เราจะสามารถเข้าสู่เว็บไซต์โดยไม่ต้องใช้รหัสผ่านเพื่อระบุตัวตนได้หรือไม่? ดูเหมือนว่าเทคโนโลยีใหม่ ๆ จะแสดงให้เห็นว่าเป็นเช่นนั้น และมีการทดลองมากมายที่กำลังดำเนินอยู่
กรอกชื่อผู้ใช้และรหัสผ่านของคุณ... ผู้ใช้เว็บไซต์รู้กิจวัตรและต้องสลับตัวระบุและรหัสผ่านมากมาย ปวดหัวจริง! แน่นอนว่าเบราว์เซอร์มีฟังก์ชั่นในการบันทึกรหัสผ่านและมีผู้จัดการที่เชี่ยวชาญเช่นคีพาสแต่นี่ยังห่างไกลจากการแก้ปัญหา
อย่างไรก็ตาม โซลูชันการตรวจสอบสิทธิ์มีอยู่แล้วด้วยข้อมูลไบโอเมตริกซ์ Microsoft (Windows Hello) และ Apple (Touch ID และ Face ID) ทำให้สามารถปลดล็อคสมาร์ทโฟน แท็บเล็ต และแล็ปท็อปได้โดยใช้ลายนิ้วมือหรือใบหน้าของผู้ใช้ นอกจากนี้ Android ยังรองรับการตรวจสอบลายนิ้วมือตั้งแต่ระบบปฏิบัติการเวอร์ชัน 6.0 Apple ก้าวไปอีกขั้นด้วยบริการชำระเงิน Apple Pay เนื่องจากคุณเพียงแค่ต้องใช้ใบหน้าหรือลายนิ้วมือเพื่อตรวจสอบธุรกรรม น่าเสียดายที่โซลูชันเหล่านี้เป็นกรรมสิทธิ์ ซึ่งทำให้เกิดปัญหาในการมีระบบตรวจสอบความถูกต้องแบบสากลบนเว็บ นอกจากนี้ ในขณะนี้ คุณจะต้องผ่านกระบวนการตัวกลางเพื่อเชื่อมต่อกับเว็บไซต์ที่ปลอดภัย ดังนั้น Apple จึงสามารถจัดเก็บรหัสผ่านของไซต์ไว้ในพวงกุญแจ iCloud ของผู้ใช้ได้ ในการเข้าถึงพวงกุญแจ คุณต้องตรวจสอบสิทธิ์โดยใช้ Touch ID หรือ Face ID เครื่องมือจัดการรหัสผ่าน 1Password ใช้กระบวนการเดียวกันซึ่งจะดำเนินการในสองขั้นตอนเมื่อคุณเชื่อมต่อกับเว็บไซต์และยังคงต้องใช้รหัสผ่านในระดับไซต์
อุดมคติคือสามารถทำได้อย่างถาวรโดยไม่ต้องใช้รหัสผ่านและใช้วิธีการอื่นในการตรวจสอบสิทธิ์ ข่าวดีสำหรับผู้ใช้ การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านกำลังจะกลายเป็นความจริง บริษัทหลายแห่งกำลังทำงานเกี่ยวกับเทคโนโลยีใหม่เพื่อให้การเชื่อมต่อที่ง่ายและปลอดภัย หนึ่งในแนวทางที่น่าสนใจที่สุดคือการออกแบบระบบการตรวจสอบความถูกต้องแบบสากลสำหรับเว็บไซต์ที่สามารถเชื่อมต่อกับเทคโนโลยีไบโอเมตริกซ์ที่มีอยู่ได้ นี่คือคำมั่นสัญญาของWebAuthn API ของพันธมิตร FIDO(ระบุตัวตนออนไลน์อย่างรวดเร็ว)
WebAuthn API สามารถสร้างได้อย่างรวดเร็ว
สมาคมอุตสาหกรรม FIDO (สมาชิกมากกว่า 260 ราย) นำเสนอโซลูชันการรับรองความถูกต้องที่แข็งแกร่งและเหนือสิ่งอื่นใดคือการทำงานร่วมกันได้ เขาเพิ่งเผยแพร่มาตรฐานใหม่FIDO2ซึ่งรวมถึง WebAuthn API โดยเฉพาะ อินเทอร์เฟซนี้อนุญาตให้มีการตรวจสอบสิทธิ์เว็บไซต์ผ่านการใช้คีย์สาธารณะและส่วนตัว วิธีการนี้ช่วยให้มั่นใจในความปลอดภัยสูงเนื่องจากคีย์ส่วนตัวไม่หมุนเวียนและไม่มีการเก็บรหัสผ่านบนเซิร์ฟเวอร์ไซต์ API สามารถใช้เซ็นเซอร์ไบโอเมตริกซ์ของอุปกรณ์ (เครื่องอ่านลายนิ้วมือ ม่านตา หรือการจดจำใบหน้า) เพื่อตรวจสอบความถูกต้อง อินเทอร์เฟซนี้ยังใช้งานได้กับระบบการตรวจสอบความถูกต้องภายนอก (USB, Bluetooth หรือ NFC) ที่เชื่อมโยงกับ CTAP (Client to Authenticator Protocol) ซึ่งเป็นองค์ประกอบที่สองของมาตรฐาน FIDO2
หนึ่งในระบบภายนอกแรกๆ ที่มีอยู่คือกุญแจรักษาความปลอดภัยของ Yubicoซึ่งมีราคาประมาณ 20 ยูโรและแทนที่รหัสผ่านในระหว่างขั้นตอนการตรวจสอบสิทธิ์ เพียงเชื่อมต่อกับพอร์ต USB ของคอมพิวเตอร์แล้วกดปุ่มสีเหลืองที่มีดีไซน์เป็นรูปกุญแจ ขั้นตอนนั้นง่ายและมีประสิทธิภาพ
เทคโนโลยีนี้ใช้งานได้และสามารถทดสอบได้บนเว็บไซต์สาธิตเช่น:เว็บไซต์ webauthn.orgetwebauthndemo.appspot.com(อย่างหลังต้องใช้บัญชี Google)
ในด้านเว็บไซต์ การนำ WebAuthn API มาใช้อย่างเป็นทางการกำลังดำเนินการไปด้วยดี ขณะนี้อยู่ในขั้นตอนการแนะนำล่วงหน้า (“การแนะนำผู้สมัคร”) สำหรับสมาคม W3C นอกจากนี้ยังรองรับเบราว์เซอร์ Chrome และ Firefox เวอร์ชันล่าสุดอีกด้วย Microsoft ได้ระบุไว้ในส่วนที่จะนำเสนอใน Edge เวอร์ชันถัดไป ปัญหาเดียว: ในขณะนี้ ไม่มีบริการหลัก (Google, Facebook, Twitter) ที่ใช้ WebAuthn มีเพียง Dropbox เท่านั้นที่พยายามใช้ WebAuthn เป็นปัจจัยการตรวจสอบสิทธิ์ขั้นที่สอง
ส่งอีเมลเป็นวิธีการรับรองความถูกต้อง?
อีกแนวทางหนึ่งซึ่งขณะนี้บริษัทกำลังทดสอบอยู่ถลา,ค่อนข้างเป็นต้นฉบับ: การใช้ระบบอีเมลเพื่อตรวจสอบสิทธิ์บนไซต์ อันที่จริง เซิร์ฟเวอร์อีเมลปัจจุบัน เช่น Gmail ได้เพิ่มลายเซ็นอิเล็กทรอนิกส์ที่เรียกว่า DKIM (Domain Keys Identified Mail) ในแต่ละอีเมลที่ส่ง เทคโนโลยีของ Swoop จะใช้รหัสสาธารณะที่มีอยู่ในลายเซ็นนี้เพื่อตรวจสอบสิทธิ์ผู้ใช้ ดังนั้นการคลิกหรือแตะปุ่มเข้าสู่ระบบของเว็บไซต์จะทำให้โปรแกรมอีเมลถูกเรียกพร้อมกับอีเมลที่เขียนไว้ล่วงหน้า คุณเพียงแค่ต้องคลิกปุ่มส่งเพื่อตรวจสอบสิทธิ์ เนื่องจากข้อความจะไปถึงเซิร์ฟเวอร์ของไซต์ซึ่งจะวิเคราะห์ลายเซ็น DKIM
คุณสามารถทดสอบฟังก์ชัน DKIM ของเมลเซิร์ฟเวอร์ของคุณได้ที่ไซต์นี้- Swoop ยังได้วางแผนระยะที่สองของการตรวจสอบอีเมลที่ได้รับโดยใช้ข้อมูลจาก Sender Policy Framework (SPF) กล่าวคือที่อยู่ของเซิร์ฟเวอร์ต่างๆ ที่ส่งอีเมล
ใช้เทคโนโลยีสกุลเงินดิจิทัล
แนวทางที่สาม: ใช้แอปที่จัดการบัญชีสกุลเงินดิจิทัลเพื่อตรวจสอบสิทธิ์ผู้ใช้ กสาธิตขณะนี้กำลังดำเนินการภายในมูลนิธิดิจิไบต์ซึ่งเสนอระบบสกุลเงินดิจิทัลที่แข่งขันกับ Bitcoin อันโด่งดัง ระบบนี้ใช้เทคนิคของบล็อกเชนสำหรับธุรกรรมทางการเงิน แต่ยังมีฟังก์ชันการตรวจสอบสิทธิ์ที่เรียกว่า Digi-ID อย่างหลังช่วยให้คุณสามารถเชื่อมต่อกับเว็บไซต์โดยการสแกนรหัส QR ที่แสดงบนเว็บไซต์ จากนั้นป้อนรหัส PIN บนแอป รหัสจะถูกตั้งค่าในการใช้งานครั้งแรกแต่สามารถเปลี่ยนได้ด้วยระบบไบโอเมตริกซ์ เช่น การสแกนลายนิ้วมือ ซึ่งสะดวกยิ่งขึ้น
เมื่อผู้ใช้ได้รับการรับรองความถูกต้องภายในแอป ผู้ใช้รายหลังจะรับผิดชอบในการส่งการยืนยันการรับรองความถูกต้องที่เข้ารหัสไปยังเว็บไซต์ผ่านทางอินเทอร์เน็ต ผู้ใช้จึงไม่ต้องทำอะไรมากไปกว่าการสแกน QR Code และกรอกรหัส PIN นอกจากนี้ โค้ดจะเหมือนกันสำหรับทุกไซต์ที่ใช้กระบวนการนี้ Digi-ID เป็นโครงการโอเพ่นซอร์ส แต่เทคโนโลยีบล็อกเชนที่ใช้นั้นเฉพาะกับสกุลเงินดิจิตอลของมูลนิธิ DigiByte
เทคโนโลยีการตรวจสอบความถูกต้องใหม่เหล่านี้มีแนวโน้มที่ดี แต่อาจต้องใช้เวลาสองสามปีก่อนที่ไซต์จำนวนมากจะเข้ากันได้และผู้ใช้จะนำไปใช้ และหากไม่มีรหัสผ่านอีกต่อไป จะเกิดอะไรขึ้นหากอุปกรณ์ที่ใช้ในการตรวจสอบสิทธิ์ผู้ใช้ เช่น สมาร์ทโฟนหรือคีย์ USB สูญหายหรือถูกขโมย อาจจำเป็นต้องจัดเตรียมโซลูชันสำรองข้อมูล ซึ่งอาจเป็น... รหัสผ่าน!
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
