อนาคตที่ไร้รหัสผ่านอาจทำให้โทรศัพท์ของเราเป็นคีย์ความปลอดภัย

March 24, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

click fraud protection

FIDO Alliance ได้เผยแพร่เอกสารทางเทคนิคที่วิเคราะห์ข้อบกพร่องที่ป้องกันไม่ให้มาตรฐานการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านกลายเป็นกระแสหลัก
กลไกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านไม่สามารถแทนที่รหัสผ่านได้เนื่องจากไม่สะดวก เอกสารไวท์เปเปอร์แนะนำ
เสนอให้ใช้สมาร์ทโฟนเป็นคีย์ความปลอดภัยโรมมิ่ง

หญิงสาวกำลังใช้แล็ปท็อป ลงชื่อเข้าใช้บัญชีธนาคารออนไลน์ด้วยอุปกรณ์รักษาความปลอดภัยดิจิทัล — รูปภาพ Oscar Wong / Getty

รหัสผ่านที่รัดกุมไม่สะดวกในการสร้างและจัดการ แต่ เพิ่มขั้นตอนพิเศษ และอุปกรณ์สำหรับกระบวนการรับรองความถูกต้องเป็นเรื่องที่น่าปวดหัวยิ่งกว่า

นั่นคือบทสรุปของ เอกสารไวท์เปเปอร์โดย Fast ID Online Alliance (FIDO)ซึ่งกล่าวโทษปัญหาการใช้งานสำหรับป้องกันไม่ให้กลไกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านกลายเป็นกระแสหลัก อย่างไรก็ตาม พันธมิตรได้คิดหาวิธีแก้ปัญหาในทันที และทำให้มาตรฐานการพิสูจน์ตัวตน FIDO เป็นที่แพร่หลายเหมือนกับรหัสผ่าน

"FIDO ได้เกินความคาดหมายเบื้องต้นทั้งหมด" Bill Leddy, VP of Product at ชื่อเข้าสู่ระบบบอกกับ Lifewire ทางอีเมลหลังจากอ่านเอกสารไวท์เปเปอร์แล้ว "[มัน] ใกล้เคียงกับการแก้ปัญหาการรับรองความถูกต้องทั้งหมด [ปัญหา] แต่ต้องการเพิ่มเติมอีกเล็กน้อย"

การยกเลิกรหัสผ่าน

Leddy เชื่อว่ารหัสผ่านมีอายุการใช้งานยาวนานกว่า เขาโทษอุตสาหกรรมความปลอดภัยที่ทำให้ผู้คนล้มเหลวโดยการผลักดันตัวเลือกที่อ่อนแอมานานเกินไป

"ตอนนี้รหัสผ่านมีอายุ 60 ปีแล้ว แต่ยังคงเป็นตัวเลือกการตรวจสอบสิทธิ์หลักสำหรับบัญชีส่วนใหญ่ ผู้บริโภคมีบัญชีที่แตกต่างกันมากมาย และคาดว่าจะจำรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชี นั่นไม่ใช่วิธีแก้ปัญหาในทางปฏิบัติ” เล็ดดี้ยืนยัน เขาเสริมว่าในอินเทอร์เน็ตในปัจจุบัน ซึ่งสามารถลอกแบบเว็บไซต์ได้อย่างง่ายดาย หน้าที่ของอุตสาหกรรมความปลอดภัยคือการจัดเตรียมเครื่องมือที่เหมาะสมให้กับผู้คนเพื่อป้องกันการละเมิดบัญชี

FIDO Alliance ซึ่งเป็นสมาคมอุตสาหกรรมแบบเปิดซึ่งก่อตั้งขึ้นเพื่อลดการพึ่งพารหัสผ่าน ได้ดำเนินการแก้ไขปัญหานี้มาประมาณหนึ่งทศวรรษแล้ว ได้สร้างมาตรฐานการรับรองความถูกต้อง FIDO ซึ่งไม่สามารถดึงได้ ในเอกสารไวท์เปเปอร์ พันธมิตรคิดว่าในที่สุดก็สามารถระบุชิ้นส่วนที่หายไปของปริศนาและยังระบุกลยุทธ์ที่จะเอาชนะมันด้วย

จากข้อมูลของพันธมิตร กลไกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านในปัจจุบันของ FIDO มีปัญหาการใช้งานโดยธรรมชาติซึ่งทำให้ไม่สามารถนำไปใช้ในวงกว้างได้

"[เรา] สังเกตเห็นการนำไปใช้อย่างจำกัด [ในพื้นที่ของผู้บริโภค] เนื่องจากการรับรู้ถึงความไม่สะดวกของคีย์ความปลอดภัยทางกายภาพ (การซื้อ การลงทะเบียน การดำเนินการ การกู้คืน) และความท้าทายที่ผู้บริโภคต้องเผชิญด้วยตัวตรวจสอบความถูกต้องของแพลตฟอร์ม (เช่น ต้องลงทะเบียนใหม่แต่ละรายการใหม่ อุปกรณ์; ไม่มีวิธีง่ายๆ ในการกู้คืนจากอุปกรณ์ที่สูญหายหรือถูกขโมย) เป็นปัจจัยที่สอง" กระดาษโน้ต.

เพื่อแก้ปัญหานี้ เอกสารไวท์เปเปอร์เรียกร้องให้ใช้สมาร์ทโฟนของเราเป็นตัวตรวจสอบการโรมมิ่งหรือคีย์ความปลอดภัยแบบพกพา

"อุปกรณ์ของผู้ใช้ที่เป็นเครื่องยืนยันตัวตนแบบโรมมิ่งเป็นประสบการณ์ผู้ใช้ที่ยอดเยี่ยมและมีความปลอดภัยมากกว่ารหัสผ่านบนอุปกรณ์กึ่งเชื่อถือได้หากทำอย่างถูกต้อง เนื่องจากสมาร์ทโฟนรุ่นใหม่รองรับ FIDO และผู้บริโภคมักอยู่ห่างไกลจากโทรศัพท์ จึงเป็นตัวเลือกที่ดี" Leddy กล่าว

ทางข้างหน้า

อย่างไรก็ตาม เอกสารไวท์เปเปอร์แนะนำว่าเพื่อให้สมาร์ทโฟนประสบความสำเร็จในฐานะคีย์ความปลอดภัยแบบพกพา FIDO จะต้องสร้างกระบวนการที่ราบรื่นสำหรับผู้ใช้ในการเพิ่มหรือสลับระหว่างอุปกรณ์มือถือของตน

โดยให้เหตุผลว่าหากกระบวนการสำหรับงานสำคัญๆ เช่น ตั้งค่าโทรศัพท์เครื่องใหม่หรือเปลี่ยนไปใช้ a ใหม่ ไม่ตรงไปตรงมา แล้วคนก็มักจะมองข้ามความคิดทั้งหมดว่าเป็น ไม่สะดวก เพื่อหลีกเลี่ยงปัญหานี้ บทความนี้จึงเสนอแนะเทคนิคใหม่ที่เรียกว่าข้อมูลประจำตัว FIDO แบบหลายอุปกรณ์หรือ "รหัสผ่าน"

"ข้อมูลประจำตัว 'รหัสผ่าน' แบบหลายอุปกรณ์ตอบคำถามที่มีมายาวนานเกี่ยวกับ FIDO คำถามคือจะย้ายไปยังอุปกรณ์ใหม่ได้อย่างไร ถ้าฉันลงทะเบียนข้อมูลรับรองเฉพาะโดเมน 50 รายการในอุปกรณ์เครื่องเก่าแล้วได้อุปกรณ์ใหม่ ไม่มีใครต้องการกู้คืนบัญชีสำหรับบริการต่างๆ 50 รายการเพื่อเชื่อมข้อมูลประจำตัว FIDO ใหม่อีกครั้ง" Leddy อธิบาย

เครื่องสแกนระบุตัวตนดิจิทัลแสดงลายนิ้วมือ — รูปภาพ dem10 / Getty

FIDO ยืนยันว่ารหัสผ่านจะช่วยหลีกเลี่ยงสถานการณ์นี้โดยสิ้นเชิง โดยทำให้แน่ใจว่าเมื่อเราเปลี่ยนจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่ง ข้อมูลรับรอง FIDO ของเรากำลังรอเราอยู่ แน่นอน บทความนี้เป็นแนวความคิด และ Leddy คิดว่ากลไกดังกล่าวเสนอได้ง่ายกว่าการนำไปใช้

"คงจะน่าเสียดายถ้าโซลูชันรหัสผ่านเป็นแบบเฉพาะของผู้ขายเพื่อให้ผู้บริโภคไม่สามารถเปลี่ยนได้ ระหว่างผู้ผลิตอุปกรณ์หรือแม้แต่ชุดอุปกรณ์ที่แตกต่างกัน (MacBook และโทรศัพท์ Android)" เตือน เลดดี้.

อย่างไรก็ตามเขามั่นใจว่าพันธมิตร FIDO ซึ่งนับรุ่นใหญ่เช่น Apple, Meta, Google, PayPal, Wells Fargo, American Express และ Bank of America ในบรรดาสมาชิกจะนำเสนอวิธีแก้ปัญหาที่ไม่เพียง แต่เป็นสากล แต่ยังตรวจสอบอย่างละเอียดอีกด้วย การโจมตี

FIDO เชื่อว่าข้อมูลประจำตัว FIDO แบบหลายอุปกรณ์จะกลายเป็นเล็บสุดท้ายในโลงศพสำหรับรหัสผ่าน "ด้วยการแนะนำความสามารถใหม่เหล่านี้ เราหวังว่าจะช่วยให้เว็บไซต์และแอปสามารถเสนอตัวเลือกที่ไม่ต้องใช้รหัสผ่านแบบ end-to-end อย่างแท้จริง ไม่ต้องใช้รหัสผ่านหรือรหัสผ่านครั้งเดียว (OTP)" พันธมิตรกล่าว