่ง่ายที่สุดคือ การ Login โดยการสแกน QR Code ผ่าน Application บนโทรศัพท์ ตัวอย่างที่ง่ายที่สุดคือ Line ที่เมื่อเราต้องการเข้าสู่ระบบ เราสามารถเอาโทรศัพท์ของเรามาสแกน QR Code ที่ปรากฏบนโปรแกรม จากนั้นก็จะสามารถใช้งาน Line ได้ทันที นอกจาก Line แล้ว บริการยอดนิยมที่ใช้การยืนยันตัวตนลักษณะนี้ก็ยังมีอีกหลายตัว อาทิ Discord และ Microsoft
หากเราต้องการความปลอดภัยที่สูงขึ้น การใช้โทรศัพท์เป็นเครื่องมือสำหรับยืนยันตัวตนก็ยังมีความเสี่ยง เช่น เราอาจจะโดนขโมยโทรศัพท์ หรือหาย ทำให้มีสิ่งที่เรียกว่า Hardware Key ออกมา กุญแจพวกนี้ทำงานอยู่ในมาตรฐานที่เรียกว่า FIDO (Fast Identity Online) ดังนั้นมันไม่จำเป็นว่าจะต้องใช้กุญแจยี่ห้อเดียวกันทั้งหมด เราสามารถเลือกซื้อหลายแบบ หลายยี่ห้อตามการใช้งานของเราได้ ซึ่งตัวยอดนิยมที่ใช้งานกันคือ Yubikey
เจ๋งมากขึ้นไปอีก เมื่อมาตรฐาน FIDO2 ออกมา มีการเปิดให้เราสามารถใช้งาน Passkey ได้ หน้าที่มันเหมือนกับ Hardware Key ทุกประการ แต่เราสามารถฝังกุญแจนี้ไปลงในเครื่องของเราได้เลย ทำให้เมื่อเราต้องการเข้าสู่ระบบ เราแค่กดยืนยันตัวตนเราก็สามารถใช้งานได้แล้ว แต่บริการที่เปิดให้เข้าสู่ระบบด้วยการใช้งานมาตรฐาน FIDO ยังมีไม่มาก ส่วนใหญ่อยู่ในบริการที่รองรับการทำงานในองค์กรขนาดใหญ่ ๆ เช่น Google, Apple, Github และ Microsoft เชื่อว่าในอนาคตจะมีการพัฒนาให้รองรับมากขึ้นเรื่อย ๆ
อ่านถึงตรงนี้ อาจจะเกิดคำถามว่า คำว่า Passwordless แตกต่างจากคำว่า Multi-Factor Authentication (MFA) อย่างไร ? ฝั่ง MFA เน้นไปที่การใช้หลาย ๆ Factor ในการยืนยันตัวตน เช่น ใช้รหัสผ่านคู่กับ Authenticator App หรือ One-Time Password (OTP) แต่ Passwordless มุ่งเป้าไปที่การไม่ใช้ รหัสผ่าน เป็นเครื่องมือยืนยันตัวตน จะใช้ MFA ร่วมด้วยหรือไม่ก็ได้
Passwordless ปลอดภัยมากกว่ารหัสผ่าน หรือแค่ความสะดวกสบายเท่านั้น ?
สำหรับบางคนเมื่ออ่านมา อาจจะรู้สึกว่าการไม่ใช้รหัสผ่านมันจะปลอดภัยกว่าจริง ๆ เหรอ ต้องบอกก่อนว่า ไม่มีวิธีไหนที่ปลอดภัย 100% ขึ้นกับเรานิยามคำว่า ปลอดภัย อย่างไร หากเราบอกว่า การใช้งาน Passwordless มันน่าจะโดนเจาะได้ง่ายกว่าด้วยวิธีการอื่น ๆ มันก็ใช่ที่จะทำให้ Passwordless ไม่ปลอดภัย แต่ปัญหาคือ ณ วันนี้ เคสส่วนใหญ่ที่เจอมักจะเป็นเคสที่เกิดจากการตั้งรหัสผ่านที่ไม่แข็งแรง คาดเดาง่าย และใช้รหัสผ่านเดียวกันในหลาย ๆ บริการ ซึ่งการใช้งาน Passwordless สามารถจัดการปัญหาทั้งสามได้หมด จึงทำให้เราแนะนำว่า บริการไหนเปิดใช้งานได้ เปิดเถอะ มันช่วยให้เราทั้งสะดวกและปลอดภัยมากกว่าเดิมได้แน่ ๆ
CREATED BY
I believe in technology and sharing, as they enable us with a better world via several clicks. Especially, programming is one of the most powerful tools which inspire people to make their dreams come true. I want to share, publicise and innovate new technology so as to change our world in the way we could hardly imagine.