Bitwarden บริการจัดการรหัสผ่านโอเพนซอร์สชื่อดังเริ่มรองรับการล็อกอินเข้าใช้งานด้วย Passkey แล้ว ทดแทนการใช้ชื่อบัญชีและรหัสผ่านตามปกติ
Bitwarden เลือกรองรับ Passkey ผ่านส่วนเสริม PRF ของมาตรฐาน WebAuthn โดยหลักการของ PRF คือให้กุญแจยืนยันตัวตนสร้างกุญแจเข้ารหัสขึ้นมาชุดหนึ่งสำหรับ Bitwarden (หรือเว็บไซต์อื่นๆ) โดยเฉพาะ จากนั้น Bitwarden ก็จะนำกุญแจนี้ไปใช้กับการเข้ารหัสและปลดล็อคข้อมูลของผู้ใช้ใน vault อีกทอดหนึ่งด้วย
RedTeam Pentesting บริษัทความปลอดภัยซอฟต์แวร์จากเยอรมนีรายงานถึงการตรวจสอบความปลอดภัยของ Bitwarden ซอฟต์แวร์เก็บรหัสผ่าน โดยพยายามถอดรหัสฐานข้อมูลเมื่อผู้ใช้เปิดใช้งานฟีเจอร์ปลดล็อกฐานข้อมูลด้วย Windows Hello ที่ทำให้ผู้ใช้ไม่ต้องพิมพ์ master password ทุกรอบที่ต้องการใช้งาน แต่เพียงแต่ตรวจสอบลายนิ้วมือหรือใบหน้าเท่านั้น
ในช่วงหลัง ๆ มานี้ระบบ Passkey เริ่มเป็นที่นิยมมากขึ้นเรื่อย ๆ ด้วยความที่ตัว Passkey นั้นใช้งานค่อนข้างง่ายลดความเสี่ยงจากการใช้รหัสเดิมซ้ำ ๆ และลดยุ่งยากจากใช้ระบบยืนยันตัวตนแบบ 2 Fator Authentication ได้ด้วย ซึ่งเราสามารถใช้ Passkey แทนการใส่ password แบบเดิม ๆ ในเว็บไซต์ต่าง ๆ ได้เลย โดยจากการที่ Google นำร่องรองรับ Passkey ไปก่อนหน้านี้แล้ว ล่าสุดทาง Bitwarden ซึ่งเป็นหนึ่งแอปฯ จัดการรหัสผ่านยอดนิยมก็ได้ประกาศที่จะรองรับ Passkey ในเร็ว ๆ นี้เช่นกัน
Bitwarden ผู้ให้บริการซอฟต์แวร์จัดการรหัสผ่านโอเพนซอร์สชื่อดังได้ประกาศเข้าซื้อกิจการ Passwordless.dev บริษัทสัญชาติสวีเดนผู้พัฒนา API สำหรับการเปิดให้เว็บไซต์ต่างๆ รองรับการล็อกอินแบบไร้รหัสผ่านได้ง่ายๆ
บริการของ Passwordless.dev นั้นพัฒนาขึ้นบนมาตรฐานกลางอย่าง WebAuthn ที่รองรับการล็อกอินด้วย Face ID, Windows Hello, สแกนนิ้ว และ security key โดยที่นักพัฒนาไม่ต้องศึกษามาตรฐานของ W3C รวมถึงเสี่ยงพัฒนาเองแล้วเกิดช่องโหว่ด้านความปลอดภัย
บริการจัดการรหัสผ่าน Bitwarden เพิ่มฟีเจอร์ "Log in with device" สามารถเข้าถึงฐานข้อมูลรหัสผ่านได้โดยไม่ต้องใส่รหัสผ่านหลักอีก แต่อาศัยการกดยืนยันจากแอปในโทรศัพท์มือถือ บริษัทยืนยันว่ากระบวนการนี้ยังคงปลอดภัย และบริษัทไม่มีกุญแจถอดรหัสฐานข้อมูลอยู่กับบริษัทเอง
กระบวนการส่งกุญแจปลดล็อกฐานข้อมูลเป็นการส่งแบบ end-to-end จากโทรศัพท์มือถือไปยังเบราว์เซอร์โดยตรง ผู้ใช้ต้องตรวจสอบว่ากุญแจจากเบราว์เซอร์นั้นค่า fingerprint (เป็นคำภาษาอังกฤษ 5 คำ) ตรงกับที่แสดงในโทรศัพท์มือถือ และการปลดล็อกฐานข้อมูลรูปแบบนี้จะใช้ได้กับเบราว์เซอร์ที่เคยล็อกอินแบบปกติมาก่อนแล้วเท่านั้น รวมถึงที่ตัวแอปต้องเปิดฟีเจอร์ Approve login request เอง
Bitwarden แอพจัดการรหัสผ่านแบบโอเพนซอร์ส ประกาศระดมทุน 100 ล้านดอลลาร์ จากบริษัทลงทุน 2 แห่งคือ PSG และ Battery Ventures เพื่อนำไปขยายธุรกิจ
โมเดลธุรกิจของ Bitwarden คือมีแอพเวอร์ชันฟรี (ใช้งานได้ไม่จำกัดอุปกรณ์) และแอพเวอร์ชันพรีเมียมที่มีฟีเจอร์มากขึ้น (เช่น รองรับ 2FA ผ่าน YubiKey/FIDO2) รวมถึงแอพสำหรับธุรกิจที่ใช้งานเป็นทีม
Bitwarden ย้ำว่าแอพเวอร์ชันฟรีของตัวเองจะยังฟรีตลอดไป ใช้สถาปัตยกรรมโอเพนซอร์สเพื่อความโปร่งใส และผู้ใช้สามารถโฮสต์ข้อมูลเอง (self-host) แต่เงินที่ได้จะเน้นการขยายธุรกิจฝั่งองค์กรให้มากขึ้น
ที่มา - Bitwarden