มีใครเคยสงสัยไหมครับ? ว่าทำไมเราถึงต้องจำพาสเวิร์ด แล้วก็ไม่ได้จำแค่พาสเวิร์ดเดียวด้วยนะ เพราะแอปพลิเคชันในปัจจุบันนั่นมีเยอะเหลือเกินนน (ผู้อ่านคงไม่มีใครใช้พาสเวิร์ดเดียวกับทุกแอปใช่ไหมครับ ผมขอเตือนว่าอันตรายมากๆๆนะครับ) และคงเป็นเรื่องที่ทำให้ใครๆหลายคนต้องปวดหัวอยู่ตลอด โดยประเด็นที่ผู้อ่านส่วนใหญ่คิดเหมือนกันคงจะหนีไม่พ้นเรื่อง ลืม! แน่ เพราะผมก็เป็นหนึ่งในนั้นเหมือนกันครับ 555 (ถึงแม้ว่าจะมี Password manager มาช่วยก็ตาม แต่สุดท้ายแล้วก็ต้องจำพาสเวิร์ดอยู่ดีครับ) แล้วพอเราตั้งยากไป ไม่ได้ใช้ผ่านไปสักพักก็ลืมอีก และยิ่งปัจจุบันที่มีการใช้งาน Cloud-based หรือ Web-based application บนอินเทอร์เน็ตที่เพิ่มมากขึ้นเรื่อย ๆ และแต่ละแอปพลิเคชันก็ต่างต้องใช้พาสเวิร์ดในการ login เผื่อใช้งานกันทั้งนั้น อีกทั้งหลายครั้งที่เรามักจะเห็นข่าวที่แฮกเกอร์ทำการโจมตีระบบ แล้วนำ Username และ Password มาปล่อยลงอินเทอร์เน็ต วันนี้ผมเลยอยากจะมานำเสนอเรื่องราวที่จะแก้ปัญหาเหล่านี้ ซึ่งเป็นเรื่องที่ไม่ได้พึ่งมีมาใหม่ แต่มีการใช้งานในปัจจุบันมากพอสมควร และมีแนวโน้มว่าในอนาคตจะมีการนำมาใช้มากขึ้นเรื่อย ๆ ซึ่งเรื่องที่ผมจะนำเสนอวันนี้ก็คือ “วิธีการพิสูจน์ตัวตนโดยไม่พึ่งพาสเวิร์ด” (Passwordless)
ปล. เนื้อหาในบทความนี้อาจมีการใช้คำศัพท์เทคนิคเฉพาะทางที่เกี่ยวข้องกับไอทีค่อนข้างเยอะ
การเปลี่ยนแปลงจาก Password สู่ Passwordless
จุดเริ่มต้นของการใช้งานพาสเวิร์ด (Password) เกิดขึ้นในช่วงกลางยุค 1960 บนระบบ Compatible Time-Sharing System(CTSS) ของ MIT มีการอนุญาตให้ผู้ใช้งานสามารถแชร์คอมพิวเตอร์บนเมนเฟรมเดียวกันได้ นั่นทำให้พาสเวิร์ดถูกสร้างขึ้นเพื่อใช้เป็นเครื่องมือตรวจสอบและอนุญาตให้เข้าถึงคอมพิวเตอร์ของแต่ละคน แต่เมื่อเวลาผ่านไปก็เริ่มมีการแชร์พาสเวิร์ดให้กันระหว่างผู้ใช้งาน นั่นทำให้ผู้ใช้งานคนอื่นๆต้องการความปลอดภัยที่มากขึ้น เป็นจุดเริ่มต้นที่นำมาสู่ “การพิสูจน์ตัวตน” (Authentication) หลังจากนั้นก็เริ่มมีการนำปัจจัยอื่นๆเพิ่มเติมจากพาสเวิร์ด หรือ Multi-factor authentication(MFA) มาใช้เป็นการยืนยันตัวตนชั้นที่สอง เพื่อเพิ่มความปลอดภัยอีกขั้น ให้กับการเข้าถึงระบบต่างๆ
ที่ผ่านมา พาสเวิร์ดมักจะถูกใช้งานในการพิสูจน์ตัวตนเป็นหลัก (Primary Authentication) และมี MFA เป็นส่วนที่เสริมเข้ามาเพื่อเพิ่มความปลอดภัยอีกชั้น (Secondary Authentication) เพราะเนื่องจากการใช้พาสเวิร์ดเพียงอย่างเดียวนั้นไม่เพียงพอต่อการป้องกันเหล่าแฮกเกอร์ที่ต้องการขโมยพาสเวิร์ดไปใช้ในการโจมตีระบบ หรือเข้าถึงข้อมูลสำคัญ โดยจะได้เห็นได้ว่าช่องโหว่ต่างๆที่เกี่ยวกับพาสเวิร์ดนั้นมีมากมาย
ซึ่งในปัจจุบันหลายคนคงจะคุ้นเคยกับคำว่า Two-factor Authentication(2FA) กันแล้วใช่ไหมครับ จากบทความอาทิตย์ที่แล้ว ที่เป็นการยกตัวอย่างการใช้งาน 2FA ของ Facebook แนวโน้มของการใช้งาน 2FA ในแอปพลิเคชันอื่นๆ ก็ดูจะเพิ่มขึ้นอย่างรวดเร็วตามการเปลี่ยนแปลงของเทคโนโลยี โดยโทรศัพท์มือถือรุ่นใหม่ๆ นั่นก็ได้มีการเพิ่มฟังก์ชันต่างๆ ในการยืนยันตัวตนผ่านไบโอเมตริกซ์ (Biometrics) เข้ามามากมาย ไม่ว่าจะเป็นการสแกนนิ้ว สแกนใบหน้า สแกนม่านตา หรือแม้แต่เสียงของเราในบางครั้งก็สามารถใช้ในการพิสูจน์ตัวตนได้ด้วยนะครับ จึงทำให้เกิดคำถามมากมายว่า พาสเวิร์ดยังจำเป็นที่จะต้องใช้เป็นการพิสูจน์ตัวตนหลัก (Primary Authentication) อยู่รึป่าว
ปัญหาของการใช้ Password
“Each year, 20% to 50% of all IT help desk tickets are for password resets. That’s time that could be otherwise spent on new IT initiatives.” — The Gartner Group
- พาสเวิร์ดสร้างภาระในการบริหารจัดการ จากข้อความด้านบน จะเห็นได้ว่างานของ IT help desk เกือบครึ่งจะเป็นการรีเซ็ต password หรือจัดการปัญหาเกี่ยวกับ password ของพนักงานในองค์กร ทั้งๆ ที่เวลาส่วนนั้นควรถูกนำไปใช้พัฒนาเทคโนโลยีส่วนอื่นๆ
- สร้างประสบการณ์การใช้งานที่ไม่ดีให้กับผู้ใช้ ด้วยจำนวนของ Cloud services และการใช้งานอินเทอร์เน็ตที่เพิ่มขึ้น ทำให้มีผู้ใช้งานจำเป็นที่จะต้องพิสูจน์ตัวตนด้วยพาสเวิร์ดมากขึ้น และบ่อยครั้งเราก็มักจะลืมพาสเวิร์ด ซึ่งหากเกิดใส่พาสเวิร์ดผิดพลาดซ้ำหลายครั้ง ทำให้ผู้ใช้งานรู้สึกวิตกกังวล และยังอาจทำให้เกิดการใช้งานที่ติดขัดอีกด้วย ซึ่งปัญหาเหล่านี้ส่งผลให้ Productivity ในการทำงานลดลง
- เป็นเป้าต่อการโจมตีได้ง่าย เป็นเรื่องที่เราสามารถพบเห็นได้ทั่วไป ว่าความเสี่ยงของการใช้พาสเวิร์ดนั้นกลายเป็นเป้าหมายของเหล่าแฮกเกอร์ รวมทั้งมีการโจมตีมากมายที่เกี่ยวข้องกับพาสเวิร์ด ยกตัวอย่างเช่น Credential stuffing (การใช้ข้อมูลพาสเวิร์ดที่เคยถูกขโมยไปแล้ว มาใช้ในการ login ในกรณีที่อาจจะเกิดพาสเวิร์ดซ้ำกัน), Phishing (เป็นการล่อลวงให้ผู้ใช้งานเปิดเผยข้อมูลสำคัญ เช่น พาสเวิร์ด ผ่านช่องทางต่างๆ อย่างอีเมล), Brute-force attacks (การโจมตีโดยการคาดเดาพาสเวิร์ด) เป็นต้น
Passwordless คืออะไร? มีข้อดียังไง?
วิธีการพิสูจน์ตัวตนโดยไม่พึ่งพาสเวิร์ด (Passwordless) เป็นการสร้างความมั่นใจให้กับผู้ใช้งานในการพิสูจน์ตัวตน โดยใช้วิธีการในการตรวจสอบสิทธิ์อื่นๆ นอกเหนือจากพาสเวิร์ด (Something you have) เช่น การใช้ไบโอเมตริก (Biometrics) , Security key หรือโทรศัพท์มือถือ เป็นการพิสูจน์ตัวตนหลัก (Primary Authentication) เพื่อเพิ่มความคล่องตัวในการใช้งานและสร้างความปลอดภัยในการเข้าถึงการใช้งานในองค์กร
- Better User Experience ในเมื่อไม่มีความจำเป็นที่จะต้องพึ่งพาพาสเวิร์ดแล้ว ก็ทำให้ลดความอึดอัดและความวิตกกังวลเกี่ยวกับพาสเวิร์ดลง ทำให้ผู้ใช้งานมี Productivity ที่มากขึ้น
- Reduced IT Time and Costs ลดภาระงานของฝ่าย IT help desk ในการแก้ไขปัญหาที่เกี่ยวข้องกับพาสเวิร์ด
- Stronger Security Posture ช่วยลดโอกาสที่จะเกิดการโจมตี รวมถึงช่องโหว่ต่างๆที่มาจากการใช้งานพาสเวิร์ดได้ ยกตัวอย่างเช่น Phishing, การขโมยพาสเวิร์ด หรือการตั้งค่าพาสเวิร์ดอ่อนแอ, การใช้งานพาสเวิร์ดซ้ำ รวมถึงการทำ Brute-force attack อีกด้วย
สรุป
การพิสูจน์ตัวตน (Authentication) เป็นการยืนยันตัวผู้ใช้งาน รวมถึงสร้างความปลอดภัยระหว่างการใช้งาน ยิ่งในปัจจุบันที่แอปพลิเคชันต่างๆ ก็ล้วนแต่ใช้งานผ่านอินเทอร์เน็ตและมีการเปลี่ยนแปลงไปอย่างรวดเร็ว การใช้งาน Passwordless ควบคู่กับการใช้งาน MFA จะช่วยเพิ่มความปลอดภัย ความมั่นใจ และความสะดวกสบายในการใช้งานแอปพลิเคชันนั่นดียิ่งขึ้น ซึ่งจะเป็นการลดการพึ่งพาพาสเวิร์ดเป็นหลัก ลดความถี่ในการตั้งรหัสผ่านใหม่ ลดภาระงานของ IT help desk และรวมถึงเพิ่ม Productivity ให้กับผู้ใช้งานอีกด้วย แต่ก็ยังมีข้อจำกัดในการใช้งานอยู่พอสมควร ซึ่ง Passwordless อาจจะไม่เหมาะสมกับการใช้งานบางประเภท และมาตรฐาน ข้อกำหนดต่างๆ ก็ยังไม่สนับสนุนการใช้งาน Passwordless มากนัก ซึ่งสิ่งเหล่านี้จะค่อยๆ ถูกแก้ไขต่อไปในอนาคต เพื่อสร้างสภาพแวดล้อมที่ทันต่อการเปลี่ยนแปลง และมีความปลอดภัยมากยิ่งขึ้น
Ref
- Passwordless: The Future of Authentication (enterprisetalk.com)
- https://ichi.pro/th/rhas-phan-khxng-khun-xac-mi-plxdphay-xyang-thi-khid-43562185441600
- https://securityboulevard.com/2020/02/eliminate-password-reset-tickets-to-increase-profits/
- https://searchsecurity.techtarget.com/definition/multifactor-authentication-MFA
