หลาย ๆ คนน่าจะประสบปัญหาการจำรหัสผ่านจำนวนมาก ยิ่งอยากให้ปลอดภัยมากขึ้นเท่าไหร่ รหัสผ่านต้องซับซ้อนขึ้น และเดี๋ยวนี้เราไม่ได้มีบริการเดียว ใช้กี่บริการบนโลกอินเตอร์เน็ต เรายิ่งต้องจำรหัสผ่านมากขึ้น มันจะดีกว่านี้มั้ยนะ ถ้ามีอะไรบางอย่างเข้ามาช่วยให้เราสามารถยืนยันตัวตนได้ง่ายกว่า แต่ยังปลอดภัยเหมือนเดิม วันนี้เราจะพาไปทำความรู้จักการยืนยันตัวตนแบบ Passwordless กัน ว่ามันเข้ามาช่วยเราอย่างไรได้บ้าง

การยืนยันตัวตนแบบ Passwordless คืออะไร ?

การยืนยันตัวตนแบบ Passwordless ตามชื่อมันคือ การยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ทำให้เกิดคำถามว่า ถ้าเราไม่ใช้รหัสผ่านแล้วเราจะใช้อะไรได้บ้าง จริง ๆ แนวคิดของการยืนยันตัวตน คือการใช้สิ่งที่เรา เป็น, มี และทราบ เพียงคนเดียวเท่านั้น คนอื่นต้องไม่มี ทำให้มีทั้งหมด 3 อย่าง (Factor) ใหญ่ ๆ

  1. สิ่งที่เรารู้ (Something you know) ต้องเป็นสิ่งที่เรารู้เพียงคนเดียวเท่านั้น ห้ามแชร์ให้ใคร เช่น รหัสผ่าน
  2. สิ่งที่เรามี (Something you have) เป็นสิ่งที่เรามี เป็นของเราเท่านั้น เช่น โทรศัพท์มือถือ และ Hardware Authenticator
  3. สิ่งที่เราเป็น (Something you are) สิ่งที่ทำให้ตัวเรา เป็นตัวเรา เช่น Biometric อย่างลายนิ้วมือ และรูปหน้า

ดังนั้น หากไม่ใช้ รหัสผ่าน หรือสิ่งที่เรารู้แล้ว การยืนยันตัวตนแบบ Passwordless ส่วนใหญ่จึงมุ่งเป้าไปที่การใช้ 2 อย่างหลังเป็นเครื่องมือในการยืนยันตัวตนเป็นหลัก แต่รู้หรือไม่ว่า จริง ๆ แล้วเราคิดว่าหลาย ๆ คนต้องมีประสบการณ์การใช้งาน Passwordless กันมาไม่มากก็น้อย

ตัวอย่างที่ใกล้ตัวเรามากที่สุดคือการเข้าสู่เครื่องคอมพิวเตอร์ เมื่อก่อนเราอาจจะใช้รหัสผ่านกัน แต่เครื่องคอมพิวเตอร์ที่ขายในวันนี้มักมากับอุปกรณ์ยืนยันตัวตนอื่น ๆ เช่น Fingerprint Scanner (เครื่องอ่านลายนิ้วมือ) และ กล้อง Infrared (IR Camera) โดยเราสามารถตั้งค่าเพื่อให้ระบบมีเรียกหา การยืนยันตัวตนจากอุปกรณ์เหล่านี้เพื่อเข้าสู่ระบบได้ เช่น การใช้ Windows Hello ในฝั่ง Windows และ Touch ID ในฝั่ง macOS ได้ หรือในอุปกรณ์เคลื่อนที่อย่าง Face ID บน iPhone และ iPad ทั้งหมดนี้เป็นตัวอย่างของการใช้ สิ่งที่เราเป็น ในการยืนยันตัวตนได้

วิธีการยอดนิยมสำหรับหลากหลายบริการบนโลกอินเตอร์เน็ต มักใช้สิ่งที่เรามีในการยืนยันตัวตนกัน เพราะสามารถใช้งานได้ง่าย ตัวอย่างที่ง่ายที่สุดคือ การ Login โดยการสแกน QR Code ผ่าน Application บนโทรศัพท์ ตัวอย่างที่ง่ายที่สุดคือ Line ที่เมื่อเราต้องการเข้าสู่ระบบ เราสามารถเอาโทรศัพท์ของเรามาสแกน QR Code ที่ปรากฏบนโปรแกรม จากนั้นก็จะสามารถใช้งาน Line ได้ทันที นอกจาก Line แล้ว บริการยอดนิยมที่ใช้การยืนยันตัวตนลักษณะนี้ก็ยังมีอีกหลายตัว อาทิ Discord และ Microsoft

หากเราต้องการความปลอดภัยที่สูงขึ้น การใช้โทรศัพท์เป็นเครื่องมือสำหรับยืนยันตัวตนก็ยังมีความเสี่ยง เช่น เราอาจจะโดนขโมยโทรศัพท์ หรือหาย ทำให้มีสิ่งที่เรียกว่า Hardware Key ออกมา กุญแจพวกนี้ทำงานอยู่ในมาตรฐานที่เรียกว่า FIDO (Fast Identity Online) ดังนั้นมันไม่จำเป็นว่าจะต้องใช้กุญแจยี่ห้อเดียวกันทั้งหมด เราสามารถเลือกซื้อหลายแบบ หลายยี่ห้อตามการใช้งานของเราได้ ซึ่งตัวยอดนิยมที่ใช้งานกันคือ Yubikey

เจ๋งมากขึ้นไปอีก เมื่อมาตรฐาน FIDO2 ออกมา มีการเปิดให้เราสามารถใช้งาน Passkey ได้ หน้าที่มันเหมือนกับ Hardware Key ทุกประการ แต่เราสามารถฝังกุญแจนี้ไปลงในเครื่องของเราได้เลย ทำให้เมื่อเราต้องการเข้าสู่ระบบ เราแค่กดยืนยันตัวตนเราก็สามารถใช้งานได้แล้ว แต่บริการที่เปิดให้เข้าสู่ระบบด้วยการใช้งานมาตรฐาน FIDO ยังมีไม่มาก ส่วนใหญ่อยู่ในบริการที่รองรับการทำงานในองค์กรขนาดใหญ่ ๆ เช่น Google, Apple, Github และ Microsoft เชื่อว่าในอนาคตจะมีการพัฒนาให้รองรับมากขึ้นเรื่อย ๆ

อ่านถึงตรงนี้ อาจจะเกิดคำถามว่า คำว่า Passwordless แตกต่างจากคำว่า Multi-Factor Authentication (MFA) อย่างไร ? ฝั่ง MFA เน้นไปที่การใช้หลาย ๆ Factor ในการยืนยันตัวตน เช่น ใช้รหัสผ่านคู่กับ Authenticator App หรือ One-Time Password (OTP) แต่ Passwordless มุ่งเป้าไปที่การไม่ใช้ รหัสผ่าน เป็นเครื่องมือยืนยันตัวตน จะใช้ MFA ร่วมด้วยหรือไม่ก็ได้

Passwordless ปลอดภัยมากกว่ารหัสผ่าน หรือแค่ความสะดวกสบายเท่านั้น ?

สำหรับบางคนเมื่ออ่านมา อาจจะรู้สึกว่าการไม่ใช้รหัสผ่านมันจะปลอดภัยกว่าจริง ๆ เหรอ ต้องบอกก่อนว่า ไม่มีวิธีไหนที่ปลอดภัย 100% ขึ้นกับเรานิยามคำว่า ปลอดภัย อย่างไร หากเราบอกว่า การใช้งาน Passwordless มันน่าจะโดนเจาะได้ง่ายกว่าด้วยวิธีการอื่น ๆ มันก็ใช่ที่จะทำให้ Passwordless ไม่ปลอดภัย แต่ปัญหาคือ ณ วันนี้ เคสส่วนใหญ่ที่เจอมักจะเป็นเคสที่เกิดจากการตั้งรหัสผ่านที่ไม่แข็งแรง คาดเดาง่าย และใช้รหัสผ่านเดียวกันในหลาย ๆ บริการ ซึ่งการใช้งาน Passwordless สามารถจัดการปัญหาทั้งสามได้หมด จึงทำให้เราแนะนำว่า บริการไหนเปิดใช้งานได้ เปิดเถอะ มันช่วยให้เราทั้งสะดวกและปลอดภัยมากกว่าเดิมได้แน่ ๆ

CREATED BY

I believe in technology and sharing, as they enable us with a better world via several clicks. Especially, programming is one of the most powerful tools which inspire people to make their dreams come true. I want to share, publicise and innovate new technology so as to change our world in the way we could hardly imagine.