เรารู้กันดีว่า "รหัสผ่าน" เป็นวิธีการยืนยันตัวตนที่มีช่องโหว่มาก และวงการไอทีก็มีความพยายามหาสิ่งอื่นมาทดแทนรหัสผ่านหลายอย่าง เช่น ไบโอเมตริก หรือสมาร์ทการ์ด

ล่าสุด โอเปอเรเตอร์สหรัฐ 4 รายใหญ่คือ AT&T, Verizon, Sprint, T-Mobile ร่วมกันเปิดตัว Project Verify วิธีการยืนยันตัวตนผ่านโทรศัพท์มือถือที่เราใช้งานอยู่

แนวคิดของ Verify คือผู้ใช้งานโทรศัพท์แต่ละคนมีข้อมูลที่แตกต่างกันอยู่แล้ว เช่น หมายเลขโทรศัพท์ ข้อมูลในซิมการ์ด หมายเลขไอพี รวมถึงพฤติกรรมการใช้งาน ฯลฯ โอเปอเรเตอร์มองเห็นข้อมูลเหล่านี้อยู่แล้ว และสามารถนำมาแยกแยะว่าผู้ใช้แต่ละคนเป็นคนนั้นจริงๆ หรือไม่

รูปแบบการใช้งานเพียงว่าผู้ใช้ติดตั้งแอพ Verify ลงในสมาร์ทโฟน และเมื่อต้องการยืนยันตัวตนในแอพอื่น (ที่รองรับ Verify) ก็สามารถกดยืนยันตัวตนจากในสมาร์ทโฟนได้ทันที งานที่เหลือเป็นของฝั่งโอเปอเรเตอร์ที่จะตรวจสอบและตอบกลับไปยังแอพนั้นๆ ว่าเราเป็นตัวจริงหรือไม่

กลุ่มโอเปอเรเตอร์ยังบอกว่าการยืนยันตัวตนผ่าน Verify ยังอาจนำไปใช้เป็น Second-Factor Authentication ร่วมกับวิธีการยืนยันตัวตนแบบอื่นได้อีกด้วย

Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัยชื่อดัง เจ้าของบล็อก Krebs on Security วิเคราะห์กระบวนการยืนยันตัวตนของ Verify ว่าปัจจัยชี้ขาดจริงๆ คือผู้ใช้งาน "เชื่อมั่น" ในโอเปอเรเตอร์หรือไม่ ซึ่งที่ผ่านมาพฤติกรรมของโอเปอเรเตอร์เหล่านี้ก็ทำตัวไม่น่าเชื่อถือ และไม่พยายามปกป้องหรือคุ้มครองผู้ใช้จากการโจมตีหรือการหลอกลวงต่างๆ รวมถึงเคยมีกรณีนำข้อมูลพิกัดของผู้ใช้ไปขายต่อให้บริษัทอื่นๆ อีกด้วย

ที่มา - Project Verify, AT&T, Krebs on Security