การตรวจสอบความถูกต้องแบบไม่มีรหัสผ่านเป็นการจับคู่ซ้อมอย่างต่อเนื่องระหว่างภารกิจเพื่อให้การตรวจสอบตัวตนของตัวตนง่ายขึ้นสำหรับการเข้าสู่ระบบและการกดปุ่มของกฎระเบียบ ในการนำเสนอที่รับรองความถูกต้อง 2024ที่ปรึกษา Tola Dalton ใช้ประสบการณ์ด้านวิศวกรรมเอกลักษณ์ชั้นนำของเขาสำหรับ eBay และนำการรับรองความถูกต้องหลายปัจจัย(MFA) ถึงผู้ขายหลายล้านคนในสหภาพยุโรปและสหราชอาณาจักรเพื่อทำลายภูมิทัศน์ระดับโลกของกฎระเบียบที่บังคับใช้ MFA และวิธีการไบโอเมตริกซ์พอดีกับภาพ
MFA สามารถรวมความรู้ (รหัสผ่าน), การครอบครอง (รหัส SMS) และปัจจัยการสืบทอด (ไบโอเมตริกซ์) ปัจจุบันผู้เล่นรายใหญ่ปรับใช้ MFA มาตรฐาน ได้แก่ Intuit, Amazon และMicrosoft- แต่“ MFA ปัจจุบันต้องอาศัย SMS และปัจจัยอื่น ๆ ที่ไม่เหมาะอย่างยิ่ง” Dalton กล่าวโดยสังเกตว่า SMS ไม่ได้เป็นเพียงแค่รั่วไหลในด้านความปลอดภัย แต่ยังมีราคาแพง:“ คุณจ่ายเงินสำหรับทุกข้อความที่คุณส่ง” การเปิดตัว MFA MFA ที่ใช้ SMS ที่ใช้ SMS เป็นครั้งเดียว (OTP) ให้กับผู้ใช้หลายล้านคนอาจมีค่าใช้จ่ายหลายล้านดอลลาร์
สถิติดาลตันกล่าวว่า“ MFA เป็นชัยชนะที่พิสูจน์แล้วเพื่อความปลอดภัย” นั่นหมายความว่ารัฐบาลได้จดบันทึกและเริ่มออกกฎหมายบังคับใช้ MFA เขาชี้ไปที่ยุโรปและสหราชอาณาจักรในฐานะผู้นำใน MFA ด้วยการแนะนำคำสั่งบริการชำระเงินที่ได้รับการแก้ไข (PSD2) ซึ่งต้องการ MFA เมื่อเข้าถึงบัญชีการชำระเงินหรือดำเนินการธุรกรรมการชำระเงิน
ในสหรัฐอเมริกามีแนวทางของ NISTมากกว่าเอกสาร มีการป้องกัน FTCกฎที่ต้องการ MFA แรงงานสำหรับการเข้าถึงข้อมูลลูกค้า และหน่วยงานของรัฐทั้งหมดจำเป็นต้องใช้ MFA อย่างถูกกฎหมาย ถึงกระนั้นดัลตันก็กล่าวว่าสถานการณ์เป็นสิ่งที่ดีกว่าในสหภาพยุโรป/สหราชอาณาจักร
ที่อื่นมีการเย็บปะติดปะต่อกัน:สิงคโปร์มีสิ่งที่คล้ายกับ PSD2 และสถาบันที่เลือกในออสเตรเลียและอินเดียทั้งคู่มีกฎระเบียบเกี่ยวกับ MFA แต่ละนำกรอบเฉพาะของตัวเองเกี่ยวกับปัจจัยที่ได้รับอนุญาตสำหรับ MFA
Biometrics สำหรับ 2FA นำความปลอดภัยที่เพิ่มขึ้นกฎระเบียบที่เข้มงวดมากขึ้น
ข้อดีของBiometrics สำหรับการรับรองความถูกต้องดาลตันกล่าวว่ามีความปลอดภัยที่แข็งแกร่งขึ้นค่าใช้จ่ายต่อเนื่องต่ำและอัตราความสำเร็จสูง ความเสี่ยงส่วนใหญ่เกี่ยวข้องกับความซับซ้อนทางเทคนิคและกฎระเบียบ “ การใช้งานเฉพาะนั้นมีความสำคัญมีตัวเลือกมากมายที่คุณต้องทำเมื่อคุณใส่ชีวภาพในสถานที่” ผู้ขายหรือภายใน? ไบโอเมตริกซ์ที่ใช้กับอุปกรณ์หรือซิงก์passkeys- ประสบการณ์ของผู้ใช้ก็เป็นปัจจัยเช่นกันเมื่อต้องการ MFA BAD UX สามารถล็อคผู้ใช้ออกได้ เขากล่าวว่าการตัดสินใจแต่ละครั้งจะกำหนดความสำเร็จ และ“ ข้อกำหนดด้านกฎระเบียบเกี่ยวกับชีวภาพเข้ามาเล่นที่นี่เพราะมีทุกสิ่งที่จะได้รับการยอมรับหรือไม่ได้รับการยอมรับขึ้นอยู่กับวิธีที่คุณนำไปใช้”
และเช่นเคยคำจำกัดความแตกต่างกันไปตามตัวควบคุมการเพิ่มความยุ่งเหยิง สำหรับ PSD2 ในการพิจารณาปัจจัยไบโอเมตริกซ์ที่ถูกต้องกระบวนการจะต้อง“ ภายใต้การควบคุมของผู้ออก”-ซึ่งหมายความว่าชีวภาพในอุปกรณ์ไม่ได้มีคุณสมบัติเป็นปัจจัยที่มีอยู่ อย่างไรก็ตามคีย์สาธารณะที่ผูกมัดอุปกรณ์หมายถึงการรับรองความถูกต้องของ FIDOมีคุณสมบัติเป็นปัจจัยการครอบครองดังนั้นจึงยังสามารถใช้งานได้
สิ่งต่างๆมีความคลี่คลายเล็กน้อยในสหราชอาณาจักรที่ซึ่งไบโอเมตริกซ์แบบไม่มีอุปกรณ์ได้รับการยอมรับว่าเป็นปัจจัยที่มีอยู่ตราบใดที่ "มาตรการความเสี่ยงที่เหมาะสม" ได้ถูกนำไปเชื่อมโยงอุปกรณ์กับผู้ใช้
ในขณะเดียวกันในสหรัฐอเมริกา NIST ก็เริ่มรับรู้fido biometricsเป็นปัจจัยสองประการในหนึ่งเดียว แต่ดาลตันอ้างว่า“ มันจะไม่ใช่ประสบการณ์ผู้ใช้ที่ยอดเยี่ยมถ้าสำหรับกรณีการใช้งาน MFA ที่บังคับคุณเพียงแค่ใช้ลายนิ้วมือหรือใบหน้าของคุณแล้วคุณก็ทำเสร็จแล้ว”
และยัง:Synched Passkeysการใช้ประโยชน์จากคลาวด์ (เช่น passkeys ที่ไม่ได้ผูกมัด)“ กัดกร่อนความเป็นไปได้ของพวกเขาเป็นปัจจัยการครอบครอง” และอีกครั้ง: ข้อมูลเมตาเพิ่มเติมสามารถช่วยแก้ไขปัญหานี้ได้
ผลกระทบที่เพิ่มขึ้นของ FIDO การยอมรับ Passkey มีแนวโน้มที่จะได้รับความสนใจจากหน่วยงานกำกับดูแล
เขาวงกตอยู่ที่ไหน? โลกมีแนวโน้มที่จะปฏิบัติตามสหภาพยุโรปเกี่ยวกับกฎระเบียบด้านเทคโนโลยีและดาลตันกล่าวว่ากPSD3อยู่ในขั้นตอนร่าง “ ด้วยการขยายตัวของ Fido และ Passkeys ที่ได้รับความนิยมมากขึ้นสิ่งหนึ่งที่เราสามารถเดิมพันได้ก็คือหน่วยงานกำกับดูแลกำลังมองหาวิธีรักษาไบโอเมตริกซ์อย่างใกล้ชิดfido และ passkeysในกฎระเบียบของพวกเขาในอนาคต”
ส่งต่อเขาสรุปว่าเป็น“ อนาคตที่ไม่แน่นอนในภูมิทัศน์ MFA ด้านกฎระเบียบ”
“ กฎระเบียบ MFA จะขยายตัวชีวภาพมีข้อได้เปรียบอย่างมากและเราจำเป็นต้องดำเนินการต่อเพื่อล็อบบี้เพื่อรับรู้ที่ถูกต้องของปัจจัยไบโอเมตริกซ์แบบไม่มีรหัสผ่านรวมถึง passkeys ในการควบคุม”
หัวข้อบทความ
การประชุมรับรองความถูกต้อง-ไบโอเมตริกซ์-Fido Alliance-บริการภาครัฐ-การรับรองความถูกต้องหลายปัจจัย-passkeys-การตรวจสอบสิทธิ์แบบไม่มีรหัสผ่าน-ระเบียบข้อบังคับ
