ไม่มีรหัสผ่านอีกต่อไป — รหัสผ่านจะมาแทนที่รหัสผ่านของคุณได้อย่างไร

May 15 2023
เพื่อหลีกเลี่ยงความกำกวม เราจะใช้คำศัพท์ต่อไปนี้ ผู้รับรองความถูกต้อง; โทรศัพท์มือถือที่ใช้ในการเข้าสู่ระบบเว็บไซต์; เว็บไซต์หรือแอปพลิเคชันที่ผู้ใช้ใช้เพื่อส่งคำขอเข้าสู่ระบบ ผู้ขายที่ให้บริการเช่น

เพื่อหลีกเลี่ยงความกำกวม เราจะใช้คำศัพท์ต่อไปนี้

ตัวตรวจสอบสิทธิ์ ; โทรศัพท์มือถือที่ใช้ในการเข้าสู่ระบบ

เว็บไซต์ ; เว็บไซต์หรือแอปพลิเคชันที่ผู้ใช้ใช้เพื่อส่งคำขอเข้าสู่ระบบ

บริการ ; ผู้ให้บริการที่ให้บริการ เช่น Google Mail, Microsoft Outlook

ปัญหาเกี่ยวกับรหัสผ่านคืออะไร

รหัสผ่านมีความหมายเหมือนกันกับการใช้งานอินเทอร์เน็ตของเรา เราใช้รหัสผ่านเหล่านี้เพื่อเข้าสู่ระบบอีเมล บัญชีโซเชียลมีเดีย หรือเพื่อตรวจสอบยอดคงเหลือในธนาคารของเรา เราได้รับการเตือนให้ตั้งรหัสผ่านที่ซับซ้อน 'ดี' โดยแต่ละไซต์มีคำจำกัดความของตัวเองว่าดูดีอย่างไร

แม้จะมีความพยายามเหล่านี้ รหัสผ่านยังคงเป็นจุดอ่อน เนื่องจากหลายคนใช้รหัสผ่านที่ไม่รัดกุมและ/หรือรหัสผ่านเดียวกันในบัญชีต่างๆ บ่อยครั้งที่บางคนตกเป็นเหยื่อของเว็บไซต์ที่แสร้งทำเป็นบริการของแท้หรือที่เรียกว่าฟิชชิ่ง นี่คือที่ที่ผู้ใช้คลิกลิงก์ที่พวกเขาเชื่อว่าเป็นของแท้ แต่แท้จริงแล้วเป็นเว็บไซต์ปลอมที่สร้างขึ้นเพื่อขโมยรหัสผ่านของผู้ใช้

เว็บไซต์ 'ฟิชชิง' ปลอมที่ดีมากยังสามารถหลอกผู้ใช้ให้ตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) หากประเภท MFA ไม่ได้ออกแบบมาให้ต้านทานการโจมตีแบบฟิชชิง อย่างไรก็ตาม การมี MFA ใดๆ ก็ดีกว่าไม่มี MFA เลย

รหัสผ่านคืออะไร

รหัสผ่านใช้แทนรหัสผ่านและได้รับการออกแบบมาให้ทนทานต่อการโจมตีแบบฟิชชิง พวกเขายังทำให้กระบวนการเข้าสู่ระบบง่ายขึ้นสำหรับผู้ใช้รวมทั้งมีความปลอดภัยมากขึ้น

ยกตัวอย่าง Batool เธอใช้รหัสผ่านเพื่อเข้าสู่บัญชี Gmail ของเธอ เมื่อย้ายไปที่รหัสผ่าน เธอสามารถเข้าสู่ระบบโดยใช้ลายนิ้วมือหรือใบหน้าของเธอ รหัสผ่านจะกลายเป็นวิธีอื่นในกรณีที่ไม่สามารถใช้รหัสผ่านได้ (รหัสผ่านจะถูกยกเลิกในที่สุด)

คีย์รหัสผ่านใช้แนวคิดของคีย์ส่วนตัวและคีย์สาธารณะแทนที่จะใช้ข้อความรหัสผ่าน ตอนนี้ Batool มีคีย์ส่วนตัวซึ่งสร้าง จัดเก็บ และจัดการโดยโทรศัพท์มือถือของเธอได้อย่างราบรื่น ซึ่งอาจผ่านทางแอปตรวจสอบสิทธิ์หรือภายในระบบปฏิบัติการ

โทรศัพท์ของ Batool รู้วิธีอัปโหลดรหัสสาธารณะใหม่ของเธอไปยัง Gmail โดยอัตโนมัติ ซึ่งเป็นส่วนหนึ่งของการสร้างรหัสผ่านของเธอด้วย Gmail.com

ขณะนี้ Gmail ทราบเกี่ยวกับรหัสสาธารณะของ Batool แล้ว และจะขอให้เธอยืนยันว่าเป็นของเธอโดยกำหนดให้ Batool ปลดล็อกโทรศัพท์และเซ็นชื่อโดยใช้รหัสส่วนตัว

ทั้งหมดนี้เกิดขึ้นในเบื้องหลังระหว่าง Gmail.com และโทรศัพท์ของเธอ Batool เพียงต้องกังวลเกี่ยวกับการใช้ลายนิ้วมือหรือการปลดล็อกด้วยไบโอเมตริกใบหน้าตามปกติ เธออาจต้องเลือกรหัสผ่านที่จะใช้หากตั้งค่าบัญชี Gmail.com ไว้หลายบัญชี

ขณะนี้เว็บไซต์ปลอมเป็นภัยคุกคามน้อยลงเนื่องจากไม่มีรหัสสาธารณะของ Batool ดังนั้นเธอจึงไม่สามารถลงชื่อเข้าใช้ได้ โปรดจำไว้ว่ารหัสส่วนตัวจะไม่หลุดออกจากโทรศัพท์มือถือของเธอ

Batool ย้ายจากรหัสผ่านเป็นรหัสผ่านได้อย่างไร

แผนภาพด้านล่างแสดงวิธีที่ Batool เปลี่ยนจากการใช้รหัสผ่านเป็นรหัสผ่านสำหรับบัญชี Gmail ของเธอ

Batool สร้างรหัสผ่าน

1- Batool ลงชื่อเข้าใช้บริการ (Gmail) โดยใช้ชื่อผู้ใช้และรหัสผ่านของเธอ

2-ขณะนี้ Gmail รองรับ Passkey แล้ว คำขอจะถูกส่งไปยัง Batool เพื่อสร้าง Passkey หรือเธออาจต้องเรียกดูg.co/passkeys

3-การแจ้งเตือนปรากฏขึ้นเพื่อสร้างรหัสผ่าน

4- Batool เลือกที่จะสร้างรหัสผ่านและได้รับแจ้งให้ปลดล็อคโทรศัพท์ของเธอโดยใช้ตัวเลือกไบโอเมตริกซ์ ซึ่งจะทำให้โทรศัพท์ของเธอสร้างรหัสผ่านใหม่สำหรับ Gmail.com ได้อย่างปลอดภัยและเก็บไว้ให้เธออย่างปลอดภัย

5-คีย์ส่วนตัวถูกผูกไว้กับโปรไฟล์ผู้ใช้ของเธอ เช่น ซิงค์กับอุปกรณ์ของเธอ ในตัวอย่างนี้ Batool ใช้ iPhone ดังนั้นจึงอาจซิงค์โดยใช้ iCloud อย่างไรก็ตาม ผู้ขายหลายรายอาจใช้วิธีการอื่น เช่น Microsoft Authenticator หรือ Google Password Manager

6 - รหัสสาธารณะที่เกี่ยวข้องจะถูกส่งไปยัง Gmail

7- Google เก็บเฉพาะรหัสสาธารณะนี้และใช้ในการพยายามเข้าสู่ระบบในอนาคตเพื่อตรวจสอบลายเซ็นที่ลงนามจาก Batool

ในขณะที่ Batool ใช้ลายนิ้วมือหรือใบหน้าของเธอเพื่อใช้ Passkey สิ่งนี้เหมือนกับการปลดล็อคอุปกรณ์หรือเข้าสู่ระบบธนาคารออนไลน์ — ลายนิ้วมือหรือใบหน้าของเธอในรูปแบบดิจิตอลไม่เคยหลุดออกจากโทรศัพท์มือถือมันถูกจัดเก็บเข้ารหัสไว้ในโทรศัพท์ และไม่สามารถ เข้าถึงได้โดย Gmail หรือใครก็ตามที่สร้างอุปกรณ์ เช่น Apple หรือ Android

ตอนนี้ Batool มีรหัสผ่านแล้ว กระบวนการเข้าสู่ระบบทำงานอย่างไร?

แผนภาพด้านล่างแสดงวิธีที่ Batool ลงชื่อเข้าใช้บัญชี Gmail ของเธอโดยใช้รหัสผ่าน

Batool เข้าสู่ระบบด้วยรหัสผ่านของเธอ

1- Batool เรียกดูเว็บไซต์เข้าสู่ระบบของบริการที่กำหนด Gmail ในกรณีนี้

2- Batool ได้สร้างรหัสผ่าน (ดูด้านบน) สำหรับ Gmail ก่อนหน้านี้ ดังนั้นการท้าทายจะถูกส่งจากบริการ Gmail

3-โทรศัพท์ของ Batool ได้รับคำท้าและปรากฏเป็นรายการรหัสผ่านที่มีอยู่จากบริการ เช่น หาก Batool มีบัญชี Gmail มากกว่าหนึ่งบัญชี รหัสผ่านสองรายการจะปรากฏขึ้น

4- Batool เลือกรหัสผ่านสำหรับบัญชี Gmail ของเธอ จากนั้นใช้ไบโอเมตริกเพื่อปลดล็อกโทรศัพท์มือถือ ซึ่งจะทำให้โทรศัพท์ของเธอใช้คีย์ส่วนตัวได้

5-ความท้าทายจาก Google จะได้รับการลงนามโดยรหัสส่วนตัวของ Batool

6-ความท้าทายที่ลงนามแล้วจะถูกส่งไปยัง Google ซึ่งให้ความมั่นใจอย่างยิ่งว่า Batool กำลังเข้าสู่ระบบ

7 - Google ใช้รหัสสาธารณะสำหรับ Batool เพื่อยืนยันการเข้าสู่ระบบที่สำเร็จ

เมื่อลงชื่อเข้าใช้ Google จากนี้ไป Google จะขอรหัสผ่านทุกครั้งที่ทำได้ หากไม่มีรหัสผ่าน Batool ยังสามารถใช้รหัสผ่าน Google ของเธอได้

นี่เป็นส่วนหนึ่งของการย้ายไปสู่ ​​Passkeys แบบค่อยเป็นค่อยไป เนื่องจากบริการต่างๆ ยอมรับ Passkeys มากขึ้น เราหวังว่าจะเห็นอนาคตที่ปราศจากรหัสผ่านและความยืดหยุ่นที่แข็งแกร่งยิ่งขึ้นต่อฟิชชิง

Apple, Google และ Microsoft กำลังร่วมมือกันเพื่อเพิ่มการรับรู้และการนำ Passkeys มาใช้ พร้อมข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ที่นี่

ขอบคุณมากที่Joel SamuelและAli Sarrafตรวจทานงานชิ้นนี้