หมดยุค ‘รหัสผ่าน’? หรือ WebAuthn มาตรฐานใหม่จะเข้ามาแทน

เมื่อเร็วๆ นี้ World Wide Web Consortium (W3C) และ FIDO Alliance ได้ร่วมกันเปิดตัว WebAuthn มาตรฐานเว็บอย่างเป็นทางการสำหรับการยืนยันตนเข้าใช้งานออนไลน์ นับเป็นก้าวสำคัญในการทำให้การใช้งานเว็บปลอดภัยยิ่งขึ้น ทั้งสององค์กรเห็นพ้องกันว่า การพึ่งพารหัสผ่านนั้นมีข้อเสียนานัปการ การยืนยันตนแบบหลายปัจจัย (Multifactor Authentication – MFA) ที่มีใช้กันมานาน เช่น การส่งรหัสแบบใช้งานครั้งเดียว (One Time Password – OTP) ผ่าน SMS ถึงแม้จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง แต่ก็ยังเสี่ยงต่อการดักจับโดยมัลแวร์บางชนิดและผู้ใช้อาจถูกหลอกลวงทางอินเทอร์เน็ตโดยพวกเว็บไซต์ Phishing อยู่ดี

World Wide Web Consortium (W3C) คือใคร?

W3C เป็นการรวมตัวกันของนักเทคโนโลยีหลายพันคนซึ่งเป็นตัวแทนขององค์กรสมาชิกกว่า 400 แห่งและภาคอุตสาหกรรมนับสิบ ภารกิจของ W3C คือ การเป็นผู้นำการใช้งานบนเว็บ โดยการสร้างมาตรฐานทางเทคนิคและแนวทางปฎิบัติเพื่อให้มั่นใจได้ว่าทุกคนบนโลกใบนี้สามารถเข้าถึงเว็บได้ W3C พัฒนาข้อกำหนดที่นักพัฒนาเว็บรู้จักกันดีเช่น HTML5, CSS และ Open Web รวมถึงงานด้านความปลอดภัยต่าง ๆ ด้วย

FIDO Alliance คือใคร?

FIDO (Fast IDentity Online – www.fidoalliance.org) ก่อตั้งขึ้นเพื่อสนับสนุนการทำงานร่วมกันระหว่างเทคโนโลยีการยืนยันตนและแก้ไขปัญหาที่ผู้ใช้งานมักประสบ เช่น การสร้างและจดจำชื่อผู้ใช้และรหัสผ่านจำนวนมากมายหลายรายการ ปัจจุบัน FIDO Alliance มีความพยายามเปลี่ยนแนวทางการรับรองความถูกต้องด้วยมาตรฐาน FIDO2 สำหรับการยืนยันตนที่ง่ายและปลอดภัยยิ่งขึ้น สามารถทำงานได้หลายแพลตฟอร์ม ช่วยลดการพึ่งพารหัสผ่าน

WebAuthn ย่อมาจาก Web Authentication (การยืนยันตนผ่านเว็บ) ถือเป็นมาตรฐานใหม่ของกระบวนการยืนยันตนผ่านเบราว์เซอร์และแพลตฟอร์มที่ง่ายกว่าและปลอดภัยยิ่งขึ้น วิธีนี้ช่วยให้ผู้ใช้เข้าสู่บัญชีออนไลน์โดยอาศัยอุปกรณ์ฮาร์ดแวร์ เช่น Security Key ลักษณะภายนอกดูเหมือน USB Flashdrive ที่สามารถใช้งานแบบเสียบเข้ากับอุปกรณ์หรือส่งสัญญาณแบบ Near Field Communication – NFC (เทคโนโลยีสื่อสารไร้สายระยะสั้นแบบไร้สัมผัส ห่างจากอุปกรณ์ประมาณ 4 ซม.) หรืออุปกรณ์เซนเซอร์ข้อมูลทางชีวภาพ (Biometrics) เพื่อตรวจสอบลักษณะเฉพาะทางกายภาพของแต่ละบุคคล เช่น ลายนิ้วมือ น้ำเสียง ม่านตา ใบหน้า ฯลฯ เพื่อเพิ่มขั้นตอนในการยืนยันตนก่อนเข้าใช้งาน

ปัจจุบัน WebAuthn รองรับโดยระบบปฎิบัติการและเบราว์เซอร์ยอดนิยม เช่น Windows 10, Microsoft Edge, Android, Google Chrome, Mozilla Firefox, และ Safari ซึ่งถือเป็นมาตรฐานเว็บอย่างเป็นทางการไปแล้ว ยักษ์ใหญ่อย่าง Google ยืนยันว่า Android ได้รับการรับรองโดย FIDO2 ซึ่งหมายความว่า ผู้ใช้ Android OS เวอร์ชัน 7 ขึ้นไป (คิดเป็นครึ่งหนึ่งของผู้ใช้ Android ทั้งโลกหรืออุปกรณ์ราวหนึ่งพันล้านชิ้น) สามารถแสกนลายนิ้วมือและเสียบ Security Key เพื่อยืนยันตนเข้าสู่บัญชีผู้ใช้งานแทนรหัสผ่านได้ทันที หลายฝ่ายเชื่อว่า WebAuthn จะมีการใช้งานแพร่หลายมากขึ้นเพื่อมาแทนที่การใช้รหัสผ่าน เนื่องจากที่ผ่านมา กว่า 81% ของการรั่วไหลของข้อมูล ล้วนมีต้นเหตุมาจากการใช้รหัสผ่านที่ตั้งขึ้นมาแบบไร้ความซับซ้อนหรือคาดเดาได้ง่ายเกินไป นอกจากนั้น จากการวิจัยของ Yubico บริษัทผู้นำด้าน Security Key พบว่า ผู้ใช้งานต้องสูญเสียเวลาเฉลี่ยถึงปีละกว่า 10 ชม. ในการพิมพ์หรือแก้ไขรหัสผ่านของตนเอง

WebAuthn ทำงานอย่างไร?

ผู้ใช้ต้องลงทะเบียนข้อมูลประจำตัวไปยังเว็บไซต์ที่ต้องการให้จับคู่ (Pairing) การใช้งานกับ Security Key เพื่อยืนยันตน โดยมีขั้นตอนสำคัญ ดังนี้:
1. เมื่อผู้ใช้ลงทะเบียนกับเว็บไซต์ ทางเว็บไซต์จะส่งชุดคำถามเพื่อยืนยันความถูกต้อง โดยผ่านช่องทางการเชื่อมต่อ API ที่เรียกว่า Credential Manager เพื่อสร้างข้อมูลประจำตัวใหม่สำหรับเข้าใช้งานเว็บไซต์นั้น พร้อมบันทึกรายละเอียดทางเทคนิคของอุปกรณ์ที่จะใช้เพื่อยืนยันตนผ่านวิธีการบางอย่าง เช่น ทางชีวภาพ (Biometrics) เป็นต้น
2. หลังจากผู้ใช้รับรองความถูกต้องต่างๆ แล้ว ระบบจะจับคู่กับ Security Key และสร้างข้อมูลที่เรียกว่า Public Key ที่ได้รับการรับรองแล้ว ไปยังเว็บไซต์ และส่ง Public Key ต่อไปยังเซิร์ฟเวอร์เพื่อเก็บไว้สำหรับใช้ตรวจสอบสิทธิ์และยืนยันตนในอนาคต

ข้อดีของการยืนยันตนด้วยมาตรฐานใหม่ WebAuthn

ความปลอดภัย (Security): การเข้าสู่ระบบด้วยการเข้ารหัส FIDO2 นั้นจะไม่ซ้ำกันในแต่ละเว็บไซต์ ที่สำคัญจะไม่มีการ Copy ข้อมูลทางชีวภาพหรือรหัสผ่านของผู้ใช้จากอุปกรณ์ของผู้ใช้เก็บไว้บนเซิร์ฟเวอร์ รูปแบบการรักษาความปลอดภัยดังกล่าวช่วยลดความเสี่ยงของการหลอกลวงทางอินเทอร์เน็ต การขโมยรหัสผ่านและการโจมตีจากแฮกเกอร์ได้
ความสะดวกสบาย (Convenience): ผู้ใช้ลงชื่อเข้าใช้งานอย่างสะดวก ผ่านเครื่องอ่านลายนิ้วมือ, กล้อง, Security Key หรืออุปกรณ์มือถือ
ความเป็นส่วนตัว (Privacy): เนื่องจาก FIDO Key จะถูกสร้างให้ไม่มีการซ้ำกันในแต่ละเว็บไซต์ แฮกเกอร์หรือแอพพลิเคชันที่ไม่ประสงค์ดีจึงไม่สามารถสะกดรอยเราจากเว็บไซต์หนึ่งไปอีกเว็บไซต์หนึ่งได้

การรองรับการขยายตัวของการใช้งาน (Scalability): เว็บไซต์สามารถเปิดใช้งาน FIDO2 ผ่าน API เพื่อเชื่อมต่อเบราว์เซอร์และแพลตฟอร์มบนอุปกรณ์จำนวนนับพันล้านชิ้น โดยแทบจะไร้ข้อจำกัด

อ้างอิงที่มา:

• https://www.cnet.com/news/goodbye-passwords-webauthn-is-now-an-official-web-standard/
• https://www.w3.org/2019/03/pressrelease-webauthn-rec.html
• https://webauthn.org/
• https://webauthn.guide/#about-webauthn