Key-Based Authentication — ทางออกของระบบ Authentication
จากโพสต์ของคุณ nuunoei — กรณีที่มีข้อมูลส่วนตัวรวมถึง Password ของแอคเค้าท์เว็บต่าง ๆ จำนวน 773 ล้านแอคเค้าท์ถูกแฮคและโพสต์ลงเว็บสาธารณะ
ระบบรหัสผ่าน (Password Authentication) จัดเป็นกระบวนการพิสูจน์ตัวตน (Authentication) แบบดั้งเดิมมาตั้งแต่เริ่มมีคอมพิวเตอร์ ทุกวันนี้การพิสูจน์ตัวตนด้วยรหัสผ่านก็ยังเป็นที่นิยมมากกว่าการพิสูจน์ตัวตนด้วยวิธีอื่นๆ เพราะเป็นวิธีการที่สะดวกที่สุดสำหรับผู้ใช้งาน (User)
แต่ข้อเสียของวิธีนี้คือเมื่อเว็บไซต์ไม่มีระบบ Security ที่ดีพอก็อาจถูกโจมตีด้วยวิธีการ Dictionary attack หรือ Bruteforce Attack เช่นเดียวกับเหตุการณ์ที่คุณ nuunoei ได้โพสต์ไว้
หลายๆ เว็บไซต์แก้ปัญหาด้วยการสร้างเงื่อนไขให้ผู้ใช้งานตั้งรหัสผ่านที่ซับซ้อนและยากต่อการคาดเดามากขึ้น และเมื่อผู้ใช้งานต้องรับมือกับรหัสผ่านที่หลากหลายในหลายๆระบบ สิ่งที่เกิดขึ้นก็คือ
“เราไม่รู้ด้วยซ้ำว่าเรามีรหัสผ่านกี่ชุด และ มีข้อมูลส่วนตัวอยู่กับเว็บไซต์อะไรบ้าง”
ถ้า Password authentication มันไม่ strong พอ ขอแนะนำ Key-based authentication
Key-based authentication เป็นการพิสูจน์ตัวตนรูปแบบหนึ่งที่ใช้ asymmetric cryptography algorithms ในการยืนยันตัวตน ซึ่งต้องใช้คู่คีย์ public-private key ในการพิสูจน์ตัวตน หลักการ คือ เซิฟเวอร์จะเก็บ Public key ไว้ และผู้ใช้งานจะเก็บ Private key ไว้ เมื่อใดก็ตามที่ต้องการพิสูจน์ตัวตนของผู้ใช้งาน เซิฟเวอร์ก็แค่เพียงร้องขอให้ผู้ใช้งานถอดรหัสโดยให้ Private Key ที่สอดคล้องกับ Public Key นั้นๆ
FIDO Alliance
FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรก
FIDO แก้ปัญหาระบบพิสูจน์ตัวตนด้วยการใช้ Key-based authentication ในการพิสูจน์ตัวตน เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่อง (mobile device) ของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น
มาตรฐาน FIDO มีสองแบบ ได้แก่ UAF สำหรับการล็อกอินโดยไม่ต้องมีอุปกรณ์เพิ่มเติม และ U2F สำหรับการพิสูจน์ตัวตนแบบมีอุปกรณ์เพิ่ม
อ่านข้อมูล UAF ได้ที่ https://fidoalliance.org/specs/fido-uaf-v1.1-id-20170202/fido-uaf-overview-v1.1-id-20170202.html
หากต่อไปมาตรฐาน FIDO UAF เริ่มได้รับความนิยมจากผู้ใช้งานและผู้ให้บริการอย่างจริงจัง จะถือเป็นการเปลี่ยนผ่านเข้าสู่ยุค password-less experience อย่างแท้จริง โดยที่ไม่ต้องปวดหัวกับระบบ username / password อีกต่อไป
