สารบัญ:
- การป้องกันการตรวจสอบสิทธิ์ด้วยรหัสผ่านคืออะไร
- The Feds Knocking
- รับในหน้าเดียวกัน
- รหัสผ่านจะหายไปในที่สุด?
วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (กันยายน 2024)
ในปี 2012 แมตต์ฮอนอันไวร์ของไวร์เลสเขียนเกี่ยวกับผลที่ตามมาจากการทำลายชีวิตดิจิตอลทั้งหมดของคุณไปยังตัวอักษรตัวเลขและสัญลักษณ์ Honan เป็นเพียงหนึ่งในคนจำนวนนับไม่ถ้วนที่บัญชีออนไลน์ถูกแฮ็กหลังจากที่แฮ็คค้นพบรหัสผ่านของพวกเขา รายชื่อผู้ที่ตกเป็นเหยื่อยังมีผู้บริหารระดับสูงด้านเทคโนโลยีรวมถึง Mark Zuckerberg
และรหัสผ่านยังคงเป็นวิธีการหลักในการปกป้องบัญชีออนไลน์
ไม่มีนวัตกรรมจำนวนเล็กน้อยในพื้นที่รับรองความถูกต้อง ในปี 2559 ฉันเขียนเกี่ยวกับเทคโนโลยีการรับรองความถูกต้องที่ให้ทางเลือกที่ปลอดภัยและใช้งานง่ายกับรหัสผ่าน แต่จนกระทั่งเมื่อเร็ว ๆ นี้ยังไม่มีใครได้รับการยอมรับจำนวนมาก
แม้ว่าตอนนี้เราหวังว่าในที่สุดเราจะสามารถทิ้งรหัสผ่านที่ยาวและซับซ้อนได้ด้วยชุดของกฎระเบียบและมาตรฐานแบบเปิดที่ช่วยให้ง่ายขึ้นและสนับสนุนการใช้วิธีการรับรองความถูกต้องด้วยรหัสผ่านในแอปพลิเคชันออนไลน์
การป้องกันการตรวจสอบสิทธิ์ด้วยรหัสผ่านคืออะไร
“ รหัสผ่านจำนวนมากที่จำเป็นในชีวิตประจำวันของเราได้กลายเป็นภาระซึ่งเป็นสาเหตุที่เราเห็นข้อมูลประจำตัวที่นำกลับมาใช้ใหม่หรืออ่อนแอจำนวนมาก” Stina Ehrensvard ซีอีโอและผู้ก่อตั้ง Yubico กล่าวซึ่งผลิตกุญแจความปลอดภัยทางกายภาพเช่น Yubikey 5 NFC . "เราจำเป็นต้องคิดถึงวิธีแก้ปัญหานี้ในแบบที่ทำให้กระบวนการเข้าสู่ระบบง่ายขึ้นในขณะที่เพิ่มระดับความปลอดภัยสูงสุดจนถึงขณะนี้ยังไม่มีวิธีการทำสิ่งเหล่านี้ทั้งสองอย่างสำเร็จ"
ช่องโหว่ของรหัสผ่านจะไม่สูญหายไปในองค์กรที่ยังคงใช้งานได้ แต่ก่อนที่จะพิจารณาทางเลือกพวกเขาต้องคำนึงถึงความปลอดภัยการใช้งานความพร้อมใช้งานและต้นทุนของเทคโนโลยี
"เหตุผลที่เรายังไม่ได้เปลี่ยนรหัสผ่านก่อนหน้านี้ด้วยสิ่งที่น่าเชื่อถือมากกว่าเดิมคือทางเลือกทั้งหมดที่อาจดีกว่าสำหรับความปลอดภัยหรือการใช้งานนั้นยังไม่สามารถใช้ได้กับทุกรูปแบบและทุกขนาดของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต ที่มีประสิทธิภาพ "เบร็ทแมคโดเวลผู้อำนวยการบริหารของ FIDO Alliance กลุ่มที่พัฒนามาตรฐานการพิสูจน์ตัวตนกล่าว
นอกจากนี้การป้อนรหัสผ่านยังเป็นเทคโนโลยีการตรวจสอบสิทธิ์ที่ถูกที่สุดและง่ายที่สุดในการติดตั้งในเว็บไซต์ใหม่และแอพมือถือ และในขณะที่ทางเลือกอื่นเช่นเทคโนโลยีการพิสูจน์ตัวตนแบบไบโอเมตริกซ์มีให้ใช้อย่างแพร่หลายมากขึ้นในอุปกรณ์มือถือการป้อนรหัสผ่านยังคงเป็นคุณสมบัติที่แพร่หลายที่อุปกรณ์ทั้งหมดสนับสนุน การลบมันจะป้องกันผู้ใช้หลายคนจากการเข้าถึงบริการเหล่านั้น
การขาดมาตรฐานทำให้ยากต่อการย้ายออกจากรหัสผ่าน ค่าใช้จ่ายในการเพิ่มการสนับสนุนสำหรับเทคโนโลยีการตรวจสอบความถูกต้องที่แตกต่างกันหลายสิบรายการในแอปพลิเคชันไคลเอนต์และเซิร์ฟเวอร์ส่วนหลังเป็นสิ่งที่องค์กรส่วนใหญ่ไม่สามารถแบกรับได้
และแน่นอนว่ามันมีปัจจัยมนุษย์อยู่เสมอ “ บริษัท และบุคคลบางคนยังคงเชื่อว่าพวกเขาจะไม่ได้รับผลกระทบจากการโจมตีทางไซเบอร์และพวกเขาไม่สนใจอาชญากรไซเบอร์การขาดความปรารถนาและทรัพยากรในการเปลี่ยนโซลูชั่นที่มีอยู่คือขัดขวางการยอมรับโซลูชั่นการรับรองความถูกต้องด้วยรหัสผ่านใหม่ Momot ซีอีโอของ REMME การเริ่มต้นพัฒนาระบบการรับรองความถูกต้องแบบกระจายอำนาจ
The Feds Knocking
ในช่วงไม่กี่ปีที่ผ่านมามีการรับรู้เพิ่มขึ้นเกี่ยวกับความปลอดภัยออนไลน์และความเป็นส่วนตัวของผู้ใช้โดยเฉพาะในหน่วยงานราชการและหน่วยงานกำกับดูแล ในขณะที่ก่อนหน้านี้องค์กรต่างๆอาจยักยอกการรั่วไหลของข้อมูลและเหตุการณ์ด้านความปลอดภัยที่มีผลทางกฎหมายและทางการเงินไม่มากนัก
“ หน่วยงานกำกับดูแลนั้นเบื่อหน่ายกับการพาดหัวข่าวของข้อมูลเหมือนคนอื่นและพวกเขาก็เริ่มดำเนินการส่งผลให้ธุรกิจจำนวนมากเพิ่มการรับรองความถูกต้องที่แข็งแกร่งให้กับแนวทางการปกป้องข้อมูลของพวกเขา
ในบรรดาการดำเนินการด้านกฎระเบียบที่เกี่ยวข้องมากที่สุดคือกฎการป้องกันข้อมูลทั่วไป (GDPR) ซึ่งเป็นชุดของกฎที่กำหนดวิธีที่ บริษัท ต่างๆรวบรวมจัดการและรักษาความปลอดภัยของข้อมูลผู้ใช้ GDPR ยังกำหนดมาตรฐานสำหรับการตรวจสอบผู้ใช้ที่แข็งแกร่ง บริษัท ที่ไม่ปฏิบัติตามกฎและปกป้องข้อมูลของลูกค้าจะถูกปรับอย่างรุนแรง GDPR ใช้กับเขตอำนาจศาลของสหภาพยุโรปเท่านั้น แต่เนื่องจากหลาย บริษัท ที่ไม่ได้อยู่ในสหภาพยุโรปยังคงทำธุรกิจในภูมิภาคตอนนี้ถือว่าเป็นมาตรฐานทองคำสำหรับความปลอดภัย
"ในเวลาที่มี บริษัท จำนวนมากที่ใช้การรับรองความถูกต้องที่รัดกุมและการรั่วไหลของข้อมูลมากขึ้นเกิดจากการประนีประนอมรหัสผ่านมันจะเป็นเรื่องยากมากขึ้นสำหรับธุรกิจที่จะทำให้กรณีนี้เป็นเครื่องควบคุมจีดีพี การรักษาความปลอดภัยที่เหมาะสมอาจทำให้ บริษัท ของพวกเขาต้องเสียค่าปรับที่แพงกว่าราคาของการย้ายจากรหัสผ่านไปยังการพิสูจน์ตัวตนที่แข็งแกร่งอย่างแท้จริง "McDowell กล่าว
ข้อบังคับเฉพาะอุตสาหกรรมอื่น ๆ มีความชัดเจนมากขึ้นเกี่ยวกับการใช้เทคโนโลยีการรับรองความถูกต้อง ตัวอย่างคือ Payment Services Directive 2 (PSD2) ซึ่งควบคุมอีคอมเมิร์ซและบริการทางการเงินออนไลน์ในยุโรปและบังคับใช้การรับรองความถูกต้องด้วยสองปัจจัย (2FA) PSD2 ยังสนับสนุนการใช้การ์ดรักษาความปลอดภัยอุปกรณ์มือถือและเครื่องสแกนลายนิ้วมือเพื่อปรับปรุงประสบการณ์การใช้งานของผู้ใช้โดยไม่ส่งผลต่อความปลอดภัย
และสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ซึ่งกำหนดเกณฑ์สำหรับอุตสาหกรรมต่าง ๆ ระบุไว้ในแนวทางการระบุตัวตนแบบดิจิทัลที่องค์กรควรย้ายออกจากรหัสผ่านและรหัสผ่านครั้งเดียวและรับรองความถูกต้องที่ทันสมัย
"โดยเฉพาะอย่างยิ่ง NIST ขอแนะนำการรับรองความถูกต้องซึ่งอุปกรณ์ที่ทันสมัยของคุณสร้างและใช้คีย์ส่วนตัวการเข้ารหัสเป็นข้อมูลประจำตัวบัญชีใหม่ของคุณและเก็บไว้ในอุปกรณ์ส่วนบุคคลของคุณอย่างปลอดภัยในแบบเดียวกับสมาร์ทโฟนส่วนใหญ่
มีการถกเถียงกันว่ากฎระเบียบของรัฐบาลจะขัดขวางหรือส่งเสริมนวัตกรรม แต่ ณ จุดนี้เราอาจต้องมีการผลักดันให้มีการบังคับใช้กลไกการพิสูจน์ตัวตนที่ปลอดภัยยิ่งขึ้น
“ รัฐบาลสามารถมีบทบาทที่สำคัญในการนำมาตรฐานแบบเปิดมาใช้” Ehrensvard กล่าว "ลองดูที่เข็มขัดนิรภัยเช่นกันมันเป็นมาตรฐานแบบเปิดและการใช้งานถูกควบคุมโดยรัฐบาลด้วยเหตุนี้มีรถยนต์เพิ่มขึ้นอีก 10 เท่าบนท้องถนนในวันนี้ แต่มีอุบัติเหตุทางรถยนต์ลดลงทั้งหมด ."
รับในหน้าเดียวกัน
การแทนที่การพิสูจน์ตัวตนด้วยรหัสผ่านอย่างกว้างขวางจำเป็นต้องมีมากกว่าข้อบังคับ หากไม่มีชุดโปรโตคอลมาตรฐานองค์กรและ บริษัท จะต้องดิ้นรนเพื่อค้นหาเทคโนโลยีการรับรองความถูกต้องที่ทำให้พวกเขาสอดคล้องกับกฎระเบียบด้านความปลอดภัยในขณะที่ทำให้แอปพลิเคชันพร้อมใช้งานสำหรับผู้ใช้
นั่นคือปัญหาที่ FIDO ตั้งขึ้นเพื่อแก้ไข FIDO Authentication ขึ้นอยู่กับมาตรฐานของเทคโนโลยีฟรีและเปิดซึ่งพัฒนาร่วมกับ World Wide Web Consortium (W3C) จุดมุ่งหมายคือการสร้างการทำงานร่วมกันระหว่างอุปกรณ์และบริการโดยเปิดใช้งานอุตสาหกรรมอิเล็กทรอนิกส์สำหรับผู้บริโภคทั้งหมดเพื่อรวมเทคโนโลยีเข้ากับผลิตภัณฑ์และแพลตฟอร์มของพวกเขา
FIDO แทนที่รหัสผ่านด้วยการเข้ารหัสคีย์สาธารณะ ซึ่งหมายความว่าแทนที่จะใช้รหัสผ่านผู้ใช้จะถูกระบุด้วยกุญแจสาธารณะและกุญแจส่วนตัว สิ่งที่เข้ารหัสด้วยพับลิกคีย์สามารถถอดรหัสได้โดยไพรเวตคีย์ที่เกี่ยวข้องเท่านั้น เมื่อผู้ใช้สมัครใช้งานด้วยบริการออนไลน์ที่รองรับการตรวจสอบความถูกต้องของ FIDO บริการจะสร้างคู่ของคีย์และเก็บคีย์สาธารณะบนเซิร์ฟเวอร์ของตน รหัสส่วนตัวจะถูกเก็บไว้ในอุปกรณ์ของผู้ใช้เท่านั้น เมื่อลงชื่อเข้าใช้แอปพลิเคชันไคลเอนต์จะถูกนำเสนอด้วยการเข้ารหัสลับที่สร้างขึ้นด้วยพับลิกคีย์ซึ่งสามารถแก้ไขได้โดยไพรเวตคีย์เท่านั้น ผู้ใช้จะต้องตรวจสอบตัวตนของพวกเขาด้วยอุปกรณ์ของพวกเขา (ผ่านลายนิ้วมือใบหน้าหรือ PIN) เพื่อปลดล็อคกุญแจส่วนตัวและแก้ปัญหา
ข้อดีของรุ่นนี้คือให้การรับรองความถูกต้องแบบหลายปัจจัยโดยไม่ต้องมีการจัดเก็บและแลกเปลี่ยนรหัสผ่าน แม้ว่าแฮ็กเกอร์จะฝ่าฝืนเซิร์ฟเวอร์ของผู้ให้บริการพวกเขาจะเข้าถึงเฉพาะกุญแจสาธารณะเท่านั้นซึ่งไม่มีประโยชน์หากไม่มีคีย์ส่วนตัวที่เกี่ยวข้องซึ่งจัดเก็บไว้ในอุปกรณ์ของผู้ใช้ หากแฮกเกอร์ขโมยอุปกรณ์ของผู้ใช้พวกเขายังคงต้องข้ามการตรวจสอบข้อมูลประจำตัวท้องถิ่นเพื่อรับรหัสส่วนตัว จากมุมมองของผู้ใช้สิ่งนี้ขัดขวางความต้องการในการจดจำรหัสผ่านที่ซับซ้อนและยาวสำหรับแต่ละบัญชีในขณะที่ให้ความปลอดภัยที่เหนือกว่า
แต่ความสำเร็จที่ยิ่งใหญ่ของ FIDO คือการได้รับการสนับสนุนอย่างกว้างขวางจากอุตสาหกรรมเทคโนโลยี พันธมิตรได้รวบรวมชื่อที่ยิ่งใหญ่เช่น Google, Microsoft, Amazon และ Intel เพื่อพัฒนามาตรฐานที่ง่ายต่อการติดตั้งบนอุปกรณ์และระบบปฏิบัติการที่แตกต่างกัน
"ธุรกิจที่รวมตัวกันเพื่อจัดตั้ง FIDO Alliance เข้าใจว่าการเปลี่ยนรหัสผ่านสำหรับการรับรองความถูกต้องออนไลน์สามารถกลายเป็นเชิงพาณิชย์ได้ในระดับเดียวกับการรวมกันของมาตรฐานเทคโนโลยีแบบเปิดและฟรีประสบการณ์ผู้ใช้ที่เหนือกว่าและวิธีการรักษาความปลอดภัยที่แตกต่าง "McDowell พูด
FIDO เพิ่งเปิดตัว FIDO2 ซึ่งเป็นส่วนขยายของมาตรฐานซึ่งเพิ่มการรองรับการรับรองความถูกต้องของกุญแจสาธารณะให้กับเบราว์เซอร์และกรอบแอพพลิเคชั่นที่หลากหลาย มาตรฐานรองรับ Windows 10, Google Play Services บน Android และเว็บเบราว์เซอร์ Chrome, Firefox และ Edge WebKit เทคโนโลยีหลังเบราว์เซอร์ Safari ของ Apple อาจเพิ่มการรองรับ FIDO2 ในเร็ว ๆ นี้
"มาตรฐาน FIDO2 ช่วยให้สามารถเปลี่ยนการรับรองความถูกต้องด้วยรหัสผ่านที่อ่อนแอด้วยการรับรองความถูกต้องที่อิงกับฮาร์ดแวร์ที่ใช้การเข้ารหัสแบบพับลิกคีย์" Ehrensvard ซึ่ง Yubico ของ บริษัท เป็นหนึ่งในสมาชิกสำคัญของ FIDO กล่าว "มาตรฐานนี้อนุญาตให้ใช้การรับรองความถูกต้องด้วยรหัสผ่านในหลายรูปแบบรวมถึงผ่าน USB และ tap-and-go NFC ซึ่งมอบประสบการณ์การใช้งานที่ดีที่สุดแก่ผู้ใช้และปรับปรุงความปลอดภัยและผลผลิตอย่างมาก"
รหัสผ่านจะหายไปในที่สุด?
แม้ว่าอุตสาหกรรมจะมีวิธีการพัฒนาวิธีการรับรองความถูกต้องทางเลือกมากมาย แต่รหัสผ่านจะไม่หายไปชั่วข้ามคืน “ เราควรคำนึงว่าเรามีระบบซอฟต์แวร์และระบบข้อมูล 'แบบดั้งเดิม' จำนวนมากดังนั้นจึงเป็นไปไม่ได้ที่จะเปลี่ยนกฎการพิสูจน์ตัวตนที่กำหนดไว้ได้ง่ายรวมถึงกฎเกณฑ์ที่ใช้รหัสผ่าน "Momot หัวหน้าผู้บริหารของ REMME กล่าว
ผู้เชี่ยวชาญอื่น ๆ เช่น Sandor Palfy, CTO ของ LogMeIn เชื่อว่ารหัสผ่านจะยังคงเป็นส่วนสำคัญในการระบุผู้ใช้ นอกจากนี้เขายังเชื่อว่าอุตสาหกรรมควรมุ่งเน้นไปที่การปรับปรุงประสบการณ์รหัสผ่าน
- ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019 ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019
- รหัสผ่านคืออะไร? เล่นเพลงและเข้าสู่ระบบผ่านทางคลื่นสมองรหัสผ่านคืออะไร? เล่นเพลงและเข้าสู่ระบบผ่านทางคลื่นสมอง
- อีเมล์โป๊ปลอมใช้รหัสผ่านเก่าเพื่อหลอกลวงคุณหมดเงินสดอีเมล์โป๊ปลอมใช้รหัสผ่านเก่าเพื่อหลอกลวงคุณหมดเงินสด
“ จนกว่าจะมีการครอบคลุมทั่วโลกพร้อมการรับรองความถูกต้องแบบหลายปัจจัย (หรือแม้กระทั่งการตรวจสอบพฤติกรรมหรือบริบท) บริษัท ก็จำเป็นต้องลงทุนในการเสริมสร้างบริการที่มีการป้องกันด้วยรหัสผ่านที่ใช้งานทั่วทั้งองค์กร”
"การจดจำรหัสผ่านที่ซับซ้อนและไม่ซ้ำกันสำหรับบัญชีที่ทำงานและส่วนบุคคลทั้งหมดของเราไม่สอดคล้องกับพฤติกรรมมนุษย์โดยใช้เครื่องมือเช่นผู้จัดการรหัสผ่านการจดจำรหัสผ่านหลาย ๆ ครั้งควรเป็นเรื่องในอดีตโดยผู้ใช้ต้องจำรหัสผ่านหลักเพียงรหัสเดียวเท่านั้น "Palfy กล่าวซึ่ง บริษัท เป็นผู้พัฒนาตัวจัดการรหัสผ่าน LastPass กล่าว
แต่สำหรับ McDowell ผู้ซึ่งเคยเป็นหัวหน้าแผนก FIDO มาตั้งแต่ปี 2014 การค้นหาเพื่อกำจัดรหัสผ่านในที่สุดก็มาถึงขั้นตอนสุดท้าย "วันนี้อนาคตของรหัสผ่านจะกลายเป็นความจริงครั้งละหนึ่งแอปพลิเคชันภายในไม่กี่ปีที่ผ่านมาฉันคาดหวังว่ารูปแบบการป้อนรหัสผ่านจะหายากบนหน้าเว็บเนื่องจากตู้โทรศัพท์สาธารณะอยู่ในพื้นที่สาธารณะในทุกวันนี้ เหตุผลเดียวกัน - เรามีทางเลือกที่คุ้มค่าและแพร่หลายซึ่งนำเสนอประสบการณ์ผู้ใช้ที่ดีกว่ามาก "เขากล่าว
