อวสาน Password !!! ที่ไม่ได้ปลอดภัย กับการมาของ Passwordless

11 กุมภาพันธ์ 2022

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

จากยุคของ 123456 และ 654321 ดูเหมือนว่าวันนี้รหัสผ่านหรือ password ที่เราคุ้นเคยกันจะกลายเป็นเรื่องตกยุคไปเสียแล้ว เมื่อ Microsoft บริษัทซอฟต์แวร์ที่ใหญ่ที่สุดในโลกได้ระบุว่า password นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” (inconvenient, insecure, and expensive)

พร้อมกันนี้ในปีที่แล้ว Microsoft ยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วย

ดังนั้นหลายคนจนถึงกับบอกว่านี่อาจเป็นจุดจบของยุคแห่งสมัยของ password อันยาวนาน เลยก็ว่าได้ !

Passwordless คืออะไร?

มาถึงตรงนี้หลายคนอาจกำลังสงสัยว่าแล้วเจ้า Passwordless ที่ว่านี้มันเป็นยังไง? ใช้งานอย่างไร? แล้วมันจะแทนที่การใช้ password ได้จริง ๆ เหรอ?

Passwordless หรือ Multi-Factor Authentication หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง

โดยตัวอย่างของการใช้งาน Passwordless ได้แก่

  • การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง
  • การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone
  • การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone
  • การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป

แล้วทำไมจู่ ๆ password ที่เราใช้กันมาอย่างยาวนาน ถึงกำลังจะกลายเป็นของตกยุค?

พูดแล้วก็แอบใจหาย เพราะหลายคนน่าจะคุ้นเคยกับระบบการใช้ password เป็นอย่างดีนับตั้งแต่ที่เริ่มใช้คอมพิวเตอร์เป็นกันเลยทีเดียว แถมยังเป็นสิ่งที่ถูกใช้กับแทบจะทุกอย่างใกล้ตัวตั้งแต่รหัสอีเมล รหัส social media บัญชีการทำงาน ไปจนถึงรหัสบัญชีธนาคาร

แต่ด้วยความที่มีรหัสผ่านจำนวนมาก หลายบัญชี หลาย account เสียเหลือเกินนี่แหละ ที่ทำให้คนส่วนใหญ่มักจะลืม password ของตัวเองได้ง่าย ๆ ซึ่งจากข้อมูลในเว็บไซต์ของ techradar.pro ได้กล่าวว่าโดยเฉลี่ยแล้วแต่ละคนจะมี password ต่าง ๆ รวมแล้วมากกว่า 100 password เลยทีเดียว

และเมื่อไม่สามารถจดจำ password ทั้งหมดนี้ได้คนส่วนใหญ่ก็มักจะเลือกจดมันไว้ในโปรแกรมต่าง ๆ บนคอมพิวเตอร์แทน ซึ่งกว่า 57% ของพนักงานที่ทำงานในสหรัฐอเมริกากล่าวว่า พวกเขาเลือกที่จะจดรหัสผ่านที่ใช้ในการทำงานลงบนโปรแกรม sticky notes เพื่อป้องกันการลืมตามรายงานชิ้นเดียวกันใน techradar.pro

ซึ่งหากพิจารณาเรื่องนี้ในมุมของ Cybersecurity แล้วก็จะพบว่านี่คือความเสี่ยงร้ายแรงจากการถูกขโมยข้อมูล password ซึ่งไม่ได้ถูกจัดเก็บไว้อย่างดีเช่นนี้โดยบุคคลที่ไม่หวังดี หรือแม้แต่บางทีก็อาจเป็นคนที่เรารู้จักดีอยู่แล้วก็เป็นได้ อีกทั้ง password ที่ง่ายต่อการคาดเดาก็ยังมีโอกาสที่จะถูกเจาะเข้าสู่ระบบได้ง่ายอีกด้วย

ซ้ำร้ายหลายคนก็ยังเลือกใช้ password ชุดเดียวกันสำหรับการใช้งานบัญชีต่าง ๆ ซึ่งหากถูกขโมยสำเร็จเพียง 1 บัญชี ก็มีโอกาสที่จะถูกเจาะระบบเข้าสู่ทุกบัญชีรหัสผ่านได้ทันที

และยิ่งสถานการณ์การแพร่ระบาดของเชื้อไวรัส covid-19 ที่ทำให้หลายองค์กรต้องเปลี่ยนมาใช้วิธีการทำงานแบบ work from home ด้วยแล้ว ก็ยิ่งทำให้แทบจะทุกการทำงานต้องใช้ password เพิ่มมากขึ้น ซึ่งก็นับเป็นการเพิ่มความเสี่ยงต่อการเกิดอาชญากรรมทางไซเบอร์ต่อองค์กรไปโดยปริยาย

ประกอบกับการที่พนักงานต้องใช้ Wi-fi จากที่บ้านเพื่อต่อเข้าสู่ระบบ Network ของบริษัท ซึ่งเป็นเรื่องยากต่อการป้องกันและตรวจสอบว่าผู้ใช้งานเหล่านั้นเป็นพนักงานขององค์กรจริง ๆ หรือเป็นเหล่าแฮกเกอร์ที่แฝงตัวมา

ทำให้ password นั้นกลายเป็นสาเหตุของการเกิดอาชญากรรมทางไซเบอร์ถึง 84% ในปีที่ 2021 และกว่าที่องค์กรต่าง ๆ จะรู้ว่าตัวว่ามีแฮกเกอร์แฝงตัวอยู่ในระบบ Network ก็มักต้องใช้เวลานานถึง 287 วัน ซึ่งก่อให้เกิดความเสียหายจำนวนมหาศาล ตามรายงานของ ESET โปรแกรม Antivirus ชื่อดังในปีที่ผ่านมา

ซึ่งทั้งหมดนี้เองที่เป็นสาเหตุให้ Microsoft ได้ออกมาบอกว่า password นั้นคือสิ่งที่ “สิ้นเปลือง” “ไม่ปลอดภัย” และ “ไม่สะดวกสบายอย่างยิ่ง” ดังที่ได้กล่าวไว้ตอนต้น

จุดเริ่มต้นยุคแห่ง Passwordless

แน่นอนว่าจากนี้ไปเราน่าจะได้เห็นการใช้งาน password ในที่ต่าง ๆ น้อยลง ในขณะที่วิธีการยืนยันตัวตนแบบ Passwordless ก็จะถูกใช้มากขึ้น ซึ่งมีข้อดี คือ

  1. ความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้น แน่นอนว่าเมื่อไม่มี password ที่เป็นสาเหตุหลักของการถูกแฮกข้อมูล ก็ย่อมทำให้หลายองค์กรปลอดภัยและลดมูลค่าความสูญเสียจากอาชญากรรมทางไซเบอร์ไปได้ หรืออย่างน้อยก็ทำให้เหล่าผู้ไม่หวังดีต้องปวดหัวและทำงานหนักมากขึ้นอย่างแน่นอน
  2. เพิ่มความสะดวกสบายในการใช้งาน ระบบ Passwordless นั้นยังช่วยสร้าง User Experience ที่ดี ลดขั้นตอนการทำงานต่าง ๆ ลง รวมถึงไม่ต้องคอยจดจำ password ที่ยุ่งยาก ทำให้การทำธุรกรรมออนไลน์ต่างๆ เป็นเรื่องสะดวกสบายและง่ายขึ้น นอกจากจะดีต่อผู้ใช้งานแล้ว ธุรกิจก็ยังขายสินค้าได้เพิ่มขึ้นอีกด้วย

อย่างไรก็ตามทุกข้อดีนั้นก็ล้วนตามมาซึ่งข้อเสีย และสำหรับการใช้งานระบบ Passwordless ก็มีข้อเสียที่หลายองค์กรต้องพิจารณาให้ดีก่อนนำมาใช้งานเช่นกัน

  1. ไม่มีสิ่งใดปลอดภัย 100% ถึงแม้ว่าจะสามารถใช้เสียง ใบหน้า หรือลายนิ้วมือเพื่อยืนยันตัวตนได้ แต่ก็ใช่ว่าวิธีการเหล่านี้จะไม่มีความเสี่ยงเลย เพราะทั้งเสียง ใบหน้า และลายนิ้วมือนั้นก็สามารถถูกลอกเลียนแบบได้เช่นกัน หรือแม้แต่การใช้รหัสผ่าน OTP ก็ยังมีโอกาสถูกแฮกอยู่เช่นกัน
  2. ค่าใช้จ่ายที่สูง ถึงแม้ว่าจะช่วยลดอัตราการเกิดอาชญากรรมทางไซเบอร์ได้เป็นอย่างดี แต่ด้วยปัญหาภาระค่าใช้จ่ายที่สูงสำหรับการเปลี่ยนแปลงระบบทั้งองค์กร ดังนั้นจึงไม่ใช่ทุกองค์กรที่จะสามารถเริ่มต้นใช้ Passwordless ได้ทันที
  3. ผู้ใช้งานส่วนใหญ่อาจไม่ยอมรับ หลังจากการใช้ระบบ password แบบเก่ามาอย่างยาวนาน แน่นอนว่าผู้ใช้หลายรายย่อมเคยชินกับสิ่งเดิมๆ และไม่ใช่เรื่องง่ายที่จะเปิดใจยอมรับกับวิธีการใหม่ ๆ ซึ่งถือเป็นความท้าทายอย่างยิ่งสำหรับการนำระบบ Passwordless มาใช้งานในอนาคต

และด้วยข้อดีและข้อเสียทั้งหมดนี้ ก็คงจะเป็นบทพิสูจน์สำคัญของ Passwordless ในการได้รับการยอมรับในวงกว้างและถูกใช้อย่างแพร่หลายผ่านกาลเวลา อย่างที่ password แบบเดิมเคยทำได้หรือไม่? หรืออาจมีวิธีการอื่นใดที่ดีกว่าในอนาคต เพราะทั้งหมดนี้ก็ยังเป็นเพียงจุดเริ่มต้นเท่านั้น

แต่ไม่ว่าจะยุคสมัยหรือวิธีการใด ความรู้และความเข้าใจที่ถูกต้องเกี่ยวกับ Cybersecurity ก็จะยังเป็นวิธีการที่ดีที่สุดในการจัดการรับมือปัญหาอาชญากรรมทางไซเบอร์อย่างหลีกเลี่ยงไม่ได้เสมอ

ที่มา:

บทความที่เกี่ยวข้อง

  • 19 กรกฎาคม 2024

    ผู้ช่วยส่วนตัวสั่งการด้วยเสียงอย่าง Siri ของ Apple, Alexa ของ Amazon และ Google Assistant ของ Google อยู่คู่กับการใช้ชีวิตของคนยุคใหม่มาประมาณ​ 10 กว่าปีแล้ว

  • 21 มิถุนายน 2024

    ความปลอดภัยของเว็บและแอปพลิเคชันเป็นสิ่งสำคัญสำหรับทุกธุรกิจ! ไม่ใช่แค่เรื่องของการปกป้องข้อมูล แต่ยังเกี่ยวข้องกับความเชื่อมั่นของลูกค้าและความเสถียรภาพของธุรกิจเองด้วย เลือกใช้และปรับแต่ง WAF ที่เหมาะสมสำหรับธุรกิจของคุณเพื่อป้องกันการโจมตีทางไซเบอร์และลดความเสี่ยงจากผลกระทบที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

  • 18 มิถุนายน 2024

    ระบบ IT ในโรงพยาบาลก็เป็นอีกหนึ่งหัวใจที่สำคัญ และจำเป็นต้องมีการปกป้องภัยคุกคามไซเบอร์ โดยเฉพาะอย่างยิ่ง Ransomware ซึ่งจำเป็นจะต้องให้เป็นไปตาม มาตรฐานความเสี่ยง 3 ระดับ โดยในบทความนี้ มีการสรุปมาตรฐานความเสี่ยง ที่โรงพยาบาลควรตระหนัก เพื่อที่จะได้ป้องกันภัยไซเบอร์ได้อย่างทันท่วงที