อวสาน Password !!! ที่ไม่ได้ปลอดภัย กับการมาของ Passwordless
จากยุคของ 123456 และ 654321 ดูเหมือนว่าวันนี้รหัสผ่านหรือ password ที่เราคุ้นเคยกันจะกลายเป็นเรื่องตกยุคไปเสียแล้ว เมื่อ Microsoft บริษัทซอฟต์แวร์ที่ใหญ่ที่สุดในโลกได้ระบุว่า password นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” (inconvenient, insecure, and expensive)
พร้อมกันนี้ในปีที่แล้ว Microsoft ยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วย
ดังนั้นหลายคนจนถึงกับบอกว่านี่อาจเป็นจุดจบของยุคแห่งสมัยของ password อันยาวนาน เลยก็ว่าได้ !
Passwordless คืออะไร?
มาถึงตรงนี้หลายคนอาจกำลังสงสัยว่าแล้วเจ้า Passwordless ที่ว่านี้มันเป็นยังไง? ใช้งานอย่างไร? แล้วมันจะแทนที่การใช้ password ได้จริง ๆ เหรอ?
Passwordless หรือ Multi-Factor Authentication หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง
โดยตัวอย่างของการใช้งาน Passwordless ได้แก่
การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง
การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone
การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone
การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป
แล้วทำไมจู่ ๆ password ที่เราใช้กันมาอย่างยาวนาน ถึงกำลังจะกลายเป็นของตกยุค?
พูดแล้วก็แอบใจหาย เพราะหลายคนน่าจะคุ้นเคยกับระบบการใช้ password เป็นอย่างดีนับตั้งแต่ที่เริ่มใช้คอมพิวเตอร์เป็นกันเลยทีเดียว แถมยังเป็นสิ่งที่ถูกใช้กับแทบจะทุกอย่างใกล้ตัวตั้งแต่รหัสอีเมล รหัส social media บัญชีการทำงาน ไปจนถึงรหัสบัญชีธนาคาร
แต่ด้วยความที่มีรหัสผ่านจำนวนมาก หลายบัญชี หลาย account เสียเหลือเกินนี่แหละ ที่ทำให้คนส่วนใหญ่มักจะลืม password ของตัวเองได้ง่าย ๆ ซึ่งจากข้อมูลในเว็บไซต์ของ techradar.pro ได้กล่าวว่าโดยเฉลี่ยแล้วแต่ละคนจะมี password ต่าง ๆ รวมแล้วมากกว่า 100 password เลยทีเดียว
และเมื่อไม่สามารถจดจำ password ทั้งหมดนี้ได้คนส่วนใหญ่ก็มักจะเลือกจดมันไว้ในโปรแกรมต่าง ๆ บนคอมพิวเตอร์แทน ซึ่งกว่า 57% ของพนักงานที่ทำงานในสหรัฐอเมริกากล่าวว่า พวกเขาเลือกที่จะจดรหัสผ่านที่ใช้ในการทำงานลงบนโปรแกรม sticky notes เพื่อป้องกันการลืมตามรายงานชิ้นเดียวกันใน techradar.pro
ซึ่งหากพิจารณาเรื่องนี้ในมุมของ Cybersecurity แล้วก็จะพบว่านี่คือความเสี่ยงร้ายแรงจากการถูกขโมยข้อมูล password ซึ่งไม่ได้ถูกจัดเก็บไว้อย่างดีเช่นนี้โดยบุคคลที่ไม่หวังดี หรือแม้แต่บางทีก็อาจเป็นคนที่เรารู้จักดีอยู่แล้วก็เป็นได้ อีกทั้ง password ที่ง่ายต่อการคาดเดาก็ยังมีโอกาสที่จะถูกเจาะเข้าสู่ระบบได้ง่ายอีกด้วย
ซ้ำร้ายหลายคนก็ยังเลือกใช้ password ชุดเดียวกันสำหรับการใช้งานบัญชีต่าง ๆ ซึ่งหากถูกขโมยสำเร็จเพียง 1 บัญชี ก็มีโอกาสที่จะถูกเจาะระบบเข้าสู่ทุกบัญชีรหัสผ่านได้ทันที
และยิ่งสถานการณ์การแพร่ระบาดของเชื้อไวรัส covid-19 ที่ทำให้หลายองค์กรต้องเปลี่ยนมาใช้วิธีการทำงานแบบ work from home ด้วยแล้ว ก็ยิ่งทำให้แทบจะทุกการทำงานต้องใช้ password เพิ่มมากขึ้น ซึ่งก็นับเป็นการเพิ่มความเสี่ยงต่อการเกิดอาชญากรรมทางไซเบอร์ต่อองค์กรไปโดยปริยาย
ประกอบกับการที่พนักงานต้องใช้ Wi-fi จากที่บ้านเพื่อต่อเข้าสู่ระบบ Network ของบริษัท ซึ่งเป็นเรื่องยากต่อการป้องกันและตรวจสอบว่าผู้ใช้งานเหล่านั้นเป็นพนักงานขององค์กรจริง ๆ หรือเป็นเหล่าแฮกเกอร์ที่แฝงตัวมา
ทำให้ password นั้นกลายเป็นสาเหตุของการเกิดอาชญากรรมทางไซเบอร์ถึง 84% ในปีที่ 2021 และกว่าที่องค์กรต่าง ๆ จะรู้ว่าตัวว่ามีแฮกเกอร์แฝงตัวอยู่ในระบบ Network ก็มักต้องใช้เวลานานถึง 287 วัน ซึ่งก่อให้เกิดความเสียหายจำนวนมหาศาล ตามรายงานของ ESET โปรแกรม Antivirus ชื่อดังในปีที่ผ่านมา
ซึ่งทั้งหมดนี้เองที่เป็นสาเหตุให้ Microsoft ได้ออกมาบอกว่า password นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” ดังที่ได้กล่าวไว้ตอนต้น
จุดเริ่มต้นยุคแห่ง Passwordless
แน่นอนว่าจากนี้ไปเราน่าจะได้เห็นการใช้งาน password ในที่ต่าง ๆ น้อยลง ในขณะที่วิธีการยืนยันตัวตนแบบ Passwordless ก็จะถูกใช้มากขึ้น ซึ่งมีข้อดี คือ
ความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น แน่นอนว่าเมื่อไม่มี password ที่เป็นสาเหตุหลักของการถูกแฮกข้อมูล ก็ย่อมทำให้หลายองค์กรปลอดภัยและลดมูลค่าความสูญเสียจากอาชญากรรมทางไซเบอร์ไปได้ หรืออย่างน้อยก็ทำให้เหล่าผู้ไม่หวังดีต้องปวดหัวและทำงานหนักมากขึ้นอย่างแน่นอน
เพิ่มความสะดวกสบายในการใช้งาน ระบบ Passwordless นั้นยังช่วยสร้าง User Experience ที่ดี ลดขั้นตอนการทำงานต่าง ๆ ลง รวมถึงไม่ต้องคอยจดจำ password ที่ยุ่งยาก ทำให้การทำธุรกรรมออนไลน์ต่างๆ เป็นเรื่องสะดวกสบายและง่ายขึ้น นอกจากจะดีต่อผู้ใช้งานแล้ว ธุรกิจก็ยังขายสินค้าได้เพิ่มขึ้นอีกด้วย
อย่างไรก็ตามทุกข้อดีนั้นก็ล้วนตามมาซึ่งข้อเสีย และสำหรับการใช้งานระบบ Passwordless ก็มีข้อเสียที่หลายองค์กรต้องพิจารณาให้ดีก่อนนำมาใช้งานเช่นกัน
ไม่มีสิ่งใดปลอดภัย 100% ถึงแม้ว่าจะสามารถใช้เสียง ใบหน้า หรือลายนิ้วมือเพื่อยืนยันตัวตนได้ แต่ก็ใช่ว่าวิธีการเหล่านี้จะไม่มีความเสี่ยงเลย เพราะทั้งเสียง ใบหน้า และลายนิ้วมือนั้นก็สามารถถูกลอกเลียนแบบได้เช่นกัน หรือแม้แต่การใช้รหัสผ่าน OTP ก็ยังมีโอกาสถูกแฮกอยู่เช่นกัน
ค่าใช้จ่ายที่สูง ถึงแม้ว่าจะช่วยลดอัตราการเกิดอาชญากรรมทางไซเบอร์ได้เป็นอย่างดี แต่ด้วยปัญหาภาระค่าใช้จ่ายที่สูงสำหรับการเปลี่ยนแปลงระบบทั้งองค์กร ดังนั้นจึงไม่ใช่ทุกองค์กรที่จะสามารถเริ่มต้นใช้ Passwordless ได้ทันที
ผู้ใช้งานส่วนใหญ่อาจไม่ยอมรับ หลังจากการใช้ระบบ password แบบเก่ามาอย่างยาวนาน แน่นอนว่าผู้ใช้หลายรายย่อมเคยชินกับสิ่งเดิมๆ และไม่ใช่เรื่องง่ายที่จะเปิดใจยอมรับกับวิธีการใหม่ ๆ ซึ่งถือเป็นความท้าทายอย่างยิ่งสำหรับการนำระบบ Passwordless มาใช้งานในอนาคต
และด้วยข้อดีและข้อเสียทั้งหมดนี้ ก็คงจะเป็นบทพิสูจน์สำคัญของ Passwordless ในการได้รับการยอมรับในวงกว้างและถูกใช้อย่างแพร่หลายผ่านกาลเวลา อย่างที่ password แบบเดิมเคยทำได้หรือไม่? หรืออาจมีวิธีการอื่นใดที่ดีกว่าในอนาคต เพราะทั้งหมดนี้ก็ยังเป็นเพียงจุดเริ่มต้นเท่านั้น
แต่ไม่ว่าจะยุคสมัยหรือวิธีการใด ความรู้และความเข้าใจที่ถูกต้องเกี่ยวกับ Cybersecurity ก็จะยังเป็นวิธีการที่ดีที่สุดในการจัดการรับมือปัญหาอาชญากรรมทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้เสมอ
ที่มา : https://www.cyfence.com/article/end-password-that-is-not-safe-with-the-coming-of-passwordless/
พร้อมกันนี้ในปีที่แล้ว Microsoft ยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วย
ดังนั้นหลายคนจนถึงกับบอกว่านี่อาจเป็นจุดจบของยุคแห่งสมัยของ password อันยาวนาน เลยก็ว่าได้ !
Passwordless คืออะไร?
มาถึงตรงนี้หลายคนอาจกำลังสงสัยว่าแล้วเจ้า Passwordless ที่ว่านี้มันเป็นยังไง? ใช้งานอย่างไร? แล้วมันจะแทนที่การใช้ password ได้จริง ๆ เหรอ?
Passwordless หรือ Multi-Factor Authentication หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง
โดยตัวอย่างของการใช้งาน Passwordless ได้แก่
การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง
การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone
การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone
การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป
แล้วทำไมจู่ ๆ password ที่เราใช้กันมาอย่างยาวนาน ถึงกำลังจะกลายเป็นของตกยุค?
พูดแล้วก็แอบใจหาย เพราะหลายคนน่าจะคุ้นเคยกับระบบการใช้ password เป็นอย่างดีนับตั้งแต่ที่เริ่มใช้คอมพิวเตอร์เป็นกันเลยทีเดียว แถมยังเป็นสิ่งที่ถูกใช้กับแทบจะทุกอย่างใกล้ตัวตั้งแต่รหัสอีเมล รหัส social media บัญชีการทำงาน ไปจนถึงรหัสบัญชีธนาคาร
แต่ด้วยความที่มีรหัสผ่านจำนวนมาก หลายบัญชี หลาย account เสียเหลือเกินนี่แหละ ที่ทำให้คนส่วนใหญ่มักจะลืม password ของตัวเองได้ง่าย ๆ ซึ่งจากข้อมูลในเว็บไซต์ของ techradar.pro ได้กล่าวว่าโดยเฉลี่ยแล้วแต่ละคนจะมี password ต่าง ๆ รวมแล้วมากกว่า 100 password เลยทีเดียว
และเมื่อไม่สามารถจดจำ password ทั้งหมดนี้ได้คนส่วนใหญ่ก็มักจะเลือกจดมันไว้ในโปรแกรมต่าง ๆ บนคอมพิวเตอร์แทน ซึ่งกว่า 57% ของพนักงานที่ทำงานในสหรัฐอเมริกากล่าวว่า พวกเขาเลือกที่จะจดรหัสผ่านที่ใช้ในการทำงานลงบนโปรแกรม sticky notes เพื่อป้องกันการลืมตามรายงานชิ้นเดียวกันใน techradar.pro
ซึ่งหากพิจารณาเรื่องนี้ในมุมของ Cybersecurity แล้วก็จะพบว่านี่คือความเสี่ยงร้ายแรงจากการถูกขโมยข้อมูล password ซึ่งไม่ได้ถูกจัดเก็บไว้อย่างดีเช่นนี้โดยบุคคลที่ไม่หวังดี หรือแม้แต่บางทีก็อาจเป็นคนที่เรารู้จักดีอยู่แล้วก็เป็นได้ อีกทั้ง password ที่ง่ายต่อการคาดเดาก็ยังมีโอกาสที่จะถูกเจาะเข้าสู่ระบบได้ง่ายอีกด้วย
ซ้ำร้ายหลายคนก็ยังเลือกใช้ password ชุดเดียวกันสำหรับการใช้งานบัญชีต่าง ๆ ซึ่งหากถูกขโมยสำเร็จเพียง 1 บัญชี ก็มีโอกาสที่จะถูกเจาะระบบเข้าสู่ทุกบัญชีรหัสผ่านได้ทันที
และยิ่งสถานการณ์การแพร่ระบาดของเชื้อไวรัส covid-19 ที่ทำให้หลายองค์กรต้องเปลี่ยนมาใช้วิธีการทำงานแบบ work from home ด้วยแล้ว ก็ยิ่งทำให้แทบจะทุกการทำงานต้องใช้ password เพิ่มมากขึ้น ซึ่งก็นับเป็นการเพิ่มความเสี่ยงต่อการเกิดอาชญากรรมทางไซเบอร์ต่อองค์กรไปโดยปริยาย
ประกอบกับการที่พนักงานต้องใช้ Wi-fi จากที่บ้านเพื่อต่อเข้าสู่ระบบ Network ของบริษัท ซึ่งเป็นเรื่องยากต่อการป้องกันและตรวจสอบว่าผู้ใช้งานเหล่านั้นเป็นพนักงานขององค์กรจริง ๆ หรือเป็นเหล่าแฮกเกอร์ที่แฝงตัวมา
ทำให้ password นั้นกลายเป็นสาเหตุของการเกิดอาชญากรรมทางไซเบอร์ถึง 84% ในปีที่ 2021 และกว่าที่องค์กรต่าง ๆ จะรู้ว่าตัวว่ามีแฮกเกอร์แฝงตัวอยู่ในระบบ Network ก็มักต้องใช้เวลานานถึง 287 วัน ซึ่งก่อให้เกิดความเสียหายจำนวนมหาศาล ตามรายงานของ ESET โปรแกรม Antivirus ชื่อดังในปีที่ผ่านมา
ซึ่งทั้งหมดนี้เองที่เป็นสาเหตุให้ Microsoft ได้ออกมาบอกว่า password นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” ดังที่ได้กล่าวไว้ตอนต้น
จุดเริ่มต้นยุคแห่ง Passwordless
แน่นอนว่าจากนี้ไปเราน่าจะได้เห็นการใช้งาน password ในที่ต่าง ๆ น้อยลง ในขณะที่วิธีการยืนยันตัวตนแบบ Passwordless ก็จะถูกใช้มากขึ้น ซึ่งมีข้อดี คือ
ความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น แน่นอนว่าเมื่อไม่มี password ที่เป็นสาเหตุหลักของการถูกแฮกข้อมูล ก็ย่อมทำให้หลายองค์กรปลอดภัยและลดมูลค่าความสูญเสียจากอาชญากรรมทางไซเบอร์ไปได้ หรืออย่างน้อยก็ทำให้เหล่าผู้ไม่หวังดีต้องปวดหัวและทำงานหนักมากขึ้นอย่างแน่นอน
เพิ่มความสะดวกสบายในการใช้งาน ระบบ Passwordless นั้นยังช่วยสร้าง User Experience ที่ดี ลดขั้นตอนการทำงานต่าง ๆ ลง รวมถึงไม่ต้องคอยจดจำ password ที่ยุ่งยาก ทำให้การทำธุรกรรมออนไลน์ต่างๆ เป็นเรื่องสะดวกสบายและง่ายขึ้น นอกจากจะดีต่อผู้ใช้งานแล้ว ธุรกิจก็ยังขายสินค้าได้เพิ่มขึ้นอีกด้วย
อย่างไรก็ตามทุกข้อดีนั้นก็ล้วนตามมาซึ่งข้อเสีย และสำหรับการใช้งานระบบ Passwordless ก็มีข้อเสียที่หลายองค์กรต้องพิจารณาให้ดีก่อนนำมาใช้งานเช่นกัน
ไม่มีสิ่งใดปลอดภัย 100% ถึงแม้ว่าจะสามารถใช้เสียง ใบหน้า หรือลายนิ้วมือเพื่อยืนยันตัวตนได้ แต่ก็ใช่ว่าวิธีการเหล่านี้จะไม่มีความเสี่ยงเลย เพราะทั้งเสียง ใบหน้า และลายนิ้วมือนั้นก็สามารถถูกลอกเลียนแบบได้เช่นกัน หรือแม้แต่การใช้รหัสผ่าน OTP ก็ยังมีโอกาสถูกแฮกอยู่เช่นกัน
ค่าใช้จ่ายที่สูง ถึงแม้ว่าจะช่วยลดอัตราการเกิดอาชญากรรมทางไซเบอร์ได้เป็นอย่างดี แต่ด้วยปัญหาภาระค่าใช้จ่ายที่สูงสำหรับการเปลี่ยนแปลงระบบทั้งองค์กร ดังนั้นจึงไม่ใช่ทุกองค์กรที่จะสามารถเริ่มต้นใช้ Passwordless ได้ทันที
ผู้ใช้งานส่วนใหญ่อาจไม่ยอมรับ หลังจากการใช้ระบบ password แบบเก่ามาอย่างยาวนาน แน่นอนว่าผู้ใช้หลายรายย่อมเคยชินกับสิ่งเดิมๆ และไม่ใช่เรื่องง่ายที่จะเปิดใจยอมรับกับวิธีการใหม่ ๆ ซึ่งถือเป็นความท้าทายอย่างยิ่งสำหรับการนำระบบ Passwordless มาใช้งานในอนาคต
และด้วยข้อดีและข้อเสียทั้งหมดนี้ ก็คงจะเป็นบทพิสูจน์สำคัญของ Passwordless ในการได้รับการยอมรับในวงกว้างและถูกใช้อย่างแพร่หลายผ่านกาลเวลา อย่างที่ password แบบเดิมเคยทำได้หรือไม่? หรืออาจมีวิธีการอื่นใดที่ดีกว่าในอนาคต เพราะทั้งหมดนี้ก็ยังเป็นเพียงจุดเริ่มต้นเท่านั้น
แต่ไม่ว่าจะยุคสมัยหรือวิธีการใด ความรู้และความเข้าใจที่ถูกต้องเกี่ยวกับ Cybersecurity ก็จะยังเป็นวิธีการที่ดีที่สุดในการจัดการรับมือปัญหาอาชญากรรมทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้เสมอ
ที่มา : https://www.cyfence.com/article/end-password-that-is-not-safe-with-the-coming-of-passwordless/