หนึ่งปีหลังจากที่ Microsoft ได้ประกาศสนับสนุน passkeys สำหรับบัญชีผู้ใช้ทั่วไป Microsoft ได้ประกาศการเปลี่ยนแปลงครั้งใหญ่โดยกำหนดให้ผู้ที่สมัครบัญชีใหม่ต้องใช้วิธีการยืนยันตัวตนที่ป้องกันการโจมตีแบบฟิชชิ่งเป็นค่าเริ่มต้น
Joy Chik และ Vasu Jakkal จาก Microsoft ระบุว่า "บัญชี Microsoft ใหม่ทั้งหมดจะใช้งานแบบไม่ใช้รหัสผ่านเป็นค่าเริ่มต้น และผู้ใช้ใหม่จะมีหลายตัวเลือกในการเข้าสู่ระบบโดยไม่ใช้รหัสผ่าน และพวกเขาจะไม่จำเป็นต้องตั้งค่ารหัสผ่านเลย สำหรับผู้ใช้ที่มีรหัสผ่านอยู่แล้ว สามารถไปที่การตั้งค่าของบัญชีเพื่อลบรหัสผ่านออกได้"
Microsoft ระบุเพิ่มเติมว่า พวกเขาได้ทำให้ประสบการณ์การเข้าสู่ระบบ และการลงทะเบียนใช้งานง่ายขึ้น โดยให้ความสำคัญกับวิธีการที่ไม่ต้องใช้รหัสผ่าน นอกจากนี้ กระบวนการเข้าสู่ระบบยังสามารถตรวจจับวิธีที่ดีที่สุดในบัญชีของผู้ใช้ได้โดยอัตโนมัติ และตั้งค่าวิธีนั้นเป็นค่าเริ่มต้นอีกด้วย
ตัวอย่างเช่น หากบัญชีมีตัวเลือกในการเข้าสู่ระบบทั้งแบบใช้รหัสผ่าน และแบบ "รหัสครั้งเดียว" (one-time code) ระบบจะแนะนำให้ผู้ใช้เข้าสู่ระบบด้วยรหัสครั้งเดียวแทนการใช้รหัสผ่าน หลังจากเข้าสู่ระบบแล้ว ระบบจะให้คำแนะนำในการตั้งค่า Passkey เพื่อให้ได้รับการป้องกันที่ดีที่สุด
ความเคลื่อนไหวล่าสุดของ Microsoft รวมถึงบริษัทอย่าง Apple, Google, Amazon และบริษัทอื่น ๆ ในช่วงไม่กี่ปีที่ผ่านมา แสดงให้เห็นถึงการก้าวไปสู่โลกที่ไร้รหัสผ่านอย่างต่อเนื่อง เนื่องจากการโจมตีทางไซเบอร์ที่ใช้รหัสผ่านยังคงเป็นช่องทางเริ่มต้นที่สร้างผลกำไรให้กับผู้ไม่หวังดี การนำ passkeys มาใช้จึงถือว่าเป็นก้าวสำคัญสำหรับความปลอดภัยของบัญชี
ในเดือนกันยายน 2023 Microsoft ได้เปิดให้ใช้งาน Passkey บน Windows 11 ซึ่งอยู่ในช่วงเวลาเดียวกับที่ Google กำหนดให้ Passkey เป็นวิธีเข้าสู่ระบบเริ่มต้นสำหรับผู้ใช้ทั่วโลก และต่อมาในปีเดียวกัน Microsoft ก็ได้อัปเดต Windows Hello เพื่อให้รองรับเทคโนโลยีนี้ด้วยเช่นกัน
Passkey เป็นวิธีการเข้าสู่ระบบเว็บไซต์ และแอปพลิเคชันที่มีความปลอดภัยสูงโดยไม่ต้องใช้รหัสผ่าน และได้รับการสนับสนุนจากองค์กร Fast Identity Online (FIDO) ซึ่ง Passkey ใช้เทคนิคการเข้ารหัสแบบ Public/Private Key เพื่อยืนยันตัวตนของผู้ใช้
ดังนั้น เมื่อผู้ใช้ลงทะเบียนกับบริการออนไลน์ อุปกรณ์ client ของพวกเขา เช่น โทรศัพท์ หรือคอมพิวเตอร์ จะสร้าง key pair ใหม่ขึ้นมา โดย private key จะถูกเก็บไว้อย่างปลอดภัยในอุปกรณ์ของผู้ใช้ ในขณะที่ public key จะถูกส่งไปลงทะเบียนกับบริการนั้น ๆ ที่กำลังลงทะเบียนอยู่
ในระหว่างการเข้าสู่ระบบ อุปกรณ์ client จะใช้ private key ในการ sign เพื่อตอบรับคำขอจากจากเซิร์ฟเวอร์ หลังจากที่เจ้าของอุปกรณ์ยืนยันตัวตนโดยใช้ข้อมูลไบโอเมตริกซ์ (เช่น การจดจำใบหน้า หรือลายนิ้วมือ)
ในเดือนตุลาคม 2024 องค์กร FIDO Alliance ได้ประกาศว่ากำลังทำงานร่วมกับผู้มีส่วนเกี่ยวข้องเพื่อให้สามารถส่งออก Passkey และข้อมูล credentials อื่น ๆ ไปยังผู้ให้บริการต่าง ๆ รวมถึงปรับปรุงความสามารถในการทำงานร่วมกันระหว่างผู้ให้บริการข้อมูล credential ในเดือนธันวาคมของปีที่ผ่านมา มีบัญชีผู้ใช้งานมากกว่า 15,000 ล้านบัญชีที่สามารถเข้าสู่ระบบด้วย Passkey แทนรหัสผ่านได้แล้ว
ในเดือนที่แล้ว สมาคมอุตสาหกรรมเปิดเผยว่า ได้เปิดตัวกลุ่มทำงานด้านการชำระเงิน (Payments Working Group หรือ PWG) เพื่อกำหนด และผลักดันโซลูชัน FIDO สำหรับกรณีการใช้งานเกี่ยวกับการชำระเงิน
โดยกลุ่ม PWG มีเป้าหมายที่จะ "ระบุ และประเมินวิธีการแก้ปัญหาที่มีอยู่ และที่กำลังเกิดขึ้นใหม่เพื่อตอบสนองต่อความต้องการในการยืนยันตัวตนสำหรับการชำระเงิน" รวมถึงจัดทำนโยบายสำหรับการใช้งาน passkeys และโซลูชัน FIDO ที่เสนอไว้ควบคู่กับเทคโนโลยีการชำระเงินที่มีอยู่
ที่มา : thehackernews
You must be logged in to post a comment.