บอกลารหัสผ่านแบบเก่า ข้อกำหนด WebAuthn เป็นมาตรฐานอย่างเป็นทางการแล้ว

บอกลารหัสผ่านแบบเก่า ข้อกำหนด WebAuthn เป็นมาตรฐานอย่างเป็นทางการแล้ว

รหัสผ่านที่อ่อนแอ และรหัสผ่านแบบเริ่มต้น (Default Password) นั้น เป็นสาเหตุของการรั่วไหลของข้อมูลกว่า 81% และคนส่วนใหญ่ที่ใช้รหัสผ่านดังกล่าว คงทราบกันดี ยิ่งไปกว่านั้นผู้ใช้อินเทอร์เน็ตจะใช้รหัสผ่านเดียวกันในเว็บไซต์ และบริการต่างๆ ทำให้การโจมตีจากผู้ไม่ประสงค์ดีง่ายยิ่งขึ้น ถ้าหาก World Wide Web Consortium (W3C) จะปรับปรุงเกี่ยวกับสิ่งเหล่านี้ คงจะเป็นการปรับปรุงรหัสผ่านที่ล้าสมัยให้มีความปลอดภัยมากยิ่งขึ้น

รหัสผ่านไม่เพียงแต่เป็นการยืนยันตัวตนเพื่อเข้าใช้งานต่างๆ ช่วยประหยัดเวลาและทรัพยากรสำหรับผู้ใช้งาน และยังเป็นสิ่งยอดนิยมสำหรับผู้ที่ไม่หวังดีในการโจมตีข้อมูลที่สำคัญ รวมไปถึงการสร้างความน่ารำคาญใจอีกด้วย การวิจัยดำเนินการโดย Yubico ผู้ผลิตคีย์ ได้ทำการพิสูจน์ตัวตนผ่านฮาร์ดแวร์ แสดงผู้ใช้งาน โดยใช้เวลา 10.9 ชั่วโมงต่อปี ในการป้อนหรือรีเซ็ตรหัสผ่าน ในสภาพแวดล้อมขององค์กร สิ่งนี้ได้แปลเป็นค่าเฉลี่ย 5.2 ล้านเหรียญสหรัฐ ที่เกิดการสูญเสียไปทุกปี

และในขณะที่โซลูชันการรับรองความถูกต้องหลายปัจจัยแบบดั้งเดิม (Multi Factors Authentication, MFA) จะเพิ่มความปลอดภัยอีกชั้นหนึ่ง แต่ฟิชเชอร์นั้นยังคงสามารถจัดการกับปัญหาเหล่านี้ได้ ในปีที่ผ่านมาพบว่าสถานการณ์อาจแย่ลง จากอัตราการยอมรับ MFA ลดลงต่ำ ในหมู่ผู้ใช้งานปลายทาง

อย่างไรก็ตาม W3C และ FIDO Alliance ได้ทำงานอย่างขยันขันแข็ง เพื่อให้รหัสผ่านที่ล้าสมัย เปลี่ยนเป็น WebAuthn API ซึ่งตอนนี้เป็นมาตรฐานอย่างเป็นทางการที่ใช้ Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge และ Apple Safari เมื่อดำเนินการแล้ว WebAuthn ให้ผู้ใช้มีตัวเลือกในการเข้าสู่บริการเว็บ และอุปกรณ์ได้ง่ายขึ้น ผ่านทางการสแกนนิ้ว สแกนม่านตา หรือคีย์ความปลอดภัย FIDO ด้วยความปลอดภัยที่สูงกว่ารหัสผ่านเพียงอย่างเดียว

จากข้อมูลของ W3C ชุดข้อมูลจำเพาะของ FIDO2 ของ FIDO Alliance ระบุประเด็นสำคัญสี่ประการ ของการรับรองความถูกต้องแบบดั้งเดิม ดังนี้

Security: ข้อมูลรับรองการเข้าสู่ระบบการเข้ารหัส FIDO2 นั้นไม่ซ้ำกัน ในทุกเว็บไซต์และความลับอื่นๆ เช่น รหัสผ่านจะไม่ออกจากอุปกรณ์ของผู้ใช้งาน และจะไม่ถูกเก็บไว้ในเซิร์ฟเวอร์ รูปแบบการรักษาความปลอดภัยนี้ จะช่วยลดความเสี่ยงของการหลอกลวงทางอินเทอร์เน็ต การขโมยรหัสผ่าน และการโจมตีซ้ำๆ

Convenience: ผู้ใช้เข้าสู่ระบบด้วยวิธีการง่ายๆ เช่น ตัวอ่านลายนิ้วมือ กล้อง คีย์ความปลอดภัย FIDO หรืออุปกรณ์มือถือส่วนตัวของพวกเขา

Privacy: เนื่องจากคีย์เข้ารหัสของ FIDO นั้นไม่ซ้ำกันสำหรับแต่ละเว็บไซต์ อินเทอร์เน็ตจึงไม่สามารถใช้เพื่อติดตามผู้ใช้ข้ามไซต์ได้

Scalability: เว็บไซต์สามารถเปิดใช้งาน FIDO2 ผ่านการเรียก API แบบง่ายๆ ผ่านเบราว์เซอร์และแพลตฟอร์มที่รองรับบนอุปกรณ์ที่ผู้ใช้ใช้เป็นพันล้านที่มีการใช้ทุกวัน

“องค์ประกอบการรับรองความถูกต้องของเว็บของ FIDO2 นั้น เป็นมาตรฐานเว็บอย่างเป็นทางการจาก W3C ซึ่งเป็นความสำเร็จที่สำคัญ แสดงถึงความร่วมมือในอุตสาหกรรมหลายปี ในการพัฒนาโซลูชันที่ใช้งานได้จริงสำหรับการพิสูจน์ตัวตนที่ทนต่อฟิชชิ่งบนเว็บ” Brett McDowell กรรมการบริหารของ FIDO พันธมิตรกล่าว “ด้วยความสำเร็จครั้งนี้เรากำลังก้าวไปสู่ขั้นตอนต่อไปของภารกิจที่ใช้ร่วมกันของเรา เพื่อมอบการพิสูจน์ตัวตนที่ง่ายขึ้น และแข็งแกร่งขึ้นให้กับทุกคนที่ใช้อินเทอร์เน็ตในปัจจุบัน และในอีกหลายปีข้างหน้า”

มาตรฐาน WebAuthn เป็นก้าวสำคัญในการทำให้เว็บปลอดภัยยิ่งขึ้น และใช้งานได้สำหรับทุกคน แต่ไม่คาดหวังให้ทุกคนใช้งานได้ในชั่วข้ามคืน มาตรฐานเว็บนั้นใช้เวลาในการพัฒนานั่นเอง