จุดเริ่มต้นของการสิ้นสุดของรหัสผ่าน
เผยแพร่แล้ว: 2023-05-06เมื่อวานนี้ Google ได้ประกาศ “จุดเริ่มต้นของการสิ้นสุดของรหัสผ่าน” ภายในปีหน้านี้ คุณอาจไม่ได้ใช้รหัสผ่านอีกต่อไป
การสูญพันธุ์ของรหัสผ่านครั้งใหญ่กำลังดำเนินการอยู่
ลองนึกภาพโลกที่ไม่มีรหัสผ่าน
คุณยังสามารถลงชื่อเข้าใช้บัญชีออนไลน์ทั้งหมดของคุณในโลกใบใหม่ที่ไม่มีรหัสผ่าน จากเว็บไซต์ WordPress ไปจนถึงธนาคารของคุณ การสร้างและเข้าถึงบัญชีออนไลน์นั้นง่ายและปลอดภัยกว่าที่เคยโดยไม่ต้องใช้รหัสผ่าน
นั่นจะไม่เป็นการบรรเทาหรือ ข่าวดี: การสูญเสียรหัสผ่านทั่วโลกกำลังเกิดขึ้นแล้ว และชีวิตในอีกด้านก็ดีขึ้น
ในช่วงปลายปี 2022 Apple ได้เปิดตัวการรองรับรหัสผ่านสำหรับ iOS 16 และ MacOS 13 “Ventura”
เมื่อวานนี้ Google ประกาศว่าจะ "เปิดตัวการสนับสนุนรหัสผ่านในบัญชี Google ในทุกแพลตฟอร์มหลัก"
ที่ iThemes เราภูมิใจมากที่ผลิตภัณฑ์ Security Pro ของเราเป็นรายแรกที่นำรหัสผ่านและวิธีการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านอื่นๆ มาสู่ WordPress
ชีวิตที่ไร้รหัสผ่านเป็นไปได้อย่างไร?
ประมาณหนึ่งเดือนหลังจากที่ฉันเริ่มใช้ Apple Watch Apple Watch ก็เริ่มปลดล็อกและเข้าสู่ระบบคอมพิวเตอร์เดสก์ท็อปและแล็ปท็อปที่ใช้ MacOS เวอร์ชันปัจจุบันโดยอัตโนมัติ ฉันจำไม่ได้ว่าทำมากกว่าการเปิดการรองรับรหัสผ่าน MacOS เพื่อใช้กับบัญชี Google และ iThemes Security ของฉัน เห็นได้ชัดว่านี่ทำให้นาฬิกาของฉันกลายเป็นอุปกรณ์รหัสผ่านที่เชื่อถือได้
ก่อนหน้านี้ การเข้าสู่ระบบด้วยไบโอเมตริกของ Apple Touch เป็นทางเลือกรหัสผ่านที่เข้าถึงได้มากที่สุดที่ฉันมี ตอนนี้มันเป็นนาฬิกาของฉัน บางครั้ง ถ้าฉันไปนานพอ ฉันยังต้องพิมพ์รหัสผ่าน แต่นาฬิกาของฉันทำให้รหัสผ่านนั้นใช้น้อยลงมาก ต้องขอบคุณรหัสผ่านทั่วไปที่เชื่อมต่อกับ Apple ID และอุปกรณ์ Apple ทั้งหมดของฉัน
คีย์ฮาร์ดแวร์ เช่น YubiKey จะทำให้คุณได้รับประสบการณ์การเข้าสู่ระบบแบบไม่ต้องใช้รหัสผ่านแบบเดียวกัน — ไม่จำเป็นต้องใช้อุปกรณ์ Apple
อุปกรณ์ Windows และ Android รองรับการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยรหัสผ่าน
รหัสผ่านคืออะไร?
คุณสามารถขอบคุณโอเพ่นซอร์สสำหรับรหัสผ่าน เทคโนโลยี Passkey เป็นไปตามมาตรฐานเปิดที่ FIDO (“Fast Identity Online”) Alliance กำหนด WebAuthn API พัฒนาโดย W3C เป็นส่วนหนึ่งของมาตรฐาน FIDO2 WebAuthn เป็น WebAuthn ที่ทำให้รหัสผ่านสามารถดำเนินการตรวจสอบข้ามแพลตฟอร์มโดยไม่ต้องใช้รหัสผ่านได้อย่างรวดเร็วและง่ายดาย
รหัสผ่านคือตัวระบุดิจิทัลแบบเข้ารหัสที่ไม่ซ้ำใคร ซึ่งสร้างขึ้นโดยอุปกรณ์ตรวจสอบสิทธิ์ เช่น สมาร์ทโฟนของคุณ การเข้ารหัสคีย์สาธารณะใช้เพื่อสร้างคู่คีย์สาธารณะและคีย์ส่วนตัว คู่คีย์นี้ร่วมกันสร้างรหัสผ่านของคุณบนอุปกรณ์ตรวจสอบความถูกต้อง อุปกรณ์แต่ละเครื่องของคุณอาจมีคีย์ส่วนตัวที่ไม่ซ้ำกัน แต่คีย์สาธารณะของคุณจะถูกแชร์ผ่านเว็บ อาจเป็นไปได้ว่าคุณจะไม่เห็นทั้งสองอย่าง จะไม่มีใคร
โทรศัพท์หรืออุปกรณ์ที่รองรับรหัสผ่านอื่นๆ จะยืนยันว่าคุณเป็นผู้ใช้ที่ได้รับอนุญาตเมื่อคุณป้อนรหัสผ่าน PIN หรือผ่านการทดสอบไบโอเมตริก เมื่อคุณทำเช่นนั้น โทรศัพท์และรหัสผ่านของคุณจะทำหน้าที่เป็นกุญแจสู่อุปกรณ์และแอปพลิเคชันเพิ่มเติม แทนที่จะต้องพิมพ์รหัส ผ่านอีกครั้ง บนแล็ปท็อปและลงชื่อเข้าใช้ WordPress อีกครั้ง โทรศัพท์จะบอกคอมพิวเตอร์ให้คุณอนุญาต จากนั้นระบบปฏิบัติการจะบอกเบราว์เซอร์ของคุณให้ขอให้ WordPress อนุญาตให้คุณเข้า — ทั้งหมดนี้ไม่ต้องใช้รหัสผ่าน
หากอุปกรณ์และเว็บไซต์ของคุณได้รับการตั้งค่าสำหรับรหัสผ่าน นี่เป็นประสบการณ์ที่ราบรื่นมาก คุณอาจต้องระบุ PIN หรือผ่านการทดสอบไบโอเมตริกซ์อย่างรวดเร็ว แต่ง่ายกว่าการกรอกแบบฟอร์มการเข้าสู่ระบบที่แตกต่างกันสามแบบโดยไม่นำรหัสผ่านของคุณกลับมาใช้ใหม่หรือใช้รหัสผ่านที่ไม่รัดกุม และหากคุณไม่ชอบการยืนยันตัวตนแบบสองขั้นตอน (2FA) ก็ไม่จำเป็นต้องใช้อีกต่อไป 1
ทำไมรหัสผ่านจะแทนที่รหัสผ่าน
ในขั้นต้น รหัสผ่านจะปรากฏเป็นตัวเลือกการตรวจสอบความถูกต้องควบคู่ไปกับรหัสผ่านและ 2FA คุณสามารถใช้สิ่งเหล่านี้ได้ แต่เมื่อเวลาผ่านไป จะมีเพียงไม่กี่คนที่ต้องการรักษารหัสผ่านที่ไม่ปลอดภัยหรือจัดการกับรหัส 2FA ที่ใช้เวลานาน รหัสผ่านจะกลายเป็นตัวเลือกที่ต้องการอย่างรวดเร็วด้วยเหตุผลดังต่อไปนี้:
- ความปลอดภัยขั้นสูง หนึ่งในเหตุผลหลักที่รหัสผ่านจะแทนที่รหัสผ่านคือความปลอดภัยที่ได้รับการปรับปรุงให้ดีขึ้น การละเมิดข้อมูลจำนวนมากเป็นผลมาจากรหัสผ่านที่อ่อนแอหรือถูกขโมย ซึ่งเน้นให้เห็นถึงช่องโหว่ของการยืนยันตัวตนด้วยรหัสผ่านแบบดั้งเดิม การเข้ารหัสคีย์สาธารณะที่อยู่เบื้องหลังคีย์รหัสผ่านนั้นมีความท้าทายอย่างมากในการถอดรหัส
- ประสบการณ์การใช้งานที่ดีขึ้น การจำรหัสผ่านที่ซับซ้อนจำนวนมากสำหรับบัญชีออนไลน์ของคุณอาจเป็นเรื่องยากและมักนำไปสู่การใช้รหัสผ่านที่ไม่ดี รหัสผ่านทำให้กระบวนการตรวจสอบสิทธิ์ง่ายขึ้น คุณต้องการเพียงอุปกรณ์ที่เก็บรหัสผ่านของคุณเพื่อเข้าถึงบัญชีใดๆ ที่รองรับการตรวจสอบรหัสผ่าน ประสบการณ์การใช้งานที่สะดวกนี้สนับสนุนการใช้รหัสผ่านเป็นวิธีการตรวจสอบที่ปลอดภัย
- ผู้จัดการรหัสผ่านเป็นตัวเลือก รหัสผ่านอาจลดน้อยลง หากไม่กำจัดความจำเป็นในการจัดการรหัสผ่านแบบดั้งเดิม แม้ว่าผู้จัดการรหัสผ่านจะเสนอทางเลือกในการจัดเก็บรหัสผ่านหลายชุด แต่ก็มีความเสี่ยงเพิ่มเติม ห้องเก็บรหัสผ่านเหล่านี้อาจกลายเป็นจุดล้มเหลวเพียงจุดเดียว ดังที่เราได้เห็นใน LastPass แพลตฟอร์มการจัดการรหัสผ่านที่ถูกละเมิดสามารถเปิดเผยบัญชีลูกค้า รหัสผ่าน และข้อมูลส่วนตัวทั้งหมดของตนได้
อนาคตที่ไร้รหัสผ่าน: หน้าตาจะเป็นอย่างไร
มีข้อดีสามข้อใหญ่ๆ ใน eclipse ของรหัสผ่านด้วยคีย์พาส แต่เธรดทั่วไปคือวิธีที่คีย์พาสให้ประโยชน์ทั้งด้านความปลอดภัยและความเรียบง่าย
อัพไซด์
- การรับรองความถูกต้องที่ไร้รอยต่อ เมื่อรหัสผ่านแพร่หลายมากขึ้น กระบวนการตรวจสอบสิทธิ์และการเข้าถึงบริการออนไลน์จะราบรื่นมากขึ้น ผู้ใช้จะสามารถเข้าสู่ระบบบัญชีของตนได้โดยใช้อุปกรณ์จัดเก็บรหัสผ่านหรือวิธีการระบุตัวตนด้วยไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือการจดจำใบหน้า
- การยืนยันตัวตนแบบหลายปัจจัยทำได้ง่าย รหัสผ่านสนับสนุนการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) โดยเนื้อแท้โดยการรวมสิ่งที่ผู้ใช้รู้ (รหัสผ่าน) กับสิ่งที่ผู้ใช้มี (อุปกรณ์ที่จัดเก็บรหัสผ่าน) การรวม MFA เข้ากับกระบวนการตรวจสอบสิทธิ์อย่างราบรื่นนี้จะนำไปสู่สภาพแวดล้อมออนไลน์ที่ปลอดภัยยิ่งขึ้นโดยไม่สูญเสียประสบการณ์ของผู้ใช้
- ลดการละเมิดข้อมูล เมื่อรหัสผ่านกลายเป็นมาตรฐานใหม่สำหรับการตรวจสอบสิทธิ์ จำนวนการละเมิดข้อมูลที่เป็นผลมาจากรหัสผ่านที่ไม่รัดกุมหรือถูกขโมยมีแนวโน้มที่จะลดลง การรักษาความปลอดภัยที่ได้รับการปรับปรุงโดยรหัสผ่านจะทำให้อาชญากรไซเบอร์บุกรุกบัญชีผู้ใช้ได้ยากขึ้น ซึ่งนำไปสู่ภูมิทัศน์ดิจิทัลที่ปลอดภัยยิ่งขึ้น
จนถึงตอนนี้ การพิสูจน์ตัวตนที่ปลอดภัยจะมาพร้อมกับประสบการณ์การใช้งานที่ดีนั้นหาได้ยาก รหัสผ่านเป็นข้อยกเว้นที่สำคัญ มันวิเศษมาก แต่ก็มีข้อเสียอยู่เสมอ
ข้อเสีย
- ฟิชชิ่งที่ซับซ้อนและการแฮ็กโซเชียล รหัสผ่านอาจแทบเป็นไปไม่ได้เลยที่จะขโมยและถอดรหัส แต่อาชญากรไม่เคยยอมแพ้เมื่อความปลอดภัยเพิ่มขึ้น พวกเขาปรับตัวเข้ากับเครื่องมือใหม่และค้นหาจุดอ่อนที่ถูกละเลยเพื่อใช้ประโยชน์ ทุกวันนี้ เครื่องมือ AI ช่วยให้ทุกคนดูคล่องแคล่วในภาษาใดก็ได้ ซึ่งเป็นทรัพย์สินมหาศาลสำหรับใครก็ตามที่ต้องการหลอกล่อให้ผู้อื่นไว้วางใจพวกเขา การละเมิดรหัสผ่านครั้งใหญ่อาจจางหายไปในอดีต แต่ฟิชชิ่งและการแฮ็กโซเชียลอาจซับซ้อนและแพร่หลายมากขึ้น
- ความปลอดภัยทางกายภาพและความเป็นส่วนตัว อุปกรณ์ Apple ของฉันไม่สามารถบอกได้ว่าไม่ใช่ฉัน เมื่อลูกสาวที่ถนัดซ้ายสวมนาฬิกาของฉันที่ข้อมือเล็กอีกข้างหนึ่ง สิ่งเดียวที่เธอต้องการคือนาฬิกาและ PIN 4 หลักเพื่อเข้าสู่ระบบคอมพิวเตอร์ของฉัน 2 ขโมยก็ทำได้ ตำรวจก็ทำได้เช่นกัน 3 เมื่อความสัมพันธ์ของเรากับอุปกรณ์ของเราพัวพันกันมากขึ้น คำถามยากๆ มากมายเกี่ยวกับความเป็นส่วนตัวก็เกิดขึ้น 4 การไม่เปิดเผยตัวตนทางออนไลน์ซึ่งกำลังลดลงอยู่แล้วอาจหายไป
- ผู้คนจะแบ่งปันรหัสผ่านด้วย ผู้จัดการรหัสผ่านใช้กันอย่างแพร่หลายในการแบ่งปันรหัสผ่าน ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยที่แย่มาก อย่างไรก็ตาม การดำเนินการดังกล่าว รหัสผ่านที่ใช้ร่วมกันจะกลายเป็นรหัสผ่านที่ถูกขโมยในที่สุด โชคดีที่คุณไม่น่าจะเคยเห็น นับประสาอะไรกับการท่องจำ จดบันทึก หรือส่งอีเมลรหัสรหัสผ่านให้เพื่อนร่วมงานหรือเพื่อน อย่างไรก็ตาม คุณสามารถใช้ตัวจัดการรหัสผ่านบางตัวเพื่อจัดเก็บและแม้แต่แบ่งปันรหัสผ่านได้ในขณะนี้ มีวิธีที่ปลอดภัยในการทำเช่นนี้ แต่ฉันสงสัยว่าในทางปฏิบัติจะทำงานได้ดีเพียงใด ไม่ว่าคุณจะทำเช่นนั้น การแบ่งปันความลับนั้นไม่ปลอดภัยโดยเนื้อแท้ (ความลับที่แบ่งปันจะไม่ใช่ความลับอีกต่อไป) การแบ่งปันข้อมูลหรือข้อมูลที่ละเอียดอ่อนขึ้นอยู่กับความไว้วางใจระหว่างผู้คนเป็นอย่างมาก และนั่นคือความผูกพันที่อ่อนแอเสมอ ดูจุดที่ #1 และ #2 ด้านบน
ความคิดด้านความปลอดภัยกับ "อย่าทำให้ฉันคิด"
ไม่ว่าความท้าทายจะรออยู่ข้างหน้าในอนาคตที่ไม่ต้องใช้รหัสผ่าน เราจะไปที่นั่น รหัสผ่านใช้งานไม่ได้ — เป็นวิธีการยืนยันตัวตนที่น่ากลัวและจำเป็นต้องเลิกใช้ — ยิ่งเร็วเท่าไหร่ก็ยิ่งดีเท่านั้น การใช้การรับรองความถูกต้องแบบไม่ใช้รหัสผ่านจะช่วยปรับปรุงประสบการณ์ออนไลน์ของเราและช่วยปกป้องชีวิตดิจิทัลของเรา การไม่ต้องกังวลเกี่ยวกับความปลอดภัยและการจัดการรหัสผ่านมากนักเป็นเรื่องที่น่าโล่งใจมาก
ในทางกลับกัน “อย่าทำให้ฉันคิดว่า” เป็นเป้าหมายที่ยอดเยี่ยมในด้านประสบการณ์ผู้ใช้และการออกแบบส่วนต่อประสาน แต่อาจเป็นหายนะสำหรับความปลอดภัย ความเรียบง่ายในการออกแบบช่วยให้ผู้ใช้มีประสิทธิภาพและลดภาระทางความคิดให้กับพวกเขา รหัสผ่านช่วยให้ความเรียบง่ายนั้นดีเป็นพิเศษ แต่ก็ไม่ควรทำให้เราพึงพอใจมากขึ้นเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นในโลกของภัยคุกคามที่พัฒนาตลอดเวลา
ขับเคลื่อนโดยรหัสผ่านและการใช้งานบนแพลตฟอร์มหลักทั้งหมด อนาคตของเว็บจะเป็นประสบการณ์ที่ปลอดภัยและเป็นมิตรกับผู้ใช้มากขึ้นเมื่อเราเข้าถึงบริการออนไลน์ วันเวลาที่ต้องดิ้นรนในการจำรหัสผ่านที่ซับซ้อน (และการแชร์หรือรีไซเคิลรหัสผ่าน) จะกลายเป็นอดีตไปแล้วในไม่ช้า และนั่นคือการพัฒนาที่แน่นอน
ถึงเวลาแล้วที่จะยกระดับมาตรฐานความปลอดภัยขั้นพื้นฐานของเราด้วย รหัสผ่านจะทำเช่นนั้น และฉันคาดว่าสิ่งนี้จะช่วยให้อาชญากรรมทางไซเบอร์ การฉ้อฉล และการโจรกรรมข้อมูลระบุตัวตนยากขึ้นและหายากขึ้น เริ่มใช้งานตอนนี้และหากคุณมีเว็บไซต์ WordPress ให้ลองสร้างรหัสผ่านเป็นตัวเลือกสำหรับการเข้าสู่ระบบ ให้คิดถึงความปลอดภัยด้วย ถามว่าความปลอดภัยหมายถึงอะไร และภัยคุกคามอาจเปลี่ยนแปลงอย่างไรในบริบทใหม่ของโลกที่ไม่มีรหัสผ่าน
หมายเหตุ:
- รายงานต่างๆ เช่น "ฉันปิดกั้นตัวเองจากชีวิตดิจิทัลของฉัน" และ "Gmail 2FA ทำให้คนไร้บ้านสูญเสียการเข้าถึงอย่างถาวรสามครั้งต่อปี" แสดงให้เห็นข้อเสียของการยืนยันตัวตนแบบสองปัจจัย
- Apple Watch อาจไม่ใช่คีย์ความปลอดภัยที่ดีที่สุดหากไม่มีการรับรองความถูกต้องด้วยไบโอเมตริก เช่น Touch ID จากสิทธิบัตรล่าสุดของ Apple บางรายการ Touch ID เวอร์ชันที่ใช้ฝ่ามืออาจอยู่ในระหว่างดำเนินการ
- มูลนิธิพรมแดนอิเล็กทรอนิกส์ได้แสดงความกังวลเกี่ยวกับการละเมิดสิทธิพลเมืองที่อาจเกิดขึ้น หากผู้บังคับใช้กฎหมายใช้รหัสผ่านในการเข้าถึงอุปกรณ์เครื่องหนึ่งเพื่อค้นหาอุปกรณ์และบัญชีออนไลน์อื่นๆ อีกมากมาย
- การระบุลายเซ็นไบโอเมตริกซ์ที่ไม่ซ้ำใครจากข้อมูลทางชีวภาพที่รวบรวมโดยนาฬิกาและอุปกรณ์ที่คล้ายกันอาจทำได้เช่นกัน เนื่องจากสามารถตรวจจับการเจ็บป่วยในระยะเริ่มต้น เช่น โควิด
Dan Knauss เป็นผู้เชี่ยวชาญด้านเนื้อหาทางเทคนิคของ StellarWP เขาเป็นนักเขียน ครู และนักแปลอิสระที่ทำงานในโอเพ่นซอร์สตั้งแต่ช่วงปลายทศวรรษ 1990 และกับ WordPress ตั้งแต่ปี 2004