Passwordless คืออะไร?

รู้สึกชีวิตยากไหมกับการที่ต้องรหัสผ่านนับสิบในทุกวันนี้ นั่นทำให้เกิดการตั้งรหัสผ่านแบบง่ายๆ หรือวนใช้รหัสผ่านซ้ำ ซึ่งเมื่อข้อมูลรั่วก็โดนแฮ็กได้แบบรวบยอด ด้วยเหตุนี้เองแนวคิดของ Passwordless จึงเริ่มถูกผลักดันมากขึ้น ในบทความนี้เราจะพาทุกท่านไปรู้จักนิยามของ Passwordless และวิธีการใช้งานกัน

Passwordless คืออะไร?

อันที่จริงแล้วแนวคิดของ Passwordless ก็ค่อนข้างตรงตัวมากทีเดียวนั่นคือการพิสูจน์ตัวตนที่ผู้ใช้ไม่ต้องจดจำรหัสผ่านหรือความลับใดๆ ซึ่งโดยปกติแล้วก็มักจะขอให้ผู้ใช้ใส่ข้อมูลทั่วไป เช่น username เบอร์โทรศัพท์ อีเมล หรืออื่นๆ แล้วก็ไปกระทำการพิสูจน์ตัวตนจากอุปกรณ์ที่ลงทะเบียนให้สมบูรณ์หรือการใช้ Token

กระบวนการของ Passwordless

ผู้ใช้จะต้องลงทะเบียนอุปกรณ์ก่อนที่จะตรวจสอบตัวตน เริ่มต้นด้วย การที่เซิร์ฟเวอร์จะส่งคำร้องมาที่อุปกรณ์ของเราเมื่อร้องขอลงทะเบียนผ่านหน้าเว็บ จากนั้นก็ทำการตั้งค่าวิธีการพิสูจน์ตัวตนอาจใช้ลายนิ้วมือ สแกนใบหน้า โดยเมื่อเสร็จสิ้นอุปกรณ์ของเราก็จะสร้างคู่กุญแจตามแนวทาง PKI (Public-key Infrastructure) มอบ Public Key ให้เซิร์ฟเวอร์และตัวเราเก็บ Private Key ไว้ที่ตัวเอง

จากขั้นตอนข้างต้นเซิร์ฟเวอร์และผู้ใช้มีการแลกกุญแจพิสูจน์ตัวตนกันได้แล้ว ในคราวต่อไปเมื่อต้องการเข้าใช้บริการ เซิร์ฟเวอร์ก็จะส่งคำร้องให้ทดสอบมาที่อุปกรณ์ของผู้ใช้ แน่นอนว่าหากเป็นผู้ใช้ตัวจริงที่มีอุปกรณ์หรือเป็นตัวตนจริง ย่อมสามารถตอบสนองความท้าทายนี้ เพื่อรับ Private Key เพื่อทำการเซ็นกำกับและส่งกลับไปยังเซิร์ฟเวอร์ให้เปิดด้วยคู่กุญแจฝั่งเซิร์ฟเวอร์

ปัจจัยในการใช้งาน Passwordless แบ่งได้เป็น 2 ประเภทคือ

• สิ่งที่คุณมี เช่น มือถือ, OTP, smart card, Hardware Token และอื่นๆ
• สิ่งที่คุณเป็น เช่น ลายนิ้วมือ เสียง ใบหน้า เป็นต้น

เกร็ดเล็กเกร็ดน้อย : ผู้คนมักสับสนระหว่าง Passwordless และ Multi-factor Authentication (MFA) แต่ไอเดียของ MFA คือแค่เพิ่มชั้นการป้องกันจากพื้นฐานของรหัสผ่าน ในขณะที่ Passwordless ต้องไม่พึ่งพารหัสผ่านเลย แต่ก็สามารถเพิ่มระดับชั้นในการยืนยันตนหลายปัจจัยได้ด้วย เช่น การดูพิกัด เลขเครือข่าย รูปแบบพฤติกรรม ร่วมกับปัจจัยต่างๆ

ที่มา : https://en.wikipedia.org/wiki/Passwordless_authentication