องค์กรต่างๆ ทั่วโลกเร่งใช้ระบบ 'ไร้รหัสผ่าน' ยกระดับความปลอดภัย ลดความยุ่งยากในการทำงาน
องค์กรธุรกิจจำนวนมากขึ้นกำลังเปลี่ยนให้พนักงานหันไปใช้ระบบยืนยันตัวตนแบบไร้รหัสผ่าน (passwordless authentication) เพื่อแก้ไขปัญหาความยุ่งยากและช่องโหว่ด้านความปลอดภัยที่เกิดจากรหัสผ่านแบบดั้งเดิม ผู้นำด้านความปลอดภัยทางไซเบอร์ต่างเห็นตรงกันว่า ไม่มีใครชื่นชอบรหัสผ่านเลย และแม้แต่วิธีการยืนยันตัวตนชั้นนำอย่าง Multi-Factor Authentication (MFA) ก็เริ่มแสดงให้เห็นถึงความล้าสมัยแล้ว
ปัญหาที่รหัสผ่านสร้างไว้สำหรับพนักงาน รหัสผ่านสร้างความไม่สะดวกในการเข้าถึงอุปกรณ์และทรัพยากรต่างๆ ขณะที่สำหรับผู้บริหารความปลอดภัยสารสนเทศ (CISOs) การที่พนักงานเขียนรหัสผ่านทิ้งไว้บนโต๊ะทำงานหรือโพสต์อิทบนคอมพิวเตอร์คือฝันร้าย นอกจากนี้ การรีเซ็ตรหัสผ่านยังสร้างภาระค่าใช้จ่ายสูง โดยบริษัทวิจัย Forrester ประเมินว่า ค่าใช้จ่ายในการรีเซ็ตรหัสผ่านหนึ่งครั้งอาจสูงถึง 70 ดอลลาร์ ซึ่งเพิ่มขึ้นอย่างรวดเร็วสำหรับองค์กรขนาดใหญ่
Srikara Rao ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ R Systems International กล่าวว่า ภัยคุกคามในปัจจุบันได้พัฒนาไปไกลเกินกว่าที่ MFA แบบดั้งเดิมจะรับมือได้ โดยระบุว่า การโจมตีที่ใช้ข้อมูลประจำตัว (credential-based attacks) ยังคงเป็นช่องทางคุกคามอันดับต้นๆ และมีความพยายามในการโจมตีแบบฟิชชิ่งเพิ่มขึ้นอย่างมีนัยสำคัญ
การเติบโตของการยืนยันตัวตนแบบไร้รหัสผ่านเทคโนโลยีการยืนยันตัวตนแบบไร้รหัสผ่านช่วยยืนยันตัวตนผู้ใช้โดยไม่จำเป็นต้องใช้รหัสผ่านแบบเดิม โดยใช้วิธีทางเลือก เช่น โทเค็นฮาร์ดแวร์ (hardware tokens), ไบโอเมตริกซ์ (biometrics) หรือการแจ้งเตือนแบบพุชทางโทรศัพท์มือถือ (mobile push notifications)
จากการสำรวจล่าสุดของ Wakefield Research ที่สอบถาม CISOs 200 คน พบว่า 92% ของผู้นำด้านความปลอดภัยระบุว่าองค์กรของตนได้นำมาตรการยืนยันตัวตนแบบไร้รหัสผ่านมาใช้แล้วหรือกำลังวางแผนจะนำมาใช้ ซึ่งเพิ่มขึ้นจาก 70% ในปี 2024
CISOs ยกให้ การปรับปรุงประสิทธิภาพการทำงานของพนักงาน และการยกระดับประสบการณ์ผู้ใช้ เป็นประโยชน์สูงสุดของระบบนี้
ประโยชน์หลักจากการเปลี่ยนไปใช้ระบบไร้รหัสผ่าน:
- ลดภาระงานด้านธุรการ: Adrienne DeTray รองประธานอาวุโสและ CIO ของ Universal Technical Institute (UTI) กล่าวว่า ผลประโยชน์ที่เห็นได้ชัดคือ จำนวนการรีเซ็ตรหัสผ่านลดลง ตั๋วบริการช่วยเหลือ (service desk tickets) ลดลง และการเริ่มต้นวันทำงานเร็วขึ้น ระบบนี้ช่วยขจัด "แรงต้านด้านการบริหารจัดการ" (administrative drag) และทำให้เทคโนโลยีรู้สึกเชื่อมโยงและไร้รอยต่อมากขึ้น
- ความปลอดภัยที่แข็งแกร่ง: ระบบไร้รหัสผ่านสามารถป้องกันการโจมตีแบบฟิชชิ่งได้ และช่วยให้องค์กรปฏิบัติตามข้อกำหนดการปฏิบัติตามกฎระเบียบ เช่น PCI 4.0 ซึ่งกำหนดให้ผู้ใช้ต้องยืนยันตัวตนใหม่ทุกครั้งที่รีสตาร์ทหรือเข้าถึงบางสิ่ง
- การดึงดูดบุคลากร: การเป็นองค์กรที่ใช้ระบบไร้รหัสผ่านส่งสัญญาณว่าเป็นองค์กรที่มองไปข้างหน้าและให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก ซึ่งช่วยในการแข่งขันเพื่อแย่งชิงบุคลากรด้านเทคโนโลยีและความปลอดภัยทางไซเบอร์ชั้นนำ
- Diversus Health ผู้ให้บริการด้านการดูแลสุขภาพ ได้เปลี่ยนไปใช้การยืนยันตัวตนแบบไร้รหัสผ่านโดยใช้การควบคุมการเข้าถึงเครือข่ายตามใบรับรอง (certificate-based network access control) การเปลี่ยนแปลงนี้เกิดขึ้นหลังจากที่องค์กรนำนโยบาย Bring-Your-Own-Device (BYOD) มาใช้ และการตรวจสอบ HIPAA ภายในประจำปีตรวจพบว่าการขาดการควบคุมการเข้าถึงเครือข่ายเป็นภัยคุกคามที่มีความเสี่ยงสูง
- R Systems International กำลังย้ายระบบแบบเป็นขั้นตอน โดยกลยุทธ์ของพวกเขาไม่ได้ผูกติดกับผู้ค้ารายเดียว แต่สร้างขึ้นบนมาตรฐานเปิด FIDO2 และ WebAuthn สำหรับผู้ใช้ที่มีสิทธิ์ระดับสูง เช่น ผู้ดูแลระบบและผู้บริหาร จะใช้คีย์ความปลอดภัยฮาร์ดแวร์ FIDO2 ส่วนพนักงานทั่วไปจะใช้ Passkeys ที่รวมเข้ากับไบโอเมตริกซ์ของอุปกรณ์ เช่น Windows Hello และ Face ID
Rao กล่าวว่า R Systems เห็นประสบการณ์ของพนักงานดีขึ้นอย่างมาก โดยมีการเข้าสู่ระบบเร็วขึ้นและตั๋วความช่วยเหลือที่เกี่ยวข้องกับรหัสผ่านลดลงอย่างมาก สิ่งสำคัญที่สุดคือ ระบบไร้รหัสผ่านได้กลายเป็นรากฐานที่สำคัญของสถาปัตยกรรม "Zero-Trust" ขององค์กร
กุญแจสู่ความสำเร็จ: การให้ความรู้แก่พนักงาน
การเปลี่ยนผ่านไปสู่ระบบไร้รหัสผ่านที่ประสบความสำเร็จจำเป็นต้องมีการสื่อสารที่ชัดเจนและมีประสิทธิภาพกับพนักงาน Rao เน้นย้ำว่า องค์กรจะต้องจัดการกับ "ความวิตกกังวลของผู้ใช้อย่างชอบธรรมเกี่ยวกับ 'จะเกิดอะไรขึ้นถ้าฉันทำอุปกรณ์หาย?'"
องค์กรควรนำเสนอการยืนยันตัวตนแบบไร้รหัสผ่านในฐานะ ผลประโยชน์โดยตรงต่อพนักงาน เช่น ความยุ่งยากน้อยลง การเข้าสู่ระบบที่เร็วขึ้น และการยกเลิกการรีเซ็ตรหัสผ่าน ไม่ใช่เป็นเพียงข้อบังคับด้านความปลอดภัยอีกข้อ R Systems ได้จัดให้มีการฝึกอบรมแบบโต้ตอบขนาดเล็ก เพื่อให้พนักงานคุ้นเคยกับเครื่องมือเข้าถึง เช่น การสแกนลายนิ้วมือบนโทรศัพท์
"ผมไม่สามารถเน้นย้ำถึงความสำคัญของการให้ความรู้แก่ผู้ใช้ได้เพียงพอ" Rao กล่าว การให้ความรู้ถือเป็นความแตกต่างที่สำคัญระหว่างการปรับใช้ที่ประสบความสำเร็จกับการลงทุนที่ถูกทิ้งไว้บนชั้นวาง
อุปมาอุปไมยเพื่อความเข้าใจ:
การเปลี่ยนจากระบบรหัสผ่านไปสู่ระบบไร้รหัสผ่านเปรียบได้กับการเปลี่ยนจากการใช้กุญแจหลายสิบดอกสำหรับประตูทุกบานในอาคาร ไปสู่การใช้บัตรผ่านอิเล็กทรอนิกส์หรือการสแกนลายนิ้วมือเพียงครั้งเดียว มันไม่เพียงแต่ทำให้การเข้าถึงง่ายขึ้นและเร็วขึ้นเท่านั้น แต่ยังช่วยลดความเสี่ยงจากการที่โจรจะพบพวงกุญแจที่ถูกซ่อนไว้ใต้พรมอีกด้วย
ความคิดเห็น
แสดงความคิดเห็น