อนาคตของการยืนยันตัวตน: โลกกำลังหมุนเข้าสู่ยุคไร้พาสเวิร์ดจริงหรือไม่

Niresh Swamy นักวิเคราะห์องค์กร จาก ManageEngine เผยว่า หากเคยได้ฟังนิทานปรัมปรา "อาลีบาบากับโจรสี่สิบคน" หรือวลีที่ว่า "โอม...ประตูจงเปิด" คุณก็จะคุ้นเคยว่ารหัสผ่านนั้นใช้กันมาตั้งแต่โบร่ำโบราณ ตั้งแต่ยุคโรมันที่ใช้รหัสลับในกองทัพในการระบุหน่วยที่นักรบสังกัดอยู่ ไปจนถึงรหัสผ่านสำหรับการเข้าสถานที่ใดสถานที่หนึ่ง อารยธรรมของมนุษย์ได้ใช้รหัสผ่านเป็นเครื่องมือเดียวในการยืนยันตัวตนตลอดหลายร้อยหลายพันปีที่ผ่านมา

อย่างไรก็ตาม เมื่อเทคโนโลยีก้าวหน้าขึ้น เกิดการปฏิวัติทางดิจิทัลและระบบการยืนยันตัวตนก็เริ่ม เปลี่ยนแปลงไป โดยในยุคใหม่นี้มีทั้งระบบไบโอเมตริกซ์ การเข้ารหัสข้อมูลโดยใช้คีย์ พาสคีย์ และระบบการวิเคราะห์ พฤติกรรม แต่ถึงกระนั้น รหัสผ่านหรือ Password ก็ยังคงครองตำแหน่งสำคัญและยังคงใช้เป็นกลไกในการตรวจสอบ ที่น่าเชื่อถือได้มากที่สุด นี่จึงนำมาสู่คำถามสำคัญว่า “ทำไม”

แต่ก่อนที่เราจะตอบประเด็นนั้น ขอเริ่มด้วยคำถามที่ใกล้ตัวขึ้นสักหน่อย

คุณจำครั้งสุดท้ายที่คุณใช้รหัสผ่านเพื่อปลดล็อคโทรศัพท์ได้หรือไม่?

หากใช่ ทำไมการยืนยันตัวตนด้วยระบบไบโอเมตริกซ์จึงล้มเหลว?

แม้ว่าตอนนี้การปลดล็อคโทรศัพท์มือถือโดยใช้การสแกนลายนิ้วมือหรือคุณสมบัติการจดจำใบหน้าจะกลาย เป็นเรื่องที่เราคุ้นชินไปเสียแล้ว แต่บ่อยครั้งเราก็ยังคงต้องใช้รหัสปลดล็อกโทรศัพท์ เนื่องจากการยืนยันตัวตน รูปแบบใหม่ยังมีอัตราความล้มเหลวสูงอยู่มากแม้ว่าจะสะดวกกว่าก็ตาม ในขณะที่รหัสผ่านแทบไม่เคยล้มเหลวมาก่อน อัตราความผิดพลาดในอุดมคติของ NIST สำหรับการสแกนไบโอเมตริกซ์ก็คือ 0.001% ซึ่ง ณ ปัจจุบันแม้แต่ เครื่องสแกนไบโอเมตริกซ์ที่ดีที่สุดในตลาดไม่สามารถทำได้ตามเกณฑ์มาตรฐานที่ตั้งไว้

ในความเป็นจริง เมื่อพูดถึงการรักษาความปลอดภัยในการเข้าถึงแอปพลิเคชันต่าง ๆ ระบบไบโอเมตริกซ์ยัง ไม่อาจทำได้จริงในเชิงปฏิบัติ เพียงทำหน้าที่เป็นด่านหน้าที่สะดวกขึ้นเท่านั้น รหัสผ่านยังคงเป็นรากฐานสำคัญในการ สร้างรูปแบบการยืนยันตัวตนแบบใหม่ ๆ ไม่ว่าจะเป็นข้อมูลไบโอเมตริกซ์ พาสคีย์ หรือ TOTP ข้อมูลระบุตัวตนดิจิทัล จะเชื่อมโยงกับรหัสผ่านแบบข้อความแบบเก่าที่มีเพียงรูปแบบเดียว

อย่างไรก็ตาม ประสิทธิภาพไม่ใช่เหตุผลเดียวที่ทำให้รหัสผ่านยังเป็นวิธีการในการยืนยันตัวตน แต่ยังมีเหตุผล ที่ซับซ้อนอีกสองสามประการ

ความคุ้นเคยทำให้เกิดความเชื่อมั่นและสบายใจ

ผู้ใช้สมาร์ทโฟนจำนวนมากให้ความสำคัญกับความสะดวกสบายมากกว่าความปลอดภัย โดยมองข้าม ความน่าเชื่อถือของรหัสผ่านที่ใช้มานานจนถึงปัจจุบัน แต่ในทางตรงกันข้าม กลุ่มผู้ใช้งานที่กล่าวมานี้ก็ไม่ใช่ ประเภทที่จะหันไปใช้รูปแบบการยืนยันตัวตนรูปแบบใหม่ทันทีทันใด เนื่องจากไม่คุ้นชินกับเทคโนโลยี

ยกตัวอย่างเช่น ในประเทศไทยเองแม้ว่าจะมีประกาศล่าสุดจากธนาคารแห่งประเทศไทย เรียกร้องให้ ทุกธนาคารเพิ่มมาตรการรักษาความปลอดภัย ซึ่งรวมถึงการยืนยันตัวตนด้วยระบบไบโอเมตริกซ์สำหรับ ธุรกรรมธนาคารบนมือถือ แต่รายงานจาก สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ ยังคงพบว่า ผู้ใช้งานรู้สึกกังวล เกี่ยวกับการจัดเก็บและความปลอดภัยของข้อมูลที่ละเอียดอ่อนอยู่

ในอีกทางหนึ่ง ทีมไอทีขององค์กรมักจะเลือกซอฟต์แวร์ที่ปลอดภัยที่สุดในตลาดมาใช้ เพื่อให้เป็นไปตาม มาตรการความปลอดภัยด้านไอที ทำให้มีแนวโน้มมากขึ้นที่ทีมไอทีจะลองนำเทคโนโลยีใหม่ๆที่ออกมาในตลาด เข้ามาใช้ในองค์กร แต่ถึงอย่างนั้น แม้แต่กลไกการยืนยันตัวตนล่าสุดก็ยังไม่สามารถนำไปประยุกต์ใช้ได้ทั้งหมด และนี่ก็คือเหตุผลที่ทำให้ในปัจจุบันองค์กรจะยังไม่ยกเลิกการใช้รหัสผ่านอย่างสิ้นเชิง

การนำรหัสผ่านมาใช้ในระดับองค์กรนั้นง่ายกว่ากลไกการยืนยันตัวตนแบบใหม่ๆ กลยุทธ์การรักษาความ ปลอดภัยที่ใช้รหัสผ่านเต็มรูปแบบสามารถนำไปใช้ทั่วทั้งองค์กรทุกขนาดโดยไม่ต้องใช้ฮาร์ดแวร์เพิ่มเติม ฮาร์ดแวร์ ระดับองค์กรสำหรับการจดจำลายนิ้วมือหรือการจดจำใบหน้ามีราคาสูงมาก จึงพิสูจน์ได้ว่าการนำไปใช้กับในวงกว้างขึ้น โดยไม่ต้องเพิ่มงบประมาณด้านไอทีเป็นเรื่องที่ยากกว่า

นอกจากนั้น การนำรูปแบบการยืนยันตัวตนแบบใหม่มาใช้ยังส่งผลให้เกิดการเปลี่ยนแปลงจากสภาพ ที่เป็นอยู่โดยสิ้นเชิง เพราะต้องทำให้พนักงานเข้าใจถึงการเปลี่ยนแปลงครั้งใหญ่ผ่านการฝึกอบรม ซึ่งถ้าไม่มี การฝึกอบรมแล้ว ก็จะนำไปสู่ปฏิบัติใช้จริงได้ยาก องค์กรขนาดใหญ่ยังคงใช้แอปพลิเคชันเมนเฟรมเพื่อจัดเก็บข้อมูลเก่า หลายสิบปี เพียงเพราะว่าการถ่ายโอนข้อมูลไปยังโดเมนอื่นจะมีค่าใช้จ่ายสูงกว่าการดูแลรักษาแอปพลิเคชัน ในทำนองเดียวกัน การย้ายข้อมูลทั่วทั้งองค์กรจากรหัสผ่านไปยังรูปแบบการตรวจสอบสิทธิ์อื่นๆทำให้เกิดความเสี่ยง ทางการเงินแม้บริษัทจะอยู่ในสถานะที่ดีที่สุดก็ตาม

ในขณะเดียวกัน กลไกการยืนยันตัวตนด้วยรหัสผ่านซึ่งจะอยู่กับเรามาอย่างยาวนานมีการรองรับ ด้านเทคนิคที่ดีที่สุด เมื่อทีมไอทีขององค์กรเริ่มจัดการกับรหัสผ่านที่มีอยู่แล้วจึงอาจทำให้เกิดปัญหาขึ้นในระบบได้ ดังนั้นการใช้รหัสผ่านตามเดิมจึงช่วยให้สามารถแก้ไขปัญหาที่เกิดขึ้นจากการใช้งานระยะไกลได้อย่างรวดเร็ว

ตามได้กล่าวไปแล้ว แน่นอนว่ารหัสผ่านจะยังคงอยู่กับเราต่อไป เนื่องจากความคุ้นเคยและความ ยืดหยุ่นในการใช้งาน การใช้รหัสผ่านจะยังคงเป็นที่นิยมแม้ว่าจะมีการยืนยันตัวตนรูปแบบใหม่ๆออกมา การใช้รหัสผ่านจึงแทบไม่น่าจะเป็นไปได้ที่จะหายไปในทันที แต่อาจเป็นเพราะการยืนยันตัวตนรูปแบบใหม่ อาจอยู่ในช่วงเริ่มต้น รหัสผ่านจึงมีบทบาทสำคัญในการช่วยกลุ่มผู้บริโภคในการนำวิธีการการยืนยันตัวตนแบบใหม่ๆมาใช้ ซึ่งเป็นวิธีการที่ทุกคนคุ้นเคยโดยเชื่อมโยงเข้ากับวิธีการการยืนยันตัวตนอันล้ำสมัย ส่งผลให้เกิดความน่าเชื่อถือและยังช่วยเร่งกระบวนการนำไปปรับใช้ได้อีกด้วย

#ยืนยันตัวตน #ยุคไร้พาสเวิร์ด #ข่าววันนี้ #ManageEngine