Google ,Apple และ Microsoft ประกาศความร่วมมือผลักดันการเข้าสู่ระบบไม่ต้องใช้รหัสผ่าน มาตรฐาน FIDO
วันรหัสผ่านโลก 2022 อาจเป็นวันที่โดดเด่นที่สุดสำหรับพื้นที่การจัดการข้อมูลประจำตัวและการเข้าถึง เมื่อวานนี้ บริษัทเทคโนโลยีรายใหญ่ที่สุด 3 แห่งที่มีผู้ใช้หลายพันล้านคนใช้ประโยชน์จากบริการและสายผลิตภัณฑ์กล่าวว่าพวกเขากำลังเปลี่ยนไปใช้การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
วันรหัสผ่านโลกนี้ บริษัทเทคโนโลยีที่ใหญ่ที่สุดสามแห่ง ได้แก่ Apple, Google และ Microsoft ได้ร่วมกันประกาศความมุ่งมั่นในการนำการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่านมาใช้ ทำให้โลกเข้าใกล้การปลดรหัสผ่านและความเสี่ยงโดยธรรมชาติอีกเล็กน้อย
ยักษ์ใหญ่ด้านเทคโนโลยีรายใหญ่สามรายร่วมกันจัดการกับอุปกรณ์พกพามากกว่า 99%และตลาดเดสก์ท็อปมากกว่า 92%ทำให้เป็นขั้นตอนสำคัญในการรับรองความปลอดภัยของผู้ใช้ที่มากขึ้น
ทั้งสามบริษัทจะใช้มาตรฐานการลงชื่อเข้าใช้แบบไม่มีรหัสผ่านที่ใช้การเข้ารหัสคีย์สาธารณะซึ่งสร้างโดย FIDO Alliance และ World Wide Web Consortium (W3C) สำหรับแพลตฟอร์มมือถือ เดสก์ท็อป และเบราว์เซอร์ทั้งหมดภายใต้บริษัทในเครือ
ซึ่งรวมถึง iOS และ macOS ของ Apple; Chrome, ChromeOS และ Android ของ Google; และ Windows, Windows 365, Azure Virtual Desktop และ Virtual Desktop Infrastructure ของ Microsoft ซึ่งทั้งหมดนี้มีผู้ใช้หลายพันล้านคน
“การพิสูจน์ตัวตนด้วยรหัสผ่านเท่านั้นเป็นหนึ่งในปัญหาด้านความปลอดภัยที่ใหญ่ที่สุดบนเว็บไซต์ และการจัดการรหัสผ่านจำนวนมากนั้นยุ่งยากสำหรับผู้บริโภค ซึ่งมักจะทำให้ผู้บริโภคนำรหัสผ่านเดียวกันมาใช้ซ้ำในบริการต่างๆ แนวทางปฏิบัตินี้สามารถนำไปสู่การเข้ายึดบัญชีที่มีค่าใช้จ่ายสูง การละเมิดข้อมูล และแม้กระทั่งข้อมูลประจำตัวที่ถูกขโมย” FIDO Alliance กล่าว
Vasu Jakkal รองประธานองค์กรด้านความปลอดภัย การปฏิบัติตามข้อกำหนด ข้อมูลประจำตัว และการจัดการของ Microsoft กล่าวว่ามีการโจมตีด้วยรหัสผ่าน 921 ครั้งต่อวินาที เพิ่มขึ้นเกือบสองเท่าจากปีที่แล้ว ทำให้เป็นหนึ่งในจุดเริ่มต้นที่พบบ่อยที่สุดสำหรับผู้โจมตี ความจริงที่ว่าผู้คนมักจดรหัสผ่าน เลือกรหัสผ่านที่อ่อนแอกว่า หรือใช้รหัสผ่านซ้ำในแพลตฟอร์มต่างๆ ก็ไม่ได้ช่วยอะไรเช่นกัน
ในช่วงไม่กี่ปีที่ผ่านมา 2FA และผู้จัดการรหัสผ่านช่วยได้ในระดับหนึ่ง แต่ FIDO Alliance ชี้ให้เห็นว่าผู้จัดการรหัสผ่านและรูปแบบดั้งเดิมของการตรวจสอบสิทธิ์แบบสองปัจจัยมีการปรับปรุงที่เพิ่มขึ้น แต่ก็ยังไม่เพียงพอ ตัวอย่างเช่น 2FA ผ่านรหัสผ่านแบบใช้ครั้งเดียวจะไม่มีประโยชน์ในการโจมตี SIM swapping
ผู้ใช้สามารถคาดหวังการพิสูจน์ตัวตนแบบไม่ต้องใช้รหัสผ่านแบบ end-to-end ผ่านไบโอเมตริก (ลายนิ้วมือหรือใบหน้า) หรือ PIN ของอุปกรณ์ที่ติดตั้งในระบบปฏิบัติการ แอปพลิเคชัน และบริการที่พวกเขาใช้ภายในปีหน้า อย่างไรก็ตาม บริษัททั้ง 3 แห่งไม่มีแผนร่วมกันอย่างเป็นรูปธรรม
ดูเพิ่มเติม: ต้องการเพิ่มกลยุทธ์การรักษาความปลอดภัยรหัสผ่านของคุณหรือไม่ การประชุมสุดยอด InfoSec ที่คุณไม่ควรพลาด
Apple, Google และ Microsoft ล้วนมีส่วนร่วมในการพัฒนามาตรฐานแบบไม่ใช้รหัสผ่าน FIDO และ W3C และได้นำการสนับสนุนไปใช้ในผลิตภัณฑ์บางอย่าง เช่น Android และ Windows Hello แล้ว แต่การลงชื่อเข้าใช้ครั้งแรกในปัจจุบันมีข้อจำกัดบางประการ ซึ่งขณะนี้กำลังได้รับการแก้ไขด้วยความสามารถใหม่
ซึ่งรวมถึงความสามารถของผู้ใช้ในการเข้าถึงข้อมูลรับรองการลงชื่อเข้าใช้ FIDO โดยอัตโนมัติ หรือที่เรียกว่ารหัสผ่านบนอุปกรณ์หลายเครื่อง รวมถึงอุปกรณ์ใหม่ โดยไม่ต้องลงทะเบียนซ้ำทุกบัญชี ผู้ใช้จะสามารถใช้การตรวจสอบสิทธิ์ FIDO บนอุปกรณ์มือถือของตนเพื่อลงชื่อเข้าใช้แอปหรือเว็บไซต์บนอุปกรณ์ใกล้เคียงได้ ไม่ว่าพวกเขาจะใช้แพลตฟอร์มระบบปฏิบัติการหรือเว็บ เบราว์เซอร์ใดก็ตาม ความใกล้ชิดทางกายภาพจะได้รับการประเมินผ่านบลูทูธ
FIDO การตรวจสอบรหัสผ่านแบบไม่มีรหัสผ่าน | ที่มา: Microsoft
กล่าวโดยย่อ ในการเข้าสู่ระบบแอปพลิเคชันหรือเว็บไซต์ ผู้ใช้จะได้รับข้อความแจ้งบนสมาร์ทโฟนที่ส่งผ่านคำขอ ผู้ใช้ทั้งหมดที่ต้องทำคือปลดล็อกโทรศัพท์และยืนยันตัวตนด้วย PIN ไบโอเมตริก รหัสผ่านจะได้รับการซิงค์และสำรองข้อมูลในระบบคลาวด์ ดังนั้นการสูญเสียโทรศัพท์จะไม่ส่งผลกระทบต่อความปลอดภัยของบัญชี
“การเปลี่ยนแปลงโดยสิ้นเชิงสู่โลกที่ไม่มีรหัสผ่านจะเริ่มต้นโดยผู้บริโภคทำให้โลกนี้เป็นส่วนหนึ่งของชีวิตโดยธรรมชาติ โซลูชันที่ใช้งานได้จะต้องปลอดภัยกว่า ง่ายกว่า และเร็วกว่ารหัสผ่านและวิธีการตรวจสอบสิทธิ์แบบหลายปัจจัยแบบเดิมที่ใช้อยู่ในปัจจุบัน” อเล็กซ์ ไซมอนส์ รองประธานองค์กรของ Identity Program Management ของ Microsoft กล่าว
“ด้วยการทำงานร่วมกันเป็นชุมชนข้ามแพลตฟอร์ม ในที่สุดเราก็สามารถบรรลุวิสัยทัศน์นี้ และทำให้มีความก้าวหน้าอย่างมากในการกำจัดรหัสผ่าน เราเห็นอนาคตที่สดใสสำหรับข้อมูลประจำตัวที่ใช้ FIDO ทั้งในสถานการณ์ผู้บริโภคและองค์กร และจะยังคงสร้างการสนับสนุนในแอปและบริการของ Microsoft ต่อไป”
แหล่งข้อมูล : https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/
