2023 Apple, Google, Microsoft จะให้ลงชื่อเข้าใช้โดยไม่มีรหัสผ่านบนแพลตฟอร์มหลัก ป้องกันแฮ็กเกอร์

May 06, 2022 P.Patikom

ยักษ์เทคโนโลยี Apple, Google และ Microsoft จับมือกันประกาศเมื่อเช้าวันพฤหัสบดีที่ผ่านมาว่า พวกเขามุ่งมั่นที่จะสร้างระบบสนับสนุนการลงชื่อเข้าใช้แบบไม่มีรหัสผ่าน (Passwordless) บนแพลตฟอร์มโทรศัพท์มือถือและอุปกรณ์ Mobile, คอมพิวเตอร์เดสก์ท็อป และแพลตฟอร์มเบราว์เซอร์ทั้งหมดที่พวกเขาควบคุมในปีหน้า 2023 

นี่หมายความว่า การพิสูจน์ตัวตนอย่างมีประสิทธิภาพแบบไม่ใช้รหัสผ่าน (Passwordless Authentication) จะถูกนำมาใช้บนแพลตฟอร์มอุปกรณ์หลักทั้งหมดในอนาคตอันใกล้ ซึ่งจะถูกใช้กับระบบปฏิบัติการของโทรศัพท์มือถือและอุปกรณ์ Mobile ทั้ง Android และ iOS, ใช้กับเบราว์เซอร์ Chrome, Edge และ Safari, และใช้กับระบบปฏิบัติการ Windows และ macOS รวมถึงระบบที่เกี่ยวข้องต่างๆ สำหรับคอมพิวเตอร์

Kurt Knight ผู้อำนวยการอาวุโสฝ่ายการตลาดผลิตภัณฑ์แพลตฟอร์ม ของ Apple (Senior Director of Platform Product Marketing) กล่าวว่า  “การทำงานร่วมกันเพื่อสร้างวิธีการลงชื่อเข้าใช้แบบไม่มีรหัสผ่าน เป็นวิธีที่มีความปลอดภัยมากกว่า มีระบบการป้องกันที่ดีกว่า และกำจัดจุดอ่อนที่เกิดจากการใช้รหัสผ่าน คือหัวใจสำคัญของความมุ่งมั่นของเราในการสร้างผลิตภัณฑ์ที่มีความปลอดภัยสูงสุด และให้ประสบการณ์ที่โปร่งใสแก่ผู้ใช้บริการ ซึ่งจะทำให้ข้อมูลส่วนตัวของพวกเขาปลอดภัย”

Google ให้รายละเอียดเพิ่มเติมไว้ในบล็อกว่า กระบวนการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านจะทำให้ผู้ใช้เลือกโทรศัพท์ของตน เป็นอุปกรณ์รับรองความถูกต้องหลัก สำหรับแอป และเว็บไซต์ต่างๆ รวมถึงบริการดิจิทัลอื่น ๆ 

การปลดล็อกโทรศัพท์ด้วยการตั้งค่าเริ่มต้น เช่น การป้อน PIN, การวาดรูปแบบ (Drawing a pattern) หรือใช้การปลดล็อกด้วยลายนิ้วมือ เท่านี้ก็เพียงพอที่จะลงชื่อเข้าใช้บริการบนเว็บโดยไม่จำเป็นต้องป้อนรหัสผ่าน โดยทำได้ผ่านการใช้โทเค็นการเข้ารหัสที่ไม่ซ้ำกัน (Unique Cryptographic token) ที่เรียกว่า กุญแจผ่าน (Passkey) ที่แชร์ระหว่างโทรศัพท์กับเว็บไซต์

การเข้าสู่ระบบจึงขึ้นอยู่กับอุปกรณ์จริง (Physical Device) ที่ผู้ใช้ใช้งาน ผู้ใช้จะได้รับประโยชน์จากความเรียบง่ายและความปลอดภัยไปพร้อมๆ กัน การที่ไม่มีรหัสผ่านจะไม่มีภาระในการที่ผู้ใช้ต้องจำรายละเอียดการเข้าสู่ระบบในบริการ   ต่าง ๆ ซึ่งสิ่งนี้ลดความปลอดภัยที่เกิดจากการใช้รหัสผ่านเดิมซ้ำในหลายๆ ที่ 

ในทำนองเดียวกัน ระบบที่ไม่มีรหัสผ่านจะทำให้บรรดาแฮ็กเกอร์สามารถเข้าสู่ระบบจากระยะไกลได้ยากขึ้นมาก เนื่องจากการลงชื่อเข้าใช้ต้องใช้การเข้าถึงอุปกรณ์จริง และในทางทฤษฎี การโจมตีแบบใช้การหลอกลวงทางอินเตอร์เน็ต (Phishing Attacks) ที่ผู้ใช้ถูกนำไปยังเว็บไซต์ปลอมเพื่อดักจับรหัสผ่านจะทำได้ยากขึ้นมาก

Vasu Jakkal รองประธานฝ่ายความปลอดภัย การปฏิบัติตามข้อกำหนด ข้อมูลประจำตัว และความเป็นส่วนตัวของ Microsoft (Vice President for Security, Compliance, Identity, and Privacy) ได้เน้นย้ำถึงระดับความเข้ากันได้ระหว่างแพลตฟอร์มต่างๆ "ด้วยกุญแจผ่าน (Passkey) บนโทรศัพท์มือถือและอุปกรณ์ Mobile ของผู้ใช้ ทำให้สามารถลงชื่อเข้าใช้แอปหรือบริการบนอุปกรณ์ใดๆ ก็ได้ โดยไม่ต้องคำนึงถึงแพลตฟอร์มหรือเบราว์เซอร์ที่อุปกรณ์นั้นกำลังทำงาน"

“ตัวอย่าง เช่น ผู้ใช้สามารถลงชื่อเข้าใช้งานเบราว์เซอร์ Google Chrome ที่ทำงานบน Microsoft Windows โดยใช้กุญแจผ่าน (Passkey) บนอุปกรณ์ของ Apple”

สิ่งนี้ทำให้ผู้ใช้จะได้รับประโยชน์พร้อมกันจากความเรียบง่ายและความปลอดภัย

ฟังก์ชั่นการทำงานข้ามแพลตฟอร์มเกิดขึ้นได้โดยใช้มาตรฐานที่เรียกว่า FIDO ซึ่งใช้หลักการของการเข้ากุญแจรหัสสาธารณะ (Public Key Cryptography) เพื่อเปิดใช้งานการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่านและการรับรองความถูกต้องแบบหลายปัจจัย (Multi-factor Authentication) ในบริบทต่างๆ

โทรศัพท์ของผู้ใช้สามารถจัดเก็บกุญแจผ่าน (Passkey) ที่ไม่ซ้ำกัน ที่สอดคล้องกับ FIDO และจะแชร์กับเว็บไซต์สำหรับการตรวจสอบสิทธิ์เฉพาะเมื่อโทรศัพท์ถูกปลดล็อกเท่านั้น 

Google ระบุว่า กุญแจผ่าน (Passkey) สามารถซิงค์กับอุปกรณ์ใหม่ได้อย่างง่ายดายจากการสำรองข้อมูลบนคลาวด์ในกรณีที่โทรศัพท์สูญหาย

Sampath Srinivas ผู้อำนวยการฝ่ายจัดการผลิตภัณฑ์สำหรับการตรวจสอบสิทธิ์ที่ปลอดภัยของ Google และประธาน FIDO Alliance (Product Management Director for Secure Authentication at Google and President of the FIDO Alliance) กล่าวในแถลงการณ์ทางอีเมลที่ส่งถึงสื่อ The Verge ว่า ขั้นตอนใหม่นี้จะช่วยขจัดข้อกำหนดเบื้องต้นที่ต้องให้ใช้รหัสผ่าน"

"ระบบการสนับสนุน FIDO ที่ขยายออกไปซึ่งได้รับการประกาศในวันนี้จะทำให้เว็บไซต์ต่างๆ สามารถนำไปใช้ได้เป็นครั้งแรก ระบบไม่ใช้รหัสผ่านแบบครบวงจร (End-to-end Passwordless) สร้างประสบการณ์ด้านความปลอดภัยที่สามารถต้านทานต่อการหลอกลวงทางอินเตอร์เน็ต (Phishing- Resistant)"

"ซึ่งรวมถึงทั้งการลงชื่อเข้าใช้เว็บไซต์ครั้งแรกและการเข้าสู่ระบบซ้ำ เมื่อการสนับสนุนกุญแจผ่าน (Passkey) พร้อมใช้งานทั่วทั้งอุตสาหกรรมในปี 2022 และ 2023 ในที่สุดเราก็มีแพลตฟอร์มอินเทอร์เน็ตสำหรับอนาคตที่ไม่ต้องใช้รหัสผ่านอย่างแท้จริง”

Apple, Google และ Microsoft ต่างกล่าวว่า พวกเขาคาดหวังว่า ความสามารถในการลงชื่อเข้าใช้แพลตฟอร์มต่างๆ ที่ไม่ต้องใช้รหัสผ่านนี้จะพร้อมใช้งานบนแพลตฟอร์มต่างๆ ในปีหน้า 2023

อย่างไรก็ตาม ในตอนนี้ยังไม่มีการประกาศแผนงานที่เฉพาะเจาะจงกว่านี้ และแม้ว่าแผนการที่จะฆ่ารหัสผ่าน จะมีการดำเนินการมาหลายปีแล้ว แต่ก็มีสัญญาณว่า คราวนี้มันจะประสบความสำเร็จในที่สุด

Cr : THE VERGE

Source

Copyright © 2015-2016 บริษัท แบรนด์เอจ มาร์เก็ตติ้ง รีซอร์สเซส จำกัด.
All rights reserved.