FIDO2 คืออะไร
เรียนรู้ข้อมูลพื้นฐานของการรับรองความถูกต้องแบบไร้รหัสผ่าน FIDO2 ซึ่งรวมถึงวิธีการทํางานและช่วยปกป้องบุคคลและองค์กรจากการโจมตีออนไลน์ได้อย่างไร
คำจำกัดความของ FIDO2
FIDO2 (Fast IDentity Online 2) เป็นมาตรฐานแบบเปิดสำหรับการรับรองความถูกต้องผู้ใช้ที่มีจุดมุ่งหมายเพื่อเสริมความแข็งแกร่งให้กับวิธีการลงชื่อเข้าใช้บริการออนไลน์ของผู้คนเพื่อเพิ่มความไว้วางใจโดยรวม FIDO2 เพิ่มความปลอดภัยและปกป้องบุคคลและองค์กรจากอาชญากรรมไซเบอร์โดยใช้ข้อมูลประจําตัวการเข้ารหัสลับที่ป้องกันฟิชชิ่งเพื่อตรวจสอบข้อมูลประจําตัวของผู้ใช้
FIDO2 เป็นมาตรฐานการรับรองความถูกต้องแบบเปิดล่าสุดที่พัฒนาโดย FIDO Alliance ซึ่งเป็นกลุ่มอุตสาหกรรมที่ประกอบด้วย Microsoft และองค์กรอื่นๆ ในภาคเทคโนโลยี การพาณิชย์ และภาครัฐ กลุ่มพันธมิตรดังกล่าวได้เปิดตัวมาตรฐานการรับรองความถูกต้อง FIDO 1.0 ซึ่งนำเสนอการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ที่ป้องกันการฟิชชิ่งในปี 2014 และมาตรฐานการรับรองความถูกต้องแบบไร้รหัสผ่านล่าสุดอย่าง FIDO2 (หรือที่เรียกว่า FIDO 2.0 หรือ FIDO 2) ในปี 2018
หมายเลขรหัสผ่านคืออะไรและเกี่ยวข้องกับ FIDO2 อย่างไร
ไม่ว่ารหัสผ่านจะยาวหรือซับซ้อนเพียงใด หรือมีการเปลี่ยนบ่อยแค่ไหน รหัสผ่านอาจถูกบุกรุกได้โดยการแชร์โดยตั้งใจหรือไม่ตั้งใจ แม้ว่าจะมีโซลูชันการป้องกันรหัสผ่านที่แข็งแกร่ง แต่ทุกองค์กรก็ยังมีความเสี่ยงต่อการฟิชชิ่ง การแฮ็กและการโจมตีทางไซเบอร์อื่นๆ ที่ทำให้รหัสผ่านถูกขโมยได้ เมื่อตกไปอยู่ในมือของผู้ไม่หวังดี รหัสผ่านจะสามารถใช้เพื่อเข้าถึงบัญชี อุปกรณ์ และไฟล์ออนไลน์โดยไม่ได้รับอนุญาต
หมายเลขรหัสผ่านคือข้อมูลประจําตัวการลงชื่อเข้าใช้ของ FIDO2 ที่สร้างขึ้นโดยใช้การเข้ารหัสคีย์สาธารณะ การเปลี่ยนรหัสผ่านที่มีประสิทธิภาพจะเพิ่มการรักษาความปลอดภัยทางไซเบอร์ ในขณะเดียวกันก็ทำให้การลงชื่อเข้าใช้เว็บแอปพลิเคชันและเว็บไซต์ต่างๆ ที่รองรับนั้นก็ทำได้ง่ายกว่าวิธีการแบบดั้งเดิม
การรับรองความถูกต้องแบบไร้รหัสผ่าน FIDO2 อาศัยอัลกอริทึมการเข้ารหัสลับเพื่อสร้างคู่หมายเลขรหัสผ่านแบบส่วนตัวและสาธารณะ ซึ่งเป็นตัวเลข สุ่มขนาดยาวที่เกี่ยวข้องกันทางคณิตศาสตร์ คู่คีย์จะใช้เพื่อดําเนินการรับรองความถูกต้องของผู้ใช้โดยตรงบนอุปกรณ์ของผู้ใช้ ไม่ว่าจะเป็นคอมพิวเตอร์เดสก์ท็อป แล็ปท็อป โทรศัพท์มือถือ หรือคีย์ความปลอดภัย หมายเลขรหัสผ่านสามารถผูกไว้กับอุปกรณ์ของผู้ใช้รายเดียวหรือซิงค์โดยอัตโนมัติกับอุปกรณ์หลายเครื่องของผู้ใช้ผ่านบริการ Cloud
การรับรองความถูกต้อง FIDO2 ทำงานอย่างไร
การรับรองความถูกต้องแบบไร้รหัสผ่าน FIDO2 ทํางานโดยทั่วไปโดยใช้หมายเลขรหัสผ่านเป็นปัจจัยแรกและปัจจัยหลักสําหรับการรับรองความถูกต้องบัญชี กล่าวโดยสรุป เมื่อผู้ใช้ลงทะเบียนกับบริการออนไลน์ที่รองรับ FIDO2 อุปกรณ์ไคลเอ็นต์ที่ลงทะเบียนเพื่อดําเนินการรับรองความถูกต้องจะสร้างคู่คีย์ที่ใช้งานได้กับเว็บแอปหรือเว็บไซต์นั้นเท่านั้น
คีย์สาธารณะจะถูกเข้ารหัสลับและแชร์ให้กับบริการนั้น แต่คีย์ส่วนตัวจะยังคงอยู่ในอุปกรณ์ของผู้ใช้อย่างปลอดภัย จากนั้น ทุกครั้งที่ผู้ใช้พยายามลงชื่อเข้าใช้บริการ บริการดังกล่าวจะใช้กลไกการตรวจสอบเฉพาะกับเครื่องไคลเอ็นต์นั้น เครื่องไคลเอ็นต์จะเปิดใช้งานหมายเลขรหัสผ่านเพื่อเซ็นชื่อคําขอด้วยคีย์ส่วนตัวและส่งคืน ซึ่งทําให้กระบวนการดังกล่าวได้รับการปกป้องจากฟิชชิ่งโดยการเข้ารหัสลับ
ชนิดของ Authenticator สำหรับ FIDO2
ก่อนที่อุปกรณ์จะสามารถสร้างชุดหมายเลขรหัสผ่าน FIDO2 ที่ไม่ซ้ำกันได้ อุปกรณ์จะต้องยืนยันว่าผู้ใช้ที่กำลังร้องขอการเข้าถึงไม่ใช่ผู้ใช้ที่ไม่ได้รับอนุญาตหรือชนิดของมัลแวร์ ซึ่งทำได้โดยใช้ Authenticator ซึ่งเป็นอุปกรณ์ที่สามารถยอมรับ PIN, ข้อมูลไบโอเมตริก หรือรูปแบบอื่นๆ ของผู้ใช้ได้
Authenticator สำหรับ FIDO มีสองชนิด:
Authenticator แบบโรมมิ่ง (หรือข้ามแพลตฟอร์ม)
Authenticator เหล่านี้เป็นอุปกรณ์ฮาร์ดแวร์แบบพกพาที่แยกต่างหากจากอุปกรณ์ไคลเอ็นต์ของผู้ใช้ Authenticator แบบโรมมิ่งประกอบด้วยคีย์ความปลอดภัย สมาร์ทโฟน แท็บเล็ต อุปกรณ์สวมใส่ และอุปกรณ์อื่นๆ ที่เชื่อมต่อกับอุปกรณ์ไคลเอนต์ผ่านโปรโตคอล USB หรือการสื่อสารระยะใกล้ (NFC) และเทคโนโลยีไร้สาย Bluetooth ผู้ใช้จะยืนยันตัวตนของตนด้วยวิธีการที่หลากหลาย เช่น โดยการเสียบคีย์ FIDO และกดปุ่ม หรือโดยการระบุข้อมูลไบโอเมตริก เช่น ลายนิ้วมือ บนสมาร์ทโฟนของตน Authenticator แบบโรมมิ่งเรียกอีกอย่างว่า Authenticator ข้ามแพลตฟอร์ม เนื่องจากรูปแบบเหล่านี้อนุญาตให้ผู้ใช้ตรวจสอบความถูกต้องบนคอมพิวเตอร์หลายเครื่องได้ทุกที่ทุกเวลา
Authenticator ของแพลตฟอร์ม (หรือที่ผูกไว้)
Authenticator เหล่านี้จะฝังอยู่ในอุปกรณ์ไคลเอนต์ของผู้ใช้ ไม่ว่าจะเป็นเดสก์ท็อป แล็ปท็อป แท็บเล็ต หรือสมาร์ทโฟน ด้วยความสามารถด้านไบโอเมตริกและชิปฮาร์ดแวร์สำหรับการปกป้องหมายเลขรหัสผ่าน Authenticator ของแพลตฟอร์มกำหนดให้ผู้ใช้ลงชื่อเข้าใช้บริการที่รองรับ FIDO ด้วยอุปกรณ์ไคลเอนต์ จากนั้นจึงตรวจสอบสิทธิ์ผ่านอุปกรณ์เดียวกันซึ่งส่วนใหญ่ดำเนินการด้วยข้อมูลไบโอเมตริกหรือ PIN
ตัวอย่างของ Authenticator ของแพลตฟอร์มที่ใช้ข้อมูลไบโอเมตริก ได้แก่ Microsoft Windows Hello, Apple Touch ID และ Face ID และ Android Fingerprint
วิธีลงทะเบียนและลงชื่อเข้าใช้บริการที่รองรับ FIDO2:
เมื่อต้องการใช้ประโยชน์จากการรักษาความปลอดภัยที่เพิ่มขึ้นซึ่งการรับรองความถูกต้อง FIDO2 มีให้ ให้ทำตามขั้นตอนพื้นฐานเหล่านี้:
วิธีลงทะเบียนสำหรับบริการที่รองรับ FIDO2:
- ขั้นตอนที่ 1: เมื่อลงทะเบียนกับบริการหนึ่งๆ คุณจะได้รับพร้อมท์ให้เลือกวิธีการของ Authenticator สำหรับ FIDO ที่รองรับ
- ขั้นตอนที่ 2: เปิดใช้งาน Authenticator สำหรับ FIDO ด้วยรูปแบบง่ายๆ ที่ Authenticator รองรับ ไม่ว่าจะเป็นการป้อน PIN การแตะตัวอ่านลายนิ้วมือ หรือการใส่คีย์ความปลอดภัย FIDO2
- ขั้นตอนที่ 3: เมื่อเปิดใช้งาน Authenticator แล้ว อุปกรณ์ของคุณจะสร้างคู่คีย์ส่วนตัวและคีย์สาธารณะที่ไม่ซ้ำกันสําหรับอุปกรณ์ บัญชี และบริการของคุณ
- ขั้นตอนที่ 4: อุปกรณ์ในพื้นที่ของคุณจะจัดเก็บคีย์ส่วนตัวและข้อมูลที่เป็นความลับใดๆ ที่เกี่ยวข้องกับวิธีการรับรองความถูกต้องอย่างปลอดภัย เช่น ข้อมูลไบโอเมตริกของคุณ คีย์สาธารณะพร้อมกับรหัสข้อมูลประจำตัวที่สร้างขึ้นแบบสุ่มจะถูกเข้ารหัสลับและลงทะเบียนกับบริการและจัดเก็บไว้บนเซิร์ฟเวอร์ของ Authenticator
วิธีลงชื่อเข้าใช้บริการที่รองรับ FIDO2:
- ขั้นตอนที่ 1: บริการดังกล่าวจะออกคำถามทดสอบการเข้ารหัสลับเพื่อยืนยันสถานะของคุณ
- ขั้นตอนที่ 2: เมื่อได้รับพร้อมท์ ให้ดําเนินการตามรูปแบบของ Authenticator เดียวกันกับที่ใช้ระหว่างการลงทะเบียนบัญชี เมื่อคุณยืนยันสถานะของคุณด้วยรูปแบบดังกล่าวแล้ว อุปกรณ์ของคุณจะใช้คีย์ส่วนตัวที่จัดเก็บไว้ภายในอุปกรณ์ของคุณเพื่อเซ็นชื่อในคำถามทดสอบนั้น
- ขั้นตอนที่ 3: อุปกรณ์ของคุณส่งคำถามทดสอบที่เซ็นชื่อแล้วกลับไปยังบริการนั้น ซึ่งจะตรวจสอบด้วยคีย์สาธารณะที่ลงทะเบียนไว้อย่างปลอดภัย
- ขั้นตอนที่ 4: เมื่อเสร็จแล้ว ระบบก็จะนำคุณเข้าสู่ระบบ
การรับรองความถูกต้อง FIDO2 มีประโยชน์อย่างไร
เพิ่มการรักษาความปลอดภัย
การรับรองความถูกต้องแบบไร้รหัสผ่าน FIDO2 ช่วยเพิ่มความปลอดภัยในการเข้าสู่ระบบได้อย่างมากโดยใช้หมายเลขรหัสผ่านที่ไม่ซ้ำกัน ด้วย FIDO2 แฮกเกอร์จะไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนนี้ได้อย่างง่ายดายผ่านการโจมตีแบบฟิชชิ่ง แรนซัมแวร์และการดําเนินการทั่วไปอื่นๆ ของการโจรกรรมทางไซเบอร์ นอกจากนี้ ไบโอเมตริกและคีย์ FIDO2 ยังช่วยขจัดช่องโหว่ในวิธีการรับรองความถูกต้องโดยใช้หลายปัจจัยแบบดั้งเดิม เช่น การส่งรหัสผ่านแบบใช้ครั้งเดียว (OTP) ผ่านทางข้อความ
ปรับปรุงความเป็นส่วนตัวของผู้ใช้
การรับรองความถูกต้อง FIDO ช่วยเพิ่มความเป็นส่วนตัวของผู้ใช้โดยการจัดเก็บคีย์การเข้ารหัสลับส่วนตัวและข้อมูลไบโอเมตริกบนอุปกรณ์ของผู้ใช้อย่างปลอดภัย นอกจากนี้ เนื่องจากวิธีการรับรองความถูกต้องนี้จะสร้างคู่คีย์ที่ไม่ซ้ำกัน จึงช่วยป้องกันไม่ให้ผู้ให้บริการติดตามผู้ใช้ข้ามไซต์ นอกจากนี้ เพื่อเป็นการตอบสนองต่อข้อกังวลของผู้บริโภคเกี่ยวกับการใช้ข้อมูลไบโอเมตริกในทางที่ผิด รัฐบาลต่างๆ กำลังออกกฎหมายความเป็นส่วนตัวที่ป้องกันไม่ให้องค์กรขายหรือแบ่งปันข้อมูลไบโอเมตริก
ช่วยให้ใช้งานได้สะดวก
ด้วยการรับรองความถูกต้อง FIDO บุคคลสามารถรับรองความถูกต้องข้อมูลประจําตัวของตนได้อย่างรวดเร็วและสะดวกโดยใช้คีย์ FIDO2, แอป Authenticator หรือตัวอ่านลายนิ้วมือหรือกล้องที่ฝังอยู่ในอุปกรณ์ของตน แม้ว่าผู้ใช้จะต้องดําเนินการขั้นตอนการรักษาความปลอดภัยในขั้นตอนที่สองหรือขั้นตอนที่สามก็ตาม (เช่น เมื่อจําเป็นต้องใช้ไบโอเมตริกมากกว่าหนึ่งรายการสําหรับการตรวจสอบข้อมูลประจําตัว) แต่ก็ช่วยให้ผู้ใช้จะประหยัดเวลาและความยุ่งยากที่เกี่ยวข้องกับการสร้าง จดจํา จัดการ และการรีเซ็ตรหัสผ่าน
ปรับปรุงความสามารถในการปรับขนาด
FIDO2 เป็นมาตรฐานแบบเปิดและไม่มีใบอนุญาตให้ใช้งานที่ช่วยให้ธุรกิจและองค์กรอื่นๆ สามารถปรับขนาดวิธีการรับรองความถูกต้องแบบไร้รหัสผ่านได้ทั่วโลก ด้วย FIDO2 องค์กรเหล่านั้นสามารถมอบประสบการณ์การลงชื่อเข้าใช้ที่ปลอดภัยและคล่องตัวให้กับพนักงาน ลูกค้า และคู่ค้าได้ทั้งหมด ไม่ว่าจะเลือกใช้เบราว์เซอร์และแพลตฟอร์มใด
ลดความซับซ้อนในการจัดการการเข้าถึง
ทีม IT ไม่จําเป็นต้องปรับใช้และจัดการนโยบายเกี่ยวกับรหัสผ่านและโครงสร้างพื้นฐานอีกต่อไป ซึ่งช่วยลดค่าใช้จ่ายและทำให้พวกเขามีเวลามุ่งเน้นไปที่กิจกรรมที่มีมูลค่าสูงกว่าได้ นอกจากนี้ ยังทำให้ประสิทธิภาพการทํางานของเจ้าหน้าที่ให้ความช่วยเหลือเพิ่มขึ้นด้วย เนื่องจากพวกเขาไม่จําเป็นต้องให้ความช่วยเหลือสำหรับคําขอที่ใช้รหัสผ่าน เช่น การรีเซ็ตรหัสผ่าน
WebAuthn และ CTAP2 คืออะไร
ชุดข้อกำหนด FIDO2 มีองค์ประกอบ 2 ส่วน: Web Authentication (WebAuthn) และ Client-to-Authenticator Protocol 2 (CTAP2) องค์ประกอบหลักคือ WebAuthn เป็น JavaScript API ที่ใช้งานบนเว็บเบราว์เซอร์และแพลตฟอร์มที่ตรงตามมาตรฐาน เพื่อให้อุปกรณ์ที่ลงทะเบียนสามารถ ทำการรับรองความถูกต้อง FIDO2 ได้ World Wide Web Consortium (W3C) ซึ่งเป็นองค์กรมาตรฐานสากลสําหรับเวิลด์ไวด์เว็บ ที่พัฒนา WebAuthn ร่วมกับ FIDO Alliance WebAuthn ได้กลายเป็นมาตรฐานของเว็บไซต์ W3C อย่างเป็นทางการในปี 2019
องค์ประกอบที่สองคือ CTAP2 ซึ่งพัฒนาโดย FIDO Alliance ช่วยให้ Authenticator แบบโรมมิ่ง เช่น คีย์ความปลอดภัย FIDO2 และอุปกรณ์เคลื่อนที่ สามารถสื่อสารกับเบราว์เซอร์และแพลตฟอร์มที่รองรับ FIDO2 ได้
FIDO U2F และ FIDO UAF คืออะไร
FIDO2 ได้รับการพัฒนาจาก FIDO 1.0 ซึ่งเป็นข้อกําหนดการรับรองความถูกต้องของ FIDO เวอร์ชันแรกที่เผยแพร่โดยพันธมิตรในปี 2014 ข้อกำหนดเฉพาะดั้งเดิมเหล่านี้ประกอบด้วยโปรโตคอล FIDO Universal Second Factor (FIDO U2F) และโปรโตคอล FIDO Universal Authentication Framework (FIDO UAF)
ทั้ง FIDO U2F และ FIDO UAF เป็นรูปแบบของการรับรองความถูกต้องโดยใช้หลายปัจจัยซึ่งต้องใช้หลักฐาน (หรือปัจจัย) สองหรือสามชิ้นเพื่อตรวจสอบความถูกต้องของผู้ใช้ ปัจจัยเหล่านี้อาจเป็นสิ่งที่มีเพียงผู้ใช้เท่านั้นที่ทราบ (เช่น รหัสผ่านหรือ PIN), ครอบครอง (เช่น คีย์ FIDO หรือแอป Authenticator บนอุปกรณ์เคลื่อนที่) หรือเป็นอยู่ (เช่น ไบโอเมตริก)
เรียนรู้เพิ่มเติมเกี่ยวกับข้อกำหนดเหล่านี้:
FIDO U2F
FIDO U2F เสริมความแข็งแกร่งให้กับมาตรฐานการอนุญาตที่ใช้รหัสผ่านด้วยการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ซึ่งตรวจสอบผู้ใช้ด้วยหลักฐานสองชิ้น โปรโตคอล FIDO U2F กําหนดให้บุคคลต้องระบุชื่อผู้ใช้และรหัสผ่านที่ถูกต้องเป็นปัจจัยแรก จากนั้นใช้อุปกรณ์ USB, NFC หรือ Bluetooth เป็นปัจจัยที่สอง ซึ่งโดยทั่วไปแล้วจะรับรองความถูกต้องโดยการกดปุ่มหรือป้อน OTP ภายในเวลาที่กำหนด
FIDO U2F เป็นรุ่นหลังของ CTAP 1 และเป็นรุ่นก่อนหน้าของ CTAP2 ซึ่งอนุญาตให้บุคคลสามารถใช้อุปกรณ์เคลื่อนที่เป็นอุปกรณ์ปัจจัยที่สอง นอกเหนือจากคีย์ FIDO
FIDO UAF
FIDO UAF อํานวยความสะดวกในการรับรองความถูกต้องแบบไร้รหัสผ่านโดยใช้หลายปัจจัย โดยกำหนดให้บุคคลลงชื่อเข้าใช้ด้วยอุปกรณ์ไคลเอ็นต์ที่ลงทะเบียน FIDO ซึ่งจะยืนยันการมีอยู่ของผู้ใช้ด้วยการตรวจสอบไบโอเมตริก เช่น การสแกนลายนิ้วมือหรือใบหน้า หรือด้วย PIN เป็นปัจจัยแรก จากนั้นอุปกรณ์จะสร้างคู่คีย์ที่ไม่ซ้ำกันเป็นปัจจัยที่สอง นอกจากนี้ เว็บไซต์หรือแอปยังอาจใช้ปัจจัยที่สามด้วย เช่น ไบโอเมตริกหรือตําแหน่งที่ตั้งทางภูมิศาสตร์ของผู้ใช้
FIDO UAF คือรุ่นก่อนหน้าของการรับรองความถูกต้องแบบไร้รหัสผ่าน FIDO2
วิธีการนำ FIDO2 ไปใช้
การนำมาตรฐาน FIDO2 ไปใช้บนเว็บไซต์และแอปกำหนดให้องค์กรของคุณต้องมีฮาร์ดแวร์และซอฟต์แวร์ที่ทันสมัย โชคดีที่แพลตฟอร์มเว็บชั้นนําทั้งหมด รวมถึงระบบ Microsoft Windows, Apple iOS และ MacOS และ Android และเว็บเบราว์เซอร์หลักทั้งหมด รวมถึง Microsoft Edge, Google Chrome, Apple Safari และ Mozilla Firefox สนับสนุน FIDO2 นอกจากนี้ โซลูชันระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร (IAM) ของคุณต้องรองรับการรับรองความถูกต้อง FIDO2 ด้วย
โดยทั่วไปแล้ว การใช้การรับรองความถูกต้อง FIDO2 ในเว็บไซต์และแอปใหม่หรือที่มีอยู่จะมีขั้นตอนสําคัญเหล่านี้:
- กําหนดประสบการณ์การเข้าสู่ระบบของผู้ใช้และวิธีการรับรองความถูกต้อง และตั้งค่านโยบายการควบคุมการเข้าถึง
- สร้างใหม่หรือปรับเปลี่ยนหน้าการลงทะเบียนและการลงชื่อเข้าใช้ที่มีอยู่ด้วยข้อกำหนดโปรโตคอล FIDO ที่เหมาะสม
- ตั้งค่าเซิร์ฟเวอร์ FIDO เพื่อรับรองความถูกต้องของการลงทะเบียน FIDO และการร้องขอการรับรองความถูกต้อง เซิร์ฟเวอร์ FIDO อาจเป็นเซิร์ฟเวอร์แบบสแตนด์อโลน ผสานรวมกับเซิร์ฟเวอร์เว็บหรือแอปพลิเคชัน หรือเป็นมอดูล IAM
- สร้างใหม่หรือปรับเปลีย่ยนเวิร์กโฟลว์การรับรองความถูกต้องที่มีอยู่
FIDO2 และการรับรองความถูกต้องทางด้วยไบโอเมตริก
การรับรองความถูกต้องด้วยไบโอเมตริกจะใช้ลักษณะเฉพาะทางชีวภาพหรือพฤติกรรมของบุคคลเพื่อยืนยันว่าบุคคลนั้นคือบุคคลที่พวกเขาอ้างว่าเป็น ข้อมูลไบโอเมตริกจะถูกรวบรวมและแปลงเป็นเทมเพลตไบโอเมตริกที่สามารถเข้าถึงได้ด้วยอัลกอริธึมที่เป็นความลับเท่านั้น เมื่อบุคคลพยายามลงชื่อเข้าใช้ ระบบจะเรียกคืนข้อมูล แปลงข้อมูลและเปรียบเทียบข้อมูลนั้นกับข้อมูลไบโอเมตริกที่จัดเก็บไว้
ตัวอย่างของการรับรองความถูกต้องด้วยไบโอเมตริกมีดังต่อไปนี้:
ทางชีวภาพ
- การสแกนลายนิ้วมือ
- การสแกนเรตินา
- การรู้จำเสียง
- การจับคู่ DNA
- การสแกนเส้นเลือด
ทางพฤติกรรม
- การใช้หน้าจอสัมผัส
- ความเร็วในการพิมพ์
- แป้นพิมพ์ลัด
- กิจกรรมของเมาส์
การรับรองความถูกต้องด้วยไบโอเมตริกเกิดขึ้นได้จริงในสถานที่ทำงานแบบไฮบริดที่ใช้เทคโนโลยีดิจิทัลในปัจจุบัน พนักงานต่างชื่นชอบเนื่องจากให้ความยืดหยุ่นในการรับรองความถูกต้องได้อย่างรวดเร็วและปลอดภัยในทุกที่ที่พวกเขาเลือก ธุรกิจต่างชื่นชอบเนื่องจากจะเป็นการลดพื้นหน้าของการโจมตีได้อย่างมาก เพื่อเป็นการกีดกันอาชญากรรมทางไซเบอร์ที่อาจมุ่งเป้าไปที่ข้อมูลและระบบของพวกเขา
อย่างไรก็ตาม การรับรองความถูกต้องด้วยไบโอเมตริกไม่ได้ป้องกันแฮ็กเกอร์ได้ทั้งหมด ตัวอย่างเช่น ผู้ไม่ประสงค์ดีอาจใช้ข้อมูลไบโอเมตริกของบุคคลอื่น เช่น รูปถ่ายหรือลายนิ้วมือที่เป็นซิลิโคนเพื่อแอบอ้างเป็นบุคคลนั้น หรือพวกเขาอาจรวมภาพสแกนลายนิ้วมือหลายรายการเพื่อสร้างภาพสแกนหลักที่ทำให้พวกเขาสามารถเข้าถึงบัญชีผู้ใช้หลายบัญชีได้
ยังมีข้อเสียอื่นๆ อีกในการรับรองความถูกต้องด้วยไบโอเมตริก ตัวอย่างเช่น ระบบจดจำใบหน้าบางระบบมีลักษณะเอนเอียงโดยธรรมชาติต่อผู้หญิงและคนผิวสี นอกจากนี้ บางองค์กรเลือกที่จะจัดเก็บข้อมูลไบโอเมตริกไว้ในเซิร์ฟเวอร์ฐานข้อมูลแทนที่จะจัดเก็บบนอุปกรณ์ของผู้ใช้ ทำให้เกิดคำถามเกี่ยวกับความปลอดภัยและความเป็นส่วนตัว อย่างไรก็ตาม การรับรองความถูกต้องด้วยไบโอเมตริกโดยใช้หลายปัจจัยยังคงเป็นหนึ่งในวิธีการที่ปลอดภัยที่สุดในการตรวจสอบตัวตนของผู้ใช้ในปัจจุบัน
ตัวอย่างของการรับรองความถูกต้องด้วย FIDO2
การธนาคาร บริการทางการเงิน และการประกันภัย
เพื่อปกป้องข้อมูลธุรกิจและลูกค้าที่ละเอียดอ่อน พนักงานที่ทำงานในสำนักงานของบริษัทมักใช้เดสก์ท็อปหรือแล็ปท็อปที่บริษัทจัดหาให้พร้อม Authenticator ของแพลตฟอร์ม นโยบายบริษัทจะห้ามไม่ให้พวกเขาใช้อุปกรณ์เหล่านี้เพื่อการใช้งานส่วนตัว พนักงานประจำสาขาและพนักงานในศูนย์บริการทางโทรศัพท์มักใช้อุปกรณ์ที่ใช้ร่วมกันและยืนยันข้อมูลประจําตัวของพวกตนโดยใช้ Authenticator แบบโรมมิ่ง
การบินและสายการบิน
องค์กรในอุตสาหกรรมเหล่านี้ยังต้องอำนวยความสะดวกบุคคลที่ทำงานในสภาพแวดล้อมที่แตกต่างกันและมีความรับผิดชอบที่แตกต่างกันอีกด้วย ผู้บริหาร ทรัพยากรบุคคล และพนักงานที่ทํางานในสํานักงานอื่นๆ มักจะใช้เดสก์ท็อปและแล็ปท็อปเฉพาะ และรับรองความถูกต้องด้วย Authenticator ของแพลตฟอร์มหรือแบบโรมมิ่ง เจ้าหน้าที่ประจำเกตของสนามบิน ช่างซ่อมบำรุงอากาศยาน และลูกเรือมักใช้คีย์ความปลอดภัยของฮาร์ดแวร์หรือแอป Authenticator บนสมาร์ทโฟนส่วนตัวเพื่อตรวจสอบความถูกต้องบนแท็บเล็ตหรือเวิร์กสเตชันที่ใช้ร่วมกัน
การผลิต
เพื่อให้มั่นใจในความปลอดภัยทางกายภาพของโรงงานผลิต พนักงานที่ได้รับอนุญาตและบุคคลอื่นๆ จะใช้ Authenticator แบบโรมมิ่ง เช่น สมาร์ทการ์ดที่เปิดใช้งาน FIDO2 และคีย์ FIDO2 หรือสมาร์ทโฟนส่วนตัวที่ลงทะเบียนไว้พร้อม Authenticator ของแพลตฟอร์มเพื่อปลดล็อคประตู นอกจากนี้ ทีมออกแบบผลิตภัณฑ์มักจะใช้เดสก์ท็อปหรือแล็ปท็อปเฉพาะที่มี Authenticator ของแพลตฟอร์มเพื่อเข้าถึงระบบการออกแบบออนไลน์ที่มีข้อมูลที่เป็นกรรมสิทธิ์เฉพาะ
บริการฉุกเฉิน
หน่วยงานรัฐบาลและผู้ให้บริการฉุกเฉินอื่นๆ ไม่สามารถรับรองความถูกต้องของหน่วยแพทย์และผู้ปฏิบัติการฉุกเฉินรายอื่นๆ ด้วยการสแกนลายนิ้วมือหรือม่านตาได้เสมอไป บ่อยครั้งที่บุคคลเหล่านี้สวมถุงมือหรืออุปกรณ์ป้องกันตาในขณะเดียวกันพวกเขาก็จำเป็นต้องเข้าถึงบริการออนไลน์อย่างรวดเร็ว ในกรณีเหล่านี้ จะมีการระบุตัวตนของพวกเขาผ่านระบบการรู้จำเสียงแทน เทคโนโลยีใหม่ๆ สำหรับการสแกนลักษณะใบหูด้วยสมาร์ทโฟนก็สามารถนำมาใช้ได้เช่นกัน
สร้างความปลอดภัยที่วางใจได้ด้วย FIDO2
การรับรองความถูกต้องแบบไร้รหัสผ่านกำลังกลายเป็นแนวทางปฏิบัติที่ดีที่สุดสำหรับ IAM อย่างรวดเร็ว เมื่อใช้ FIDO2 คุณจะทราบว่าคุณกําลังใช้มาตรฐานที่เชื่อถือได้เพื่อให้แน่ใจว่าผู้ใช้ก็เป็นผู้ใช้อย่างที่เขาพูดจริงๆ
เมื่อต้องการเริ่มต้นใช้งาน FIDO2 ให้ประเมินข้อกําหนดเฉพาะขององค์กรและอุตสาหกรรมของคุณอย่างรอบคอบสําหรับการตรวจสอบข้อมูลประจําตัว จากนั้น ปรับปรุงการใช้งาน FIDO2 ด้วย Microsoft Entra ID (ก่อนหน้านี้เรียกว่า Azure Active Directory) ตัวช่วยสร้างวิธีการแบบไร้รหัสผ่านใน Microsoft Entra ID ช่วยให้การจัดการ Windows Hello สำหรับธุรกิจ, แอป Microsoft Authenticator และคีย์ความปลอดภัย FIDO2 ง่ายขึ้น
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
Microsoft Entra ID (ก่อนหน้านี้เรียกว่า Azure Active Directory)
ปกป้องการเข้าถึงทรัพยากรและข้อมูลโดยใช้การการรับรองความถูกต้องที่รัดกุมและการเข้าถึงแบบปรับเปลี่ยนได้ตามความเสี่ยง
Microsoft Entra Identity Governance
เพิ่มประสิทธิภาพการทํางานและเสริมสร้างความปลอดภัยด้วยทำให้การเข้าถึงแอปและบริการเป็นแบบอัตโนมัติ
Microsoft Entra Verified ID
ออกและตรวจสอบสถานที่ทํางานและข้อมูลประจําตัวอื่นๆ ได้อย่างมั่นใจด้วยโซลูชันมาตรฐานแบบเปิด
Microsoft Entra Workload ID
ลดความเสี่ยงโดยการให้สิทธิ์การเข้าถึงทรัพยากรระบบคลาวด์แบบมีเงื่อนไขแก่แอปและบริการทั้งหมดในที่เดียว
คำถามที่ถามบ่อย
-
FIDO2 ย่อจาก (Fast IDentity Online 2) ซึ่งเป็นมาตรฐานการรับรองความถูกต้องแบบเปิดล่าสุดที่เผยแพร่โดย FIDO Alliance กลุ่มพันธมิตรนี้ซึ่งประกอบด้วย Microsoft และองค์กรอื่นๆ ในภาคเทคโนโลยี การพาณิชย์ และภาครัฐ พยายามหาวิธีที่ไม่ต้องใช้รหัสผ่านบนเวิลด์ไวด์เว็บ
ข้อกําหนดของ FIDO2 ประกอบด้วย Web Authentication (WebAuthn) ซึ่งเป็น API ของเว็บที่ช่วยให้บริการออนไลน์สามารถสื่อสารกับ Authenticator ของแพลตฟอร์ม FIDO2 (เช่น เทคโนโลยีการจดจําลายนิ้วมือและใบหน้าที่ฝังอยู่ในเว็บเบราว์เซอร์และแพลตฟอร์ม) WebAuthn พัฒนาโดย World Wide Web Consortium (W3C) ร่วมกับ FIDO Alliance จึงเป็นมาตรฐาน W3C อย่างเป็นทางการ
FIDO2 ยังประกอบด้วย Client-to-Authenticator Protocol 2 (CTAP2) ซึ่งพัฒนาโดยกลุ่มพันธมิตรนี้อีกด้วย CTAP2 จะเชื่อมต่อ Authenticator แบบโรมมิ่ง (เช่น คีย์ความปลอดภัย FIDO2 ภายนอกและอุปกรณ์เคลื่อนที่) เข้ากับอุปกรณ์ไคลเอ็นต์ FIDO2 ผ่าน USB, BLE หรือ NFC
-
FIDO2 เป็นมาตรฐานแบบเปิดและไม่มีใบอนุญาตให้ใช้งานสำหรับการรับรองความถูกต้องแบบไร้รหัสผ่านโดยใช้หลายปัจจัยในสภาพแวดล้อมมือถือและเดสก์ท็อป FIDO2 จะทำงานโดยใช้การเข้ารหัสลับคีย์สาธารณะแทนรหัสผ่านเพื่อตรวจสอบความถูกต้องของข้อมูลประจำตัวของผู้ใช้ ขัดขวางอาชญากรไซเบอร์ที่พยายามขโมยข้อมูลประจำตัวของผู้ใช้ผ่านฟิชชิ่ง มัลแวร์ และการโจมตีที่ใช้รหัสผ่านอื่นๆ
-
ประโยชน์ของการรับรองความถูกต้อง FIDO2 ได้แก่ ความปลอดภัยและความเป็นส่วนตัวที่มากขึ้น ประสบการณ์ที่ใช้งานง่าย และความสามารถในการปรับขนาดที่ดีขึ้น FIDO2 ยังลดความซับซ้อนในการควบคุมการเข้าถึงสําหรับทีม IT และเจ้าหน้าที่ให้ความช่วยเหลือโดยการลดปริมาณงานและค่าใช้จ่ายที่เกี่ยวข้องกับการจัดการชื่อผู้ใช้และรหัสผ่าน
-
คีย์ FIDO2 หรือที่เรียกว่าคีย์ความปลอดภัย FIDO2 เป็นอุปกรณ์ฮาร์ดแวร์ทางกายภาพที่จําเป็นสําหรับการรับรองความถูกต้องแบบสองปัจจัยและแบบหลายปัจจัย ทําหน้าที่เป็นตัวรับรองความถูกต้องของ FIDO แบบโรมมิ่ง โดยใช้ USB, NFC หรือ Bluetooth เพื่อเชื่อมต่อกับอุปกรณ์ไคลเอ็นต์ FIDO2 ทำให้ผู้ใช้สามารถรับรองความถูกต้องบนคอมพิวเตอร์หลายเครื่อง ไม่ว่าจะอยู่ในสํานักงาน ที่บ้าน หรือในสภาพแวดล้อมอื่น
อุปกรณ์ไคลเอ็นต์จะยืนยันข้อมูลประจําตัวของผู้ใช้โดยขอให้ผู้ใช้ใช้คีย์ FIDO2 เพื่อดำเนินการตามรูปแบบ เช่น การสัมผัสตัวอ่านลายนิ้วมือ การกดปุ่ม หรือการใส่ PIN คีย์ FIDO2 ได้แก่ แป้นปลั๊กอิน สมาร์ทโฟน แท็บเล็ต อุปกรณ์สวมใส่ และอุปกรณ์อื่นๆ
-
องค์กรต่างๆ จะปรับใช้วิธีการรับรองความถูกต้อง FIDO2 โดยอิงตามข้อกำหนดเฉพาะด้านความปลอดภัย ลอจิสติกส์ และอุตสาหกรรมขององค์กร
ตัวอย่างเช่น ธนาคารและผู้ผลิตที่ขับเคลื่อนด้วยการวิจัยมักต้องการให้พนักงานในสำนักงานและพนักงานคนอื่นๆ ใช้เดสก์ท็อปและแล็ปท็อปที่บริษัทจัดหาให้สำหรับธุรกิจเท่านั้นกับ Authenticator ของแพลตฟอร์ม องค์กรที่มีผู้คนเดินทางตลอดเวลา เช่น ลูกเรือของสายการบินและทีมตอบสนองเหตุฉุกเฉิน มักจะเข้าถึงแท็บเล็ตหรือเวิร์กสเตชันที่ใช้ร่วมกันแล้วรับรองความถูกต้องโดยใช้คีย์ความปลอดภัยหรือแอป Authenticator บนสมาร์ทโฟนของพวกเขา
ติดตาม Microsoft Security