Passwordless คืออะไร?
การเข้าใช้งานระบบ หรือแพลตฟอร์มออนไลน์ใดๆ ก็ตามในปัจจุบัน จำเป็นต้องยืนยันตัวตนการใช้งานผ่านการ Login ระบบด้วยการสร้าง Username และ Password ถือเป็นด่านทดสอบความปลอดภัยของข้อมูลด่านแรก ว่าจะไม่มีใครสามารถเข้าใช้งานแทนเราได้ แต่ปัญหามักจะเกิด เมื่อ Password ของเราถูกแฮค หรือถูกขโมย (Phishing) ซึ่งอาจเกิดจากการตั้งค่ารหัสที่ง่ายเกินไป หรือตัวผู้ใช้งานเองเกิดลืมรหัสผ่าน จนกรอกรหัสผิดซ้ำๆ ส่งผลให้ Account ล๊อค เป็นต้น ด้วยเหตุนี้ จึงเกิดสิ่งที่เรียกว่า “ 𝗣𝗮𝘀𝘀𝘄𝗼𝗿𝗱𝗹𝗲𝘀𝘀 (𝗠𝘂𝗹𝘁𝗶-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵𝗲𝗻𝘁𝗶𝗰𝗮𝘁𝗶𝗼𝗻) ” หรือ การยืนยันตัวตนโดยไม่ต้องใช้รหัสผ่านขึ้น เช่น
- การใช้ One-Time Password (OTP) จาก SMS หรือ Authenticator Application ต่างๆ
- การใช้ Mobile Authenticator เช่น การใส่รหัส PIN, การตรวจสอบลายนิ้วมือ, การตรวจสอบ Face ID และการทำ Device Binding
- การใช้ Transaction Signing เช่น การสร้าง e-Signature ขึ้นมา เพื่อให้ผู้ใช้งานสามารถทำการยืนยัน Transaction นั้นๆ และสามารถใช้งาน E-Signature กับเอกสารต่างๆ บนอุปกรณ์ Smartphone ได้ด้วย
- การใช้ Card Reader เช่น การยืนยันตัวตนผ่านบัตร Smart Card
Percentage of respondents identifying types of authentication technology as “passwordless”
ซึ่งสิ่งเหล่านี้มีเพียงผู้ใช้งานเท่านั้นที่จะสามารถยืนยันตัวตนได้ ซึ่งวิธีนี้การตั้งรหัสพาสเวิร์ดจะไม่มีความจำเป็นอีกต่อไป สิ่งนี้ไม่เพียงแค่ช่วยป้องกันปัญหาการหลงลืมรหัสผ่าน ช่วยให้การยืนยันตัวตนเป็นไปอย่างสะดวก รวดเร็วเท่านั้น แต่ยังช่วยสร้างมาตรฐานความปลอดภัยของข้อมูลให้สูงขึ้น เพราะการยืนยันตัวตนด้วยการใส่รหัสผ่านไม่เพียงพอต่อการยืนยันตัวตนระดับองค์กรอีกต่อไป ยิ่งในสถานการณ์ปัจจุบันที่ปรับเปลี่ยนรูปแบบการทำงานเป็น Work form home (WFH) มากขึ้น การต้องคอยกรอกชื่อผู้ใช้งาน และรหัสผ่านทุกครั้งที่มีการยืนยันตัวตนผ่านระบบต่างๆ ยิ่งต้องกรอกผ่าน Smartphone หรือ Tablet แล้วชื่อ Username มีความยาวเกินไป และรหัสผ่านมีความซับซ้อนในการพิมพ์แล้ว คงเป็นเรื่องยุ่งยากแน่นอน และการทำงานจากที่บ้าน หลักๆ มักใช้งานผ่านระบบ Wi-fi ทำให้ยากต่อการควบคุม และตรวจสอบว่าผู้ใช้งานที่ยืนยันตัวตนเข้ามานั้น เป็นคนเดียวกับเจ้าของ Username และ Password จริงหรือเปล่า
Percentage of respondents indicating types of identity management technologies currently in use in their organization
สรุปได้ว้า การใช้งานด้วยการกรอกรหัสผ่านแบบเดิมๆ นั้นจะค่อยๆ หายไป เพราะการเข้าระบบด้วยวิธี Passwordless มีการพัฒนาให้ป้องกันความปลอดภัยของข้อมูลได้สูงกว่า ดังนั้นองค์กรควรเริ่มให้ความสำคัญ และควรเริ่มผสมผสานการเข้าใช้งานระบบในองค์กรเป็นแบบ Multi-Factor Authentication มากขึ้น เพราะนอกจากจะช่วยเพิ่มความปลอดภัยให้กับระบบของเราแล้ว ยังอาจเพิ่มประสบการณ์ที่ดีให้กับผู้ใช้งานมากขึ้นอีกด้วย
Passwordless มีความปลอดภัยแค่ไหน?
การยืนยันตัวตนโดยไม่ต้องใส่รหัสพาสเวิร์ดแต่เพียงอย่างเดียว มีความปลอดภัยสูงมาก เนื่องจากเป็นเทคโนโลยีที่มีการเพิ่ม Factor ในการยืนยันตัวตนมากกว่า 1 ขั้นตอน หรือที่รู้จักกันดีในชื่อ Two-Factor Authentication หรือ Multi-Factor Authentication สิ่งต่างๆ เหล่านี้ ล้วนเป็นเทคโนโลยีแบบ Digital Authentication เพราะมันคือการระบุตัวตนที่เจ้าของข้อมูลเท่านั้น จะสามารถดำเนินการได้ ด้วย Biometric ไม่ว่าจะเป็น ลายนิ้วมือ ดวงตา หรือใบหน้า ก็ตาม ทำให้ยากที่จะมีใครมาขโมยข้อมูลของคุณไปได้ง่ายๆ เหมือนการใส่รหัสผ่านปกติ
ยิ่งปัจจุบันนี้มีการใช้ Web Authentication หรือเรียกสั้นๆว่า “WebAuthen” ซึ่งเป็นมาตรฐานการเข้าถึงเวปอย่างเป็นทางการ โดยไม่ต้องใช้ Username / Password แต่จะใช้ Authenticator อื่นๆ เข้ามาช่วยในการ Authenticate ผู้ใช้งานแทน ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับเวปแอพพลิเคชั่นเป็นอย่างมาก สามารถใช้งานร่วมกับ Browser ได้ง่าย เพื่อยืนยันตัวตน และป้องกันผู้ใช้งานจากการถูก Phishing ได้ โดยผู้ใช้งานแค่สัมผัส หรือมองไปที่ Authenticator จากนั้นระบบจะทำการยืนยันตัวตนได้ทันทีโดยที่ไม่ต้องใช้ Passsword เช่น ยืนยันผ่าน Touch ID ของ Laptop บน Macbook, IPhone หรือ External Authentication ที่เชื่อมต่อผ่าน Bluetooth เป็นต้น
“WebAuthen” ถูกพัฒนามาจาก Specification ของ FIDO2 ใช้หลักการ Public Key Cryptography ทำงาน โดยจะเก็บ Private Key ไว้ในสิ่งที่เรียกว่า Authenticator และไม่สามารถนำออกไปจาก Authenticator ได้ แต่ Authenticator จะสร้าง Public Key Pair ของแต่ละ Account เพื่อใช้ในการยืนยันตัวตน และตรวจสอบ App ID / Application URL เพื่อป้องกันการ Phishing ให้กับผู้ใช้งานอีกที
อยากเริ่มใช้งานต้องทำอย่างไร?
Microsoft ได้เตรียมบริการส่วนนี้ไว้เบื้องต้น ซึ่งบริการดังกล่าว มีทั้ง Active Directory Domain Service (AD DS) ซึ่งเป็น Directory Service หรือ Azure Active Directory (Azure AD) ซึ่งเป็น Identity Management Service ในกรณีที่องค์กรดังกล่าวมี Hybrid Cloud ใช้งาน เพราะฉะนั้นผู้ใช้งานจะทำการ Authenticate กับ AD DS หรือ Azure AD ก็ขึ้นอยู่กับความต้องการและปัจจัยอื่นๆ ไม่ว่าจะเป็น
- ประเภทของ Devices
- การจัดการ Devices
- และอื่นๆ เป็นต้น
และตลอดช่วงเวลาที่ผ่านมาทาง Microsoft ได้มีการพัฒนากลุยทธ์, คอนเซป, และวิธีการต่างๆ ที่จะมาใช้งานร่วมกันกับรูปแบบการใส่รหัสปกติ (Password) เรียกว่า Microsoft Passwordless Authentication เนื่องด้วยผู้ใช้งานไม่อยากจดจำ Password ซึ่งมีความยาว อีกทั้งยังต้องมีการเปลี่ยน Password ตาม Policy ที่องค์กรกำหนดไว้ ทำให้ไม่สะดวกเท่าที่ควร
เงื่อนไขของ Azure AD สามารถตรวจสอบสภาพการทำงานของอุปกรณ์ตามที่รายงานโดย Windows Defender Advanced Threat Protection ได้แล้ว สามารถรับข่าวกรองเกี่ยวกับกิจกรรมที่น่าสงสัยในอุปกรณ์ที่เข้าร่วมโดเมน และบล็อกอุปกรณ์เหล่านั้นไม่ให้เข้าถึงแหล่งทรัพยากรขององค์กรได้โดยอัตโนมัติ ซึ่งหากอัพเกรดไปใช้งานแบบ Azure AD Premium คุณจะได้รับฟีเจอร์เพิ่มเติม ดังนี้
- การยืนยันสิทธิ์ คุณสามารถกำหนดการการยืนยันสิทธิ์เพื่อเรียกใช้งานเป็นประจำได้ และสามารถนำผลการยืนยันไปใช้ได้โดยอัตโนมัติ
- Azure AD PIM สำหรับทรัพยากรใน คุณสามารถการเข้าถึงการกำหนดของ Azure AD PIM เพื่อรักษาความปลอดภัยให้กับการเข้าถึงทรัพยากรใน Azure ได้ เช่น ใช้การรับรองความถูกต้องแบบหลายปัจจัย หรือจัดเรียงลำดับการอนุมัติงานได้ทุกครั้งที่ผู้ใช้ร้องขอ
- ข้อกำหนดการใช้ Microsoft ได้เพิ่มการสนับสนุนสำหรับข้อตกลงการกำหนดค่าในหลายภาษาแบบใหม่ และรายงานโดยละเอียด ที่จะแสดงเมื่อมีผู้ใช้ยินยอมต่อชุดข้อกำหนดการใช้ดังกล่าว
B2B ที่ทำงานร่วมกันของ Azure AD จะทำให้คุณควบคุมได้ว่าคุณทำงานกับองค์กรคู่ค้าใดได้ด้วยรายชื่อโดเมนที่อนุญาตและปฏิเสธเพิ่มเติม คุณสามารถเลือกเพื่อสร้างรายชื่อโดเมนที่อนุญาต และปฏิเสธเมื่อโดเมนถูกบล็อกโดยเฉพาะได้ พนักงานจะไม่สามารถส่งคำเชิญให้กับผู้คนที่อยู่ในโดเมนนั้นได้อีกต่อไป นี่จะช่วยให้คุณควบคุมการเข้าถึงทรัพยากรของคุณ ในขณะเดียวกันก็ทำให้เกิดประสบการณ์ใช้งานอันราบรื่นให้แก่ผู้ใช้ที่ได้รับอนุมัติได้ง่ายขึ้น ฟีเจอร์ B2B ที่ทำงานร่วมกันนี้จะมีให้ใช้งานสำหรับลูกค้า Azure Active Directory ทุกราย และใช้ร่วมกับฟีเจอร์ Azure AD Premium ได้ เช่น การเข้าถึงแบบมีเงื่อนไขและการปกป้องข้อมูลส่วนตัว เพื่อให้ควบคุมได้ละเอียดยิ่งขึ้นสำหรับเวลา และวิธีที่ผู้ใช้จากบริษัทภายนอกจะลงชื่อเข้าใช้ และรับการเข้าถึง