Microsoft เป็นองค์กรที่ผลักดันเรื่องการยืนยันตนแบบไร้รหัสผ่าน หรือ passwordless authentication มาโดยตลอด ซึ่งปัจจุบันผู้ใช้สามารถล็อกอินเข้า Microsoft account ได้โดยไม่ต้องกรอกรหัสผ่าน แต่ใช้ Windows Hello, รับการแจ้งเตือนผ่านแอพ Microsoft Authenticator หรือใช้กุญแจ U2F แทน แต่สามารถสลับกลับไปใช้รหัสผ่านได้เหมือนเดิม

ล่าสุด Microsoft ผลักดันเรื่องนี้มากขึ้นอีก โดยการเปิดให้ผู้ใช้ "ลบรหัสผ่านทิ้ง" แล้วใช้การยืนยันตนผ่านแอพ Microsoft Authenticator, Windows Hello หรือกุญแจ U2F เพียงอย่างเดียว ไม่มีรหัสผ่านอีกต่อไป

Microsoft อธิบายว่ารหัสผ่านเป็นจุดอ่อนของความปลอดภัยมาโดยตลอด เพราะผู้ใช้มักจะตั้งรหัสผ่านที่คาดเดาง่าย หรือใช้รหัสซ้ำกันในหลายบริการ และถึงแม้ช่วงหลังจะเริ่มใช้การยืนยันตนหลายปัจจัย (Multi-factor Authentication - MFA) ซึ่งก็ช่วยลดการโดนแฮ็กบัญชีไปได้ถึง 99.9% แต่ก็มีการโจมตีที่ลัด MFA ได้แล้ว ฉะนั้นการนำรหัสผ่านออกจากสมการไปเลยจึงเหมาะสมที่สุด

หากใครสนใจ สามารถเข้าไปที่หน้าจัดการความปลอดภัยของบัญชี และเลื่อนลงมาที่หัวข้อ Additional security จะมีตัวเลือก Passwordless account อยู่ ให้กด Turn on

สำหรับลูกค้าฝั่งองค์กร Microsoft ระบุว่ากำลังจะเริ่มพัฒนาให้ Azure AD สามารถใช้งาน passwordless ได้เช่นกัน โดยผู้ดูแลระบบสามารถเลือกได้ว่าจะบังคับให้บัญชีคนในองค์กรต้องมีรหัสผ่าน (เหมือนปัจจุบัน), อนุญาตให้มีรหัสผ่าน หรือห้ามมีรหัสผ่านเลยก็ได้ โดย Microsoft บอกว่าปัจจุบันพนักงานของตนเกือบ 100% ใช้งาน passwordless แล้ว

ที่มา - Microsoft Tech Community, Microsoft Security Blog

ภาพโดย Microsoft