- Microsoft ได้นำแนวทาง ใช้การลงชื่อเข้าใช้แบบไม่ใช้รหัสผ่าน (passkey) เป็นค่าเริ่มต้นสำหรับบัญชีใหม่ มาใช้ แต่ในทางปฏิบัติกลับมีข้อจำกัดว่าจำเป็นต้องติดตั้งแอป Microsoft Authenticator
- Passkey คือวิธียืนยันตัวตนยุคถัดไปที่ทนทานต่อฟิชชิงและการรั่วไหล โดย อิงตามมาตรฐาน WebAuthn (FIDO2) และทำงานด้วยคู่กุญแจสาธารณะ/กุญแจส่วนตัว
- แม้มาตรการนี้จะช่วยยกระดับความปลอดภัย แต่โครงสร้างที่ผูกติดกับแอปเฉพาะก็อาจ บั่นทอนทั้งประสบการณ์ผู้ใช้และประโยชน์ด้านความปลอดภัยบางส่วน ได้
1. นโยบาย “ลงชื่อเข้าใช้แบบไม่ใช้รหัสผ่านเป็นค่าเริ่มต้น” ของ Microsoft
-
ตั้งแต่ปี 2025 เป็นต้นไป บัญชี Microsoft ใหม่จะใช้ passkey เป็นวิธีลงชื่อเข้าใช้หลักโดยอัตโนมัติ
-
ผู้ใช้เดิมก็จะถูกกระตุ้นให้ลงทะเบียน passkey ระหว่างการเข้าสู่ระบบด้วย
-
เป้าหมาย:
- เพื่อลดทั้ง ความเสี่ยงด้านความปลอดภัยและภาระของผู้ใช้ จากการสร้างและจัดการรหัสผ่าน
- พยายามแก้ปัญหาการโจมตีแบบ password spraying และปัญหาการรั่วไหลของรหัสผ่าน
2. ภาพรวมทางเทคนิคและรูปแบบการใช้งาน
-
Passkey คืออะไร?
- ใช้การยืนยันตัวตนผ่าน คู่กุญแจสาธารณะ/กุญแจส่วนตัว ที่สร้างขึ้นบนพื้นฐานของ WebAuthn (FIDO2)
- กุญแจส่วนตัวจะถูกเก็บไว้ในอุปกรณ์ของผู้ใช้ (เช่น โทรศัพท์, PC, Yubikey) และไม่รั่วไหลออกไปภายนอก
- มีความทนทานโดยธรรมชาติต่อฟิชชิง การใช้รหัสผ่านซ้ำ และการรั่วไหล
-
หลักการทำงาน:
- เว็บไซต์ส่ง “challenge” ที่อิงจากค่าสุ่ม → ตัวรับรองความถูกต้อง (Authenticator) ในอุปกรณ์ลงนาม → เซิร์ฟเวอร์ตรวจสอบด้วยกุญแจสาธารณะ
- กุญแจจะถูกผูกกับ URL นั้นโดยตรง จึง ไม่สามารถนำไปใช้ซ้ำกับเว็บฟิชชิงได้
3. ข้อจำกัดและขีดจำกัด
-
ประเด็นปัญหา: แม้จะตั้งค่า passkey แล้วก็ตาม หากไม่มีแอป Microsoft Authenticator ก็จะ ไม่สามารถตัดรหัสผ่านออกได้อย่างสมบูรณ์
- Authy, Google Authenticator และแอปอื่น ๆ ไม่รองรับ
- เท่ากับเป็นการ บังคับให้ผู้ใช้ต้องติดตั้งแอป ซึ่งขัดแย้งกับคำกล่าวอ้างว่า “passwordless by default”
-
นัยด้านความปลอดภัย:
- หากยังคงมีรหัสผ่านหลงเหลืออยู่ ข้อดีด้านความปลอดภัยบางส่วนของ passkey ก็จะหายไป
-
ปัจจุบัน WebAuthn ยังอยู่ระหว่างการพัฒนา และ ยังมีจุดที่ไม่สมบูรณ์ด้านการใช้งานอยู่
ยังไม่มีความคิดเห็น