แพตเทิร์น "อีเมลคือการยืนยันตัวตน"

 (rubenerd.com)
4 คะแนน โดย GN⁺ 2024-09-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • คนส่วนใหญ่ไม่ได้ใช้ตัวบล็อกโฆษณา JavaScript แบบจำกัดสิทธิ์ หรือโปรแกรมจัดการรหัสผ่าน
  • หลายคนผ่านกระบวนการล็อกอินประมาณนี้
    • ไปที่หน้าล็อกอิน
    • คลิก "ลืมรหัสผ่าน"
    • ไปที่อีเมล
    • คลิกลิงก์กู้คืน
    • ใส่รหัสผ่านชั่วคราวที่จำไม่ได้
    • ทำซ้ำ
  • เมื่อถามว่าทำไมผู้คนถึงผ่านกระบวนการแบบนี้ คนส่วนใหญ่ก็ไม่รู้เหตุผล
  • มีการพูดถึงโปรแกรมจัดการรหัสผ่าน ความเสี่ยงจากการขโมยตัวตน และความจำเป็นของการยืนยันตัวตนแบบสองปัจจัยและหลายปัจจัยกันมามากแล้ว
  • จึงเกิดคำถามว่าทำไมผู้คนถึงใช้ "ลืมรหัสผ่าน" เป็นวิธีการยืนยันตัวตน
  • นี่ไม่ใช่การตัดสินใจอย่างมีสติ แต่เป็นนิสัยที่ก่อตัวขึ้นตามกาลเวลา
  • มีการตั้งคำถามว่าสามารถอาศัยนิสัยนี้เพื่อออกแบบให้ผู้คนใช้งานระบบในรูปแบบที่ดีกว่าได้หรือไม่

สรุปโดย GN⁺

  • บทความนี้ว่าด้วยนิสัยของผู้คนในการยืนยันตัวตนผ่านกระบวนการลืมรหัสผ่าน
  • แม้จะมีการพูดถึงความจำเป็นของโปรแกรมจัดการรหัสผ่านและการยืนยันตัวตนแบบสองปัจจัยกันมามากแล้ว แต่บทความนี้ตั้งคำถามว่าทำไมผู้คนจึงทำตามขั้นตอนบางอย่าง
  • บทความสำรวจความเป็นไปได้ในการออกแบบระบบความปลอดภัยที่ดีกว่าโดยอาศัยนิสัยเหล่านี้
  • ผลิตภัณฑ์ที่มีฟังก์ชันคล้ายกัน ได้แก่ LastPass, 1Password เป็นต้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-09
ความคิดเห็นจาก Hacker News

  • บัญชีอีเมลเป็นวิธีที่ใช้กันแพร่หลายที่สุดสำหรับการยืนยันตัวตนออนไลน์

    • หมายเลขโทรศัพท์ก็แข่งขันได้เช่นกัน แต่ผู้คนอาจทำโทรศัพท์มือถือหายได้
    • ความปลอดภัยของหมายเลขโทรศัพท์ต่ำกว่าบัญชีอีเมล
    • ตอนออกแบบระบบยืนยันตัวตนผู้ใช้ ต้องคำนึงถึงการกู้คืนบัญชีด้วย

  • หากธุรกิจต้องการมอบความสะดวก ก็จะใช้ระบบยืนยันตัวตนด้วยอีเมล

    • ผู้ใช้กรอกอีเมล
    • ส่งรหัสยืนยันไปทางอีเมล
    • เมื่อผู้ใช้กรอกรหัสแล้ว ก็จะคงสถานะล็อกอินไว้แบบ "ไม่มีกำหนด"
    • ถ้าเป็นอีเมลใหม่ ก็สร้างบัญชีให้อัตโนมัติ
    • ผู้ใช้บางคนอาจเผลอสร้างบัญชีใหม่เพราะใช้อีเมลหลายอัน
    • วิธีนี้ช่วยปรับปรุงอัตราการเปลี่ยนเป็นการสมัครและการล็อกอินได้มาก

  • ระบบยืนยันตัวตนที่อิงรหัสผ่านนั้นไม่สมจริง

    • รหัสผ่านถูกใช้อยู่ 2 แบบ
      • ป้องกันด้วยรหัสผ่านเดียวผ่านตัวจัดการรหัสผ่าน
      • ใช้รหัสผ่านเดิมซ้ำในหลายบริการ
    • บริการส่วนใหญ่มีการกู้คืนผ่านอีเมล
    • บัญชีอีเมลส่วนตัวแทบไม่เคยเปลี่ยน ไม่ได้แชร์ และไม่ถูกนำกลับมาใช้ซ้ำ

  • มีข้อเสนอให้ส่งลิงก์ URL แบบใช้ครั้งเดียวทางอีเมลเพื่อใช้ล็อกอิน

    • ลิงก์จะหมดอายุภายใน 10 นาทีและใช้ได้ครั้งเดียว
    • ใครก็ตามที่มีลิงก์นี้สามารถล็อกอินได้ แต่เข้าถึงได้จากในอีเมลเท่านั้น
    • ความปลอดภัยขึ้นอยู่กับบัญชีอีเมล

  • เหตุผลที่ผู้ให้บริการทำให้ผู้ใช้ไม่สะดวกนั้นเรียบง่าย

    • ผู้ให้บริการอีเมลแทบไม่ปล่อยให้เซสชันสิ้นสุด
    • สามารถตั้งค่าโทเคนยืนยันตัวตนของบริการให้มีอายุเท่ากับเวลาเซสชันของ Gmail หรือให้ล็อกอินด้วย OTP ได้

  • คนส่วนใหญ่มักลองทำงานบนคอมพิวเตอร์ไปก่อนแล้วค่อยหาทางแก้

    • ซอฟต์แวร์ถูกสร้างโดยคนที่เข้าใจระบบเป็นอย่างดี แต่ผู้ใช้ไม่ใช่แบบนั้น
    • เมื่อผู้ใช้เจอรูปแบบที่ใช้งานได้ พวกเขาก็จะยึดติดกับมัน
    • หลายโรงเรียนใช้แท็บเล็ต จึงไม่ได้ฝึกความคุ้นชินกับการใช้คอมพิวเตอร์

  • มีเว็บไซต์ที่ข้ามขั้นตอนลืมรหัสผ่านไปเลยและใช้อีเมลเป็นการยืนยันตัวตน

    • กรอกที่อยู่อีเมล
    • รับอีเมลที่มีรหัส
    • กรอกรหัสแล้วล็อกอิน
    • วิธีนี้อาจไม่สะดวกสำหรับคนที่ใช้อีเมลหลายบัญชี

  • Best Buy ใช้วิธีคล้ายกัน

    • แม้จะใช้ตัวจัดการรหัสผ่านเก็บรหัสผ่านไว้ แต่เพราะการป้องกัน ATO จึงขึ้นว่ารหัสผ่านใช้ไม่ได้
    • พอพยายามแก้ปัญหาแล้วเหนื่อย ก็เลยทำตามวิธีที่ง่ายที่สุด

  • ขั้นตอนการล็อกอินมีลักษณะคล้ายกัน

    • A) เข้าเว็บไซต์ คัดลอกและวางรหัสผ่านผ่านตัวจัดการรหัสผ่าน แล้วได้รับคำขอ TOTP ทางอีเมล
    • B) เข้าเว็บไซต์ กดลืมรหัสผ่าน รับลิงก์สำหรับล็อกอิน แล้วกรอกสตริงสุ่ม
    • บางครั้งวิธี B ก็เร็วกว่า

  • เหตุผลที่ผู้ใช้ไม่บันทึกรหัสผ่านก็เพราะไม่มีตัวจัดการรหัสผ่าน

    • ต่อให้รู้จักตัวจัดการรหัสผ่าน การสลับบัญชีเวลาทำงานบน shared cloud PC ก็ยังยุ่งยาก
    • เว็บไซต์ที่ไม่มีฟังก์ชันบันทึกรหัสผ่านก็จะไม่ถูกรหัสผ่านถูกบันทึกไว้