รูปภาพของกิตติศักดิ์ เดินสันเทียะ
อวสาน Password !!! ที่ไม่ได้ปลอดภัย กับการมาของ Passwordless
โดย กิตติศักดิ์ เดินสันเทียะ - อังคาร, 12 เมษายน 2022, 09:42AM
 

จากยุคของ 123456 และ 654321 ดูเหมือนว่าวันนี้รหัสผ่านหรือ password ที่เราคุ้นเคยกันจะกลายเป็นเรื่องตกยุคไปเสียแล้ว เมื่อ Microsoft บริษัทซอฟต์แวร์ที่ใหญ่ที่สุดในโลกได้ระบุว่า password นั้นคือสิ่งที่ สิ้นเปลือง” “ไม่ปลอดภัยและ ไม่สะดวกสบายอย่างยิ่ง” (inconvenient, insecure, and expensive)

พร้อมกันนี้ในปีที่แล้ว Microsoft ยังพยายามผลักดันให้มีการใช้งานรูปแบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน หรือระบบ Passwordless แทน โดยซอฟต์แวร์ทั้งหมดของ Microsoft นับจากนี้รวมถึงซอฟแวร์เก่า ๆ ก็จะถูกทยอยอัปเดตให้สามารถใช้งานระบบ Passwordless นี้ได้อีกด้วยดังนั้นหลายคนจนถึงกับบอกว่านี่อาจเป็นจุดจบของยุคแห่งสมัยของ password อันยาวนาน เลยก็ว่าได้ !Passwordless คืออะไร? มาถึงตรงนี้หลายคนอาจกำลังสงสัยว่าแล้วเจ้า Passwordless ที่ว่านี้มันเป็นยังไง? ใช้งานอย่างไร? แล้วมันจะแทนที่การใช้ password ได้จริง ๆ เหรอ?Passwordless หรือ Multi-Factor Authentication หมายถึงระบบการยืนยันตัวตนโดยไม่ใช้รหัสผ่าน ซึ่งความจริงแล้วหลายคนเองก็เคยมีประสบการณ์ใช้ Passwordless อยู่แล้วในชีวิตประจำวัน เพียงแต่ว่าอาจจะไม่ทราบว่ามันคือ Passwordless ก็เท่านั้นเอง

โดยตัวอย่างของการใช้งาน Passwordless ได้แก่ การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่าง ๆ หรือก็คือเลข OTP ที่เรามักจะได้รับจาก SMS เพื่อใช้ในการเข้าสู่ระบบหรือทำธุรกรรมต่าง ๆ นั่นเอง การใช้ Mobile Authenticator เช่น การใส่รหัส PIN การสแกนลายนิ้วมือและใบหน้าเพื่อปลดล็อก Smartphone การใช้ Transaction Signing เช่น e-Signature หรือลายมือชื่ออิเล็กทรอนิกส์สำหรับการยืนยันตัวตนและรับรองเอกสารต่าง ๆ บนอุปกรณ์ Smartphone การใช้ Card Reader เช่น การยืนยันตัวตนผ่าน Smart Card หรือ USB Device ต่าง ๆ ที่จะทำหน้าที่เหมือนกุญแจที่ไขเข้าสู่ระบบการใช้งานต่อไป แล้วทำไมจู่ ๆ password ที่เราใช้กันมาอย่างยาวนาน ถึงกำลังจะกลายเป็นของตกยุค?

พูดแล้วก็แอบใจหาย เพราะหลายคนน่าจะคุ้นเคยกับระบบการใช้ password เป็นอย่างดีนับตั้งแต่ที่เริ่มใช้คอมพิวเตอร์เป็นกันเลยทีเดียว แถมยังเป็นสิ่งที่ถูกใช้กับแทบจะทุกอย่างใกล้ตัวตั้งแต่รหัสอีเมล รหัส social media บัญชีการทำงาน ไปจนถึงรหัสบัญชีธนาคาร

แต่ด้วยความที่มีรหัสผ่านจำนวนมาก หลายบัญชี หลาย account เสียเหลือเกินนี่แหละ ที่ทำให้คนส่วนใหญ่มักจะลืม password ของตัวเองได้ง่าย ๆ ซึ่งจากข้อมูลในเว็บไซต์ของ techradar.pro ได้กล่าวว่าโดยเฉลี่ยแล้วแต่ละคนจะมี password ต่าง ๆ รวมแล้วมากกว่า 100 password เลยทีเดียว และเมื่อไม่สามารถจดจำ password ทั้งหมดนี้ได้คนส่วนใหญ่ก็มักจะเลือกจดมันไว้ในโปรแกรมต่าง ๆ บนคอมพิวเตอร์แทน ซึ่งกว่า 57% ของพนักงานที่ทำงานในสหรัฐอเมริกากล่าวว่า พวกเขาเลือกที่จะจดรหัสผ่านที่ใช้ในการทำงานลงบนโปรแกรม sticky notes เพื่อป้องกันการลืมตามรายงานชิ้นเดียวกันใน techradar.pro ซึ่งหากพิจารณาเรื่องนี้ในมุมของ Cybersecurity แล้วก็จะพบว่านี่คือความเสี่ยงร้ายแรงจากการถูกขโมยข้อมูล password ซึ่งไม่ได้ถูกจัดเก็บไว้อย่างดีเช่นนี้โดยบุคคลที่ไม่หวังดี หรือแม้แต่บางทีก็อาจเป็นคนที่เรารู้จักดีอยู่แล้วก็เป็นได้ อีกทั้ง password ที่ง่ายต่อการคาดเดาก็ยังมีโอกาสที่จะถูกเจาะเข้าสู่ระบบได้ง่ายอีกด้วย ซ้ำร้ายหลายคนก็ยังเลือกใช้ password ชุดเดียวกันสำหรับการใช้งานบัญชีต่าง ๆ ซึ่งหากถูกขโมยสำเร็จเพียง 1 บัญชี ก็มีโอกาสที่จะถูกเจาะระบบเข้าสู่ทุกบัญชีรหัสผ่านได้ทันที และยิ่งสถานการณ์การแพร่ระบาดของเชื้อไวรัส covid-19 ที่ทำให้หลายองค์กรต้องเปลี่ยนมาใช้วิธีการทำงานแบบ work from home ด้วยแล้ว ก็ยิ่งทำให้แทบจะทุกการทำงานต้องใช้ password เพิ่มมากขึ้น ซึ่งก็นับเป็นการเพิ่มความเสี่ยงต่อการเกิดอาชญากรรมทางไซเบอร์ต่อองค์กรไปโดยปริยาย ประกอบกับการที่พนักงานต้องใช้ Wi-fi จากที่บ้านเพื่อต่อเข้าสู่ระบบ Network ของบริษัท ซึ่งเป็นเรื่องยากต่อการป้องกันและตรวจสอบว่าผู้ใช้งานเหล่านั้นเป็นพนักงานขององค์กรจริง ๆ หรือเป็นเหล่าแฮกเกอร์ที่แฝงตัวมา ทำให้ password นั้นกลายเป็นสาเหตุของการเกิดอาชญากรรมทางไซเบอร์ถึง 84% ในปีที่ 2021 และกว่าที่องค์กรต่าง ๆ จะรู้ว่าตัวว่ามีแฮกเกอร์แฝงตัวอยู่ในระบบ Network ก็มักต้องใช้เวลานานถึง 287 วัน ซึ่งก่อให้เกิดความเสียหายจำนวนมหาศาล ตามรายงานของ ESET โปรแกรม Antivirus ชื่อดังในปีที่ผ่านมา

ซึ่งทั้งหมดนี้เองที่เป็นสาเหตุให้ Microsoft ได้ออกมาบอกว่า password นั้นคือสิ่งที่ สิ้นเปลือง” “ไม่ปลอดภัยและ ไม่สะดวกสบายอย่างยิ่งดังที่ได้กล่าวไว้ตอนต้น