การตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านคือ วิธี การตรวจสอบสิทธิ์ที่ผู้ใช้สามารถเข้าสู่ระบบคอมพิวเตอร์ได้โดยไม่ต้องป้อน (และต้องจำ) รหัสผ่าน หรือ ข้อมูลลับใดๆในการใช้งานทั่วไป ผู้ใช้จะถูกขอให้ป้อนข้อมูลประจำตัวสาธารณะ (ชื่อผู้ใช้ หมายเลขโทรศัพท์ ที่อยู่อีเมล ฯลฯ) จากนั้นจึงดำเนินการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์โดยการแสดงหลักฐานยืนยันตัวตนที่ปลอดภัยผ่านอุปกรณ์หรือโทเค็น ที่ลงทะเบียน ไว้

โดยทั่วไปแล้ว วิธีการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านจะอาศัย โครงสร้างพื้นฐาน การเข้ารหัสแบบกุญแจสาธารณะโดยกุญแจสาธารณะจะถูกจัดเตรียมไว้ในระหว่างการลงทะเบียนกับบริการตรวจสอบสิทธิ์ (เซิร์ฟเวอร์ระยะไกล แอปพลิเคชัน หรือเว็บไซต์) ในทางตรงกันข้าม กุญแจส่วนตัวจะถูกเก็บไว้ในอุปกรณ์ของผู้ใช้ ( พีซี สมา ร์ทโฟน หรือ โทเค็นความปลอดภัยภายนอก) และสามารถเข้าถึงได้โดยการให้ลายเซ็นไบโอเมตริกหรือปัจจัยการตรวจสอบสิทธิ์อื่นที่ไม่ใช่ความรู้เท่านั้น^{[ 1 ]}

ปัจจัยเหล่านี้โดยทั่วไปแบ่งออกเป็นสองประเภท:

• ปัจจัยด้านกรรมสิทธิ์ (“สิ่ง ที่ผู้ใช้มี”) เช่นโทรศัพท์มือถือโทเค็น OTPส มาร์ ทการ์ดหรือโทเค็นฮาร์ดแวร์
• ปัจจัยที่ติดตัวมาแต่กำเนิด (“สิ่งที่เป็นตัวผู้ใช้”) เช่นลายนิ้วมือการสแกนม่านตาการ จดจำ ใบหน้าหรือเสียงและตัวระบุทางชีวเมตริกอื่นๆ

บางระบบอาจยอมรับการผสมผสานปัจจัยอื่นๆ เช่น ตำแหน่ง ทางภูมิศาสตร์ที่อยู่เครือข่ายรูปแบบพฤติกรรมและท่าทางต่างๆตราบใดที่ไม่มีการจดจำรหัส ผ่าน

การตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านบางครั้งอาจถูกเข้าใจผิดว่าเป็นการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เนื่องจากทั้งสองวิธีใช้ปัจจัยการตรวจสอบสิทธิ์ที่หลากหลาย อย่างไรก็ตาม ในขณะที่ MFA มักถูกใช้เป็นชั้นความปลอดภัยเพิ่มเติมเหนือการตรวจสอบสิทธิ์แบบใช้รหัสผ่าน การตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านไม่จำเป็นต้องจำรหัสลับ โดยปกติแล้ว จะใช้เพียงปัจจัยที่มีความปลอดภัยสูงเพียงปัจจัยเดียวในการตรวจสอบตัวตน (เช่น โทเค็นความปลอดภัยภายนอก) ทำให้รวดเร็วและง่ายขึ้นสำหรับผู้ใช้

เมื่อใช้ทั้งสองวิธีร่วมกัน จะใช้คำว่า “MFA แบบไม่ต้องใช้รหัสผ่าน” กระบวนการตรวจสอบสิทธิ์ไม่ต้องใช้รหัสผ่านและใช้ปัจจัยหลายอย่าง ซึ่งให้ระดับความปลอดภัยสูงสุดเมื่อนำไปใช้อย่างถูกต้อง

แนวคิดที่ว่ารหัสผ่านควรจะล้าสมัยนั้นวนเวียนอยู่ในแวดวงวิทยาศาสตร์คอมพิวเตอร์มาตั้งแต่ปี 2004 เป็นอย่างน้อยบิล เกตส์กล่าวในการประชุม RSA ปี 2004 ว่ารหัสผ่านกำลังจะหมดไป โดยกล่าวว่า "มันไม่สามารถรับมือกับความท้าทายใดๆ ที่คุณต้องการรักษาความปลอดภัยได้อย่างแท้จริง" ^{[ 2 ]}แมตต์ โฮแนน นักข่าวจากWiredซึ่งเป็นเหยื่อของเหตุการณ์แฮ็กข้อมูล เขียนไว้ในปี 2012 ว่า "ยุคของรหัสผ่านได้สิ้นสุดลงแล้ว" ^{[ 3 ]}เฮเธอร์ แอดกินส์ ผู้จัดการด้านความปลอดภัยข้อมูลของGoogleกล่าวในปี 2013 ว่า "รหัสผ่านหมดความสำคัญที่ Google แล้ว" ^{[ 4 ]}เอริค กรอสส์ รองประธานฝ่ายวิศวกรรมความปลอดภัยของ Google ระบุว่า "รหัสผ่านและโทเค็นแบบง่ายๆ เช่น คุกกี้ ไม่เพียงพอที่จะรักษาความปลอดภัยให้กับผู้ใช้ได้อีกต่อไป" ^{[ 5 ]}คริสโตเฟอร์ มิมส์เขียนในวอลล์สตรีทเจอร์นัลว่ารหัสผ่าน "กำลังจะตายในที่สุด" และทำนายว่าจะถูกแทนที่ด้วยการตรวจสอบสิทธิ์ตามอุปกรณ์ อย่างไรก็ตาม การเปิดเผย รหัสผ่าน Twitter ของเขาโดยเจตนา ส่งผลให้เขาถูกบังคับให้เปลี่ยนหมายเลขโทรศัพท์มือถือ^{[ 6 ]} อาวิวาห์ ลิตัน จากการ์ทเนอร์กล่าวในปี 2014 ว่า "รหัสผ่านตายไปแล้วเมื่อไม่กี่ปีที่ผ่านมา ตอนนี้มันตายยิ่งกว่าเดิม" ^{[ 7 ]}เหตุผลที่ให้มักรวมถึงการอ้างอิงถึง ปัญหา ด้านการใช้งานและความปลอดภัยของรหัสผ่าน

Bonneau และคณะได้เปรียบเทียบรหัสผ่านเว็บกับรูปแบบการตรวจสอบสิทธิ์คู่แข่ง 35 รูปแบบอย่างเป็นระบบ โดยพิจารณาจากความสามารถในการใช้งาน การนำไปใช้งาน และความปลอดภัย^{[ 8 ] [ 9 ]} (รายงานทางเทคนิคเป็นฉบับขยายของเอกสารที่ได้รับการตรวจสอบโดยผู้ทรงคุณวุฒิในชื่อเดียวกัน) การวิเคราะห์ของพวกเขาแสดงให้เห็นว่ารูปแบบส่วนใหญ่มีประสิทธิภาพดีกว่ารหัสผ่านในด้านความปลอดภัย บางรูปแบบมีประสิทธิภาพดีกว่าและบางรูปแบบมีประสิทธิภาพแย่กว่าในด้านความสามารถในการใช้งาน ในขณะที่ทุกรูปแบบมีประสิทธิภาพแย่กว่ารหัสผ่านในด้านการนำไปใช้งาน ผู้เขียนสรุปด้วยข้อสังเกตดังต่อไปนี้: “ผลประโยชน์ส่วนเพิ่มมักไม่เพียงพอที่จะได้รับพลังงานกระตุ้นที่จำเป็นในการเอาชนะต้นทุนการเปลี่ยนแปลงที่สำคัญ ซึ่งอาจเป็นคำอธิบายที่ดีที่สุดว่าทำไมเราจึงมีแนวโน้มที่จะมีชีวิตอยู่ได้นานขึ้นก่อนที่จะได้เห็นขบวนแห่ศพของรหัสผ่านมาถึงสุสาน”

ความก้าวหน้าทางเทคโนโลยีล่าสุด (เช่น การแพร่หลายของอุปกรณ์ไบโอเมตริกและสมาร์ทโฟน) และวัฒนธรรมทางธุรกิจที่เปลี่ยนแปลงไป (เช่น การยอมรับไบโอเมตริกและแรงงานแบบกระจายศูนย์) ส่งเสริมการนำการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านมาใช้อย่างต่อเนื่อง บริษัทเทคโนโลยีชั้นนำ (Microsoft ^{[ 10 ]} Google ^{[ 11 ]} ) และโครงการริเริ่มในอุตสาหกรรมกำลังพัฒนาสถาปัตยกรรมและแนวปฏิบัติที่ดีขึ้นเพื่อนำไปสู่การใช้งานที่กว้างขึ้น โดยหลายแห่งใช้แนวทางที่ระมัดระวัง โดยเก็บรหัสผ่านไว้เบื้องหลังในบางกรณีการใช้งาน การพัฒนามาตรฐานแบบเปิด เช่นFIDO2และWebAuthnได้ก่อให้เกิดการนำเทคโนโลยีแบบไม่ต้องใช้รหัสผ่านมาใช้มากขึ้น เช่นWindows Helloเมื่อวันที่ 24 มิถุนายน 2020 Apple Safariได้ประกาศว่าFace IDหรือTouch IDจะพร้อมใช้งานเป็นตัวตรวจสอบสิทธิ์แพลตฟอร์ม WebAuthn สำหรับการเข้าสู่ระบบแบบไม่ต้องใช้รหัสผ่าน^{[ 12 ]}

ผู้ใช้จะต้องลงทะเบียนกับระบบก่อนจึงจะสามารถยืนยันตัวตนได้ ขั้นตอนการลงทะเบียนแบบไม่ต้องใช้รหัสผ่านอาจประกอบด้วยขั้นตอนต่อไปนี้:

• คำขอลงทะเบียน : เมื่อผู้ใช้พยายามลงทะเบียนกับเว็บไซต์ เซิร์ฟเวอร์จะส่งคำขอลงทะเบียนไปยังอุปกรณ์ของผู้ใช้
• การเลือกปัจจัยการตรวจสอบสิทธิ์ : เมื่ออุปกรณ์ของผู้ใช้ได้รับคำขอลงทะเบียน อุปกรณ์จะตั้งค่าวิธีการตรวจสอบสิทธิ์ผู้ใช้ ตัวอย่างเช่น อุปกรณ์อาจใช้ไบโอเมตริก เช่นเครื่องสแกนลายนิ้วมือหรือการจดจำใบหน้าเพื่อระบุตัวตนผู้ใช้^{[ 13 ]}
• การสร้างคีย์ : อุปกรณ์ของผู้ใช้สร้าง คู่คีย์ สาธารณะ / ส่วนตัวและส่งคีย์สาธารณะไปยังเซิร์ฟเวอร์เพื่อการตรวจสอบในอนาคต^{[ 14 ]}

เมื่อลงทะเบียนแล้ว ผู้ใช้สามารถเข้าสู่ระบบได้โดยทำตามขั้นตอนต่อไปนี้:

• การท้าทายการตรวจสอบสิทธิ์ : เซิร์ฟเวอร์จะส่งการท้าทายการตรวจสอบสิทธิ์ไปยังอุปกรณ์ของผู้ใช้เมื่อผู้ใช้พยายามเข้าสู่ระบบเว็บไซต์^{[ 14 ]}
• การยืนยันตัวตนผู้ใช้ : ผู้ใช้พิสูจน์ตัวตนกับอุปกรณ์ของตนโดยใช้เครื่องสแกนไบโอเมตริกเพื่อปลดล็อกรหัสส่วนตัว
• การตอบสนองต่อคำท้า : อุปกรณ์ของผู้ใช้จะลงนามแบบดิจิทัลในการตอบสนองต่อคำท้าการตรวจสอบสิทธิ์ด้วยคีย์ส่วนตัวของผู้ใช้ ^{[ 15 ]}
• การตรวจสอบการตอบกลับ : เซิร์ฟเวอร์ใช้คีย์สาธารณะของผู้ใช้เพื่อตรวจสอบลายเซ็นดิจิทัลและให้สิทธิ์การเข้าถึงบัญชีของผู้ใช้^{[ 15 ]}

ผู้สนับสนุนชี้ให้เห็นถึงข้อดีที่เป็นเอกลักษณ์หลายประการเหนือกว่าวิธีการตรวจสอบสิทธิ์แบบอื่น:

• ความปลอดภัยที่มากขึ้น – รหัสผ่านเป็นที่ทราบกันดีว่าเป็นจุดอ่อนในระบบคอมพิวเตอร์ (เนื่องจากการนำไปใช้ซ้ำ การแบ่งปัน การถอดรหัส การโจมตีแบบสุ่ม ฯลฯ) และถือเป็นช่องทางการโจมตีอันดับต้น ๆ ที่ก่อให้เกิดการละเมิดความปลอดภัยเป็นจำนวนมาก
• ประสบการณ์การใช้งานที่ดีขึ้น – ผู้ใช้ไม่จำเป็นต้องจำรหัสผ่านที่ซับซ้อนและปฏิบัติตามนโยบายความปลอดภัยต่างๆ อีกต่อไป และยังไม่จำเป็นต้องเปลี่ยนรหัสผ่านเป็นประจำอีกด้วย
• ลดต้นทุนด้านไอที – เนื่องจากไม่จำเป็นต้องจัดเก็บและจัดการรหัสผ่าน ทีมไอทีจึงไม่ต้องแบกรับภาระในการกำหนดนโยบายรหัสผ่าน ตรวจจับการรั่วไหล รีเซ็ตรหัสผ่านที่ลืม และปฏิบัติตามกฎระเบียบเกี่ยวกับการจัดเก็บรหัสผ่านอีกต่อไป
• การตรวจสอบการใช้งานข้อมูลประจำตัวชัดเจนยิ่งขึ้น – เนื่องจากข้อมูลประจำตัวเชื่อมโยงกับอุปกรณ์เฉพาะหรือคุณลักษณะเฉพาะของผู้ใช้ จึงไม่สามารถนำไปใช้ในวงกว้างได้ และการจัดการการเข้าถึงจึงเข้มงวดมากขึ้น
• ความสามารถในการขยายขนาด – จัดการการเข้าสู่ระบบหลายบัญชีโดยไม่ต้องเสียเวลาในการป้อนรหัสผ่านเพิ่มเติมหรือลงทะเบียนให้ยุ่งยาก

ในขณะที่บางคนชี้ให้เห็นถึงข้อเสียในด้านการดำเนินงานและต้นทุน:

• ต้นทุนในการดำเนินการ – แม้ว่าจะเป็นที่ยอมรับกันว่าการตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านจะช่วยประหยัดค่าใช้จ่ายในระยะยาว แต่ปัจจุบันต้นทุนในการติดตั้งใช้งานยังคงเป็นอุปสรรคสำหรับผู้ใช้งานจำนวนมาก ต้นทุนดังกล่าวเกี่ยวข้องกับความจำเป็นในการติดตั้งกลไกการตรวจสอบสิทธิ์ลงในฐานข้อมูลผู้ใช้ที่มีอยู่ และบางครั้งก็รวมถึงฮาร์ดแวร์เพิ่มเติมที่ติดตั้งให้กับผู้ใช้ (เช่น OTP หรือรหัสความปลอดภัย)
• จำเป็นต้องมีการฝึกอบรมและความเชี่ยวชาญ – แม้ว่าระบบจัดการรหัสผ่านส่วนใหญ่จะมีโครงสร้างคล้ายกันและถูกใช้งานมาหลายปีแล้ว แต่การตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านนั้นต้องการการปรับตัวจากทั้งทีมไอทีและผู้ใช้ปลายทาง
• จุดล้มเหลวเพียงจุดเดียว – โดยเฉพาะอย่างยิ่งการใช้งานที่ใช้ OTP หรือการแจ้งเตือนแบบพุชไปยังแอปพลิเคชันอุปกรณ์เคลื่อนที่สามารถสร้างความท้าทายให้กับผู้ใช้ปลายทางได้หากอุปกรณ์ชำรุด สูญหาย ถูกขโมย หรือเพียงแค่ได้รับการอัปเกรด^{[ 16 ]}