Microsoft ประกาศการเปลี่ยนแปลงครั้งสำคัญในแอป Microsoft Authenticator ซึ่งเป็นแอปยอดนิยมด้านความปลอดภัย โดยจะมีการยุติคุณสมบัติหลักบางรายการในไม่กี่เดือนข้างหน้านี้
ตั้งแต่เดือนกรกฎาคม 2025 เป็นต้นไป คุณสมบัติการกรอกรหัสผ่านอัตโนมัติ ภายใน Microsoft Authenticator จะหยุดให้บริการ ตามด้วยการลบคุณสมบัติที่เกี่ยวข้องกับการเข้kถึงรหัสผ่านทั้งหมดในเดือนสิงหาคม 2025
การพัฒนาครั้งนี้ถือเป็นการเปลี่ยนแปลงครั้งสำคัญของ Microsoft ในการดำเนินงานต่อการตรวจสอบสิทธิ์หลายปัจจัย (MFA) และแนวทางการเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน
การยุติการให้บริการคุณสมบัติการกรอกรหัสผ่านอัตโนมัติ
การเปลี่ยนแปลงที่จะเกิดขึ้นนี้ส่งผลกระทบอย่างมากต่อผู้ใช้ที่พึ่งพาคุณสมบัติความปลอดภัยที่ครอบคลุมของแอป Microsoft Authenticator
โดยคุณสมบัติการกรอกรหัสผ่านอัตโนมัติ ซึ่งอนุญาตให้ผู้ใช้กรอกข้อมูล credentials การเข้าสู่ระบบบนแพลตฟอร์มต่าง ๆ ได้โดยอัตโนมัติ จะเป็นคุณสมบัติแรกที่จะหยุดให้บริการในเดือนกรกฎาคม 2025
คุณสมบัติดังกล่าวอาศัย advanced cryptographic โปรโตคอล และการสร้าง secure token เพื่อช่วยให้การยืนยันตัวตนง่ายขึ้น ทั้งในแอปพลิเคชัน Microsoft 365 และบริการของ third-party
การเปลี่ยนแปลงที่สำคัญยิ่งกว่าจะเกิดขึ้นในเดือนสิงหาคม 2025 เมื่อฟังก์ชันการจัดเก็บ และเรียกค้นรหัสผ่านจะถูกลบออกจากแอป Authenticator ทั้งหมด
ซึ่งการเปลี่ยนแปลงนี้ ส่งผลต่อความสามารถของแอปในการทำหน้าที่เป็น centralized password manager ทำให้ผู้ใช้งานต้องย้ายข้อมูล credentials ที่จัดเก็บไว้ไปยังโซลูชันอื่น
โครงสร้างทางเทคนิคที่รองรับคุณสมบัติดังกล่าว ซึ่งรวมถึงระบบ encrypted password vaults และ synchronization protocols จะถูกยกเลิกพร้อมกับการเปลี่ยนแปลงในครั้งนี้
แม้จะมีข้อจำกัดที่เพิ่มขึ้น แต่ Microsoft Authenticator จะยังคงรองรับคุณสมบัติการยืนยันตัวตนแบบสองขั้นตอน และการยืนยันตัวตนหลายปัจจัย (MFA) เป็นหลัก
ผู้ใช้งานยังสามารถสร้าง Time-based One-Time Passwords (TOTP) ด้วย HMAC-based algorithm, รับการแจ้งเตือนแบบ push เพื่อยืนยันตัวตน และใช้วิธีการตรวจสอบด้วยไบโอเมตริกซ์ เช่น การสแกนลายนิ้วมือ และการจดจำใบหน้า ผ่านการเชื่อมต่อกับระบบ Windows Hello
ผลกระทบต่อการยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่าน
การเปลี่ยนแปลงครั้งนี้ส่งผลโดยตรงต่อระบบการยืนยันตัวตนแบบไม่ใช้รหัสผ่านของ Microsoft ซึ่งต้องอาศัยมาตรฐาน FIDO2 และ WebAuthn เพื่อการเข้าสู่ระบบที่ปลอดภัยโดยไม่ต้องใช้รหัสผ่าน
แม้ว่าฟังก์ชันหลักของการยืนยันตัวตนแบบไม่ใช้รหัสผ่านจะยังคงใช้งานได้ตามปกติ แต่ผู้ใช้จะสูญเสียความสะดวกในการจัดการรหัสผ่านภายในแอปเดียวกัน
องค์กรที่ใช้นโยบายการยืนยันตัวตนผ่าน Azure Active Directory (Azure AD) ควรพิจารณาทบทวนโครงสร้างด้านความปลอดภัยใหม่ และอาจนำโซลูชันการจัดการรหัสผ่านแบบอื่นมาใช้ด้วย
ผู้ดูแลระบบ IT ควรเตรียมพร้อมรับมือกับคำร้องขอความช่วยเหลือจากผู้ใช้งานที่อาจเพิ่มขึ้น และพิจารณานำ Conditional Access policies มาใช้เพื่อรักษามาตรฐานด้านความปลอดภัยในช่วงเปลี่ยนผ่าน
ผู้ใช้ที่กำลังใช้คุณสมบัติการจัดการรหัสผ่านของ Authenticator ในปัจจุบันควรเริ่มย้ายข้อมูล credentials ของตนไปยังระบบจัดการรหัสผ่านโดยเฉพาะ เช่น Microsoft Password Manager ภายในเบราว์เซอร์ Edge, Azure Key Vault สำหรับองค์กร หรือโซลูชันจากบริษัทอื่น ๆ ที่รองรับโปรโตคอลการยืนยันตัวตน SAML และ OAuth 2.0
บริษัทแนะนำให้ผู้ใช้งานยังคงใช้ Authenticator สำหรับฟังก์ชันหลักในการยืนยันตัวตน ขณะเดียวกันก็ควรมองหาเครื่องมือเสริมในการจัดการรหัสผ่าน
ทิศทางเชิงกลยุทธ์นี้สอดคล้องกับแนวทางของ Microsoft ที่มุ่งเน้นการพัฒนาเทคโนโลยีการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน และสนับสนุนให้มีการใช้ไบโอเมตริกซ์ และฮาร์ดแวร์ที่ปลอดภัยยิ่งขึ้นในระบบของตนเองทั่วทั้งบริษัท
ที่มา : cybersecuritynews
You must be logged in to post a comment.