โปรโตคอล FIDO2 จะจัดเก็บคีย์การตรวจสอบสิทธิ์บนอุปกรณ์ของผู้ใช้ในสภาวะออฟไลน์เท่านั้น ดังนั้นจึงมีความปลอดภัย เชื่อถือได้ และใช้งานง่ายกว่ามาก
อัปเดต 2 (13/08/19 @ 9:50 น. ET): Google กำลังเปิดตัวการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน FIDO2 สำหรับบัญชี Google บนอุปกรณ์ Android
อัปเดต 1 (5/7/19 @ 13:31 น. ET): Google มี ประกาศแล้ว ความพร้อมใช้งานทั่วไปของคุณสมบัติใหม่นี้ ทำให้คุณสามารถใช้โทรศัพท์ของคุณเป็นรหัสความปลอดภัยสำหรับการตรวจสอบสิทธิ์แบบสองขั้นตอน
การมีชีวิตอยู่ในโลกที่ไร้รหัสผ่านคืออนาคตที่ผู้ที่ชื่นชอบเทคโนโลยีหลายคนใฝ่ฝัน ไม่มีการทางพิเศษแห่งประเทศไทยหรือแถบความคืบหน้าเกี่ยวกับจุดสูงสุดของความก้าวหน้าของเทคโนโลยีนี้ แต่การมาถึงนั้นเป็นสิ่งที่หลีกเลี่ยงไม่ได้ รหัสผ่านเป็นวันที่ ลืมได้ง่าย และมักไม่ปลอดภัย แม้ว่าคุณจะใช้มาตรการเพิ่มเติมก็ตาม เช่น การตรวจสอบสิทธิ์แบบ 2 ปัจจัย เช่นเดียวกับเทรนด์สำคัญๆ ที่กำลังจะเกิดขึ้น Google ก็มีบทบาทในเทรนด์นี้เช่นกัน สิ่งนี้ไม่น่าแปลกใจเลยสักนิด เมื่อพิจารณาว่าบริษัทนี้เป็นเจ้าของระบบปฏิบัติการมือถือ เว็บเบราว์เซอร์ และเครื่องมือค้นหาที่ได้รับความนิยมสูงสุด Google ทำงานเพื่อพัฒนาเทคโนโลยีนี้ร่วมกับพันธมิตรเช่น Microsoft และยักษ์ใหญ่ด้านเทคโนโลยีอื่นๆ ในช่วงสองสามปีที่ผ่านมา เมื่อวานนี้ บริษัทได้ก้าวไปอีกขั้นสู่ฟีเจอร์ไร้รหัสผ่าน
พันธมิตร FIDO ประกาศแล้ว ที่งาน Mobile World Congress เมื่อวานนี้ว่า Android ได้รับการรับรอง FIDO2 แล้ว หากคุณไม่เคยได้ยินเรื่องนี้มาก่อน FIDO Alliance คือสมาคมที่ทำงานและกำหนดมาตรฐานของการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน สมาชิกบางส่วนของพันธมิตร ได้แก่ Google, Facebook, GitHub, Dropbox, eBay และอีกมากมาย นอกจากพันธมิตรจากทั่วทุกมุมโลกแล้ว FIDO Alliance ยังทำงานเกี่ยวกับการรับรอง FIDO2 มาสองสามปีที่ผ่านมา
นอกเหนือจากการปรับปรุงความสะดวกและการใช้งานที่ชัดเจนเหนือรหัสผ่านที่ลงวันที่ปกติแล้ว โปรโตคอล FIDO2 ยังให้ความปลอดภัยที่ดีกว่ามากอีกด้วย ตามธรรมเนียมแล้ว คุณจะเห็นว่าการรับรองความถูกต้องผ่านรหัสผ่านทำงานในลักษณะนี้ ทั้งผู้ใช้และบริการมีรหัสลับเก็บไว้บนเซิร์ฟเวอร์และอุปกรณ์ ในระหว่างกระบวนการตรวจสอบสิทธิ์ ผู้ใช้จะส่งรหัสผ่านไปยังเซิร์ฟเวอร์ ซึ่งมีการเข้ารหัสและตรวจสอบกับคีย์ที่เก็บไว้ หากคีย์ตรงกัน ผู้ใช้จะสามารถเข้าถึงบัญชี/เนื้อหาของตนได้ ตอนนี้ วิธีการนี้มีข้อบกพร่องใหญ่: คีย์การรับรองความถูกต้องจะถูกจัดเก็บไว้ในตำแหน่งที่แตกต่างกันสองแห่ง ซึ่งทำให้เสี่ยงต่อการถูกโจมตีมากขึ้น 2 เท่า จริงอยู่ที่มีวิธีต่างๆ เช่น การเข้ารหัสจากต้นทางถึงปลายทางเพื่อป้องกัน แต่แฮกเกอร์มักจะคิดหาวิธีใหม่ๆ เพื่อใช้ประโยชน์จากข้อบกพร่องที่ชัดเจนเหล่านี้
โปรโตคอล FIDO2 จะจัดเก็บคีย์การตรวจสอบสิทธิ์บนอุปกรณ์ของผู้ใช้ในสภาวะออฟไลน์เท่านั้น ดังนั้นจึงมีความปลอดภัย เชื่อถือได้ และใช้งานง่ายกว่ามาก ขณะนี้การรับรอง FIDO2 มีให้บริการบนอุปกรณ์เคลื่อนที่ทุกเครื่องที่ใช้ Android 7.0 Nougat หรือใหม่กว่า นักพัฒนาแอปพลิเคชันบนมือถือและเว็บสามารถใช้ API เพื่อนำคุณลักษณะนี้ไปใช้กับบริการของตนเองได้แล้ว
อัปเดต 2: บัญชี Google
Google ได้เริ่มเปิดตัวการรับรองความถูกต้องแบบไม่ใช้รหัสผ่าน FIDO2 กับบัญชี Google บนอุปกรณ์ Android 7+ ตั้งแต่วันนี้เป็นต้นไปกับอุปกรณ์ Pixel ผู้ใช้สามารถใช้ลายนิ้วมือหรือวิธีล็อกหน้าจอแทนการพิมพ์รหัสผ่านเมื่อเข้าชมบริการบางอย่างของ Google ซึ่งหมายความว่าผู้ใช้สามารถลงทะเบียนนิ้วของตนได้เพียงครั้งเดียวและใช้สำหรับบริการเนทีฟและเว็บต่างๆ ลายนิ้วมือจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ของ Google
หากต้องการทดลองใช้ทันทีไปที่ รหัสผ่าน.google.comเลือกไซต์เพื่อดูหรือจัดการรหัสผ่านที่บันทึกไว้ และปฏิบัติตามคำแนะนำเพื่อยืนยันตัวตนของคุณ
แหล่งที่มา: Google