รหัสผ่านยังไม่สูญหาย
เมื่อปีที่แล้ว มีบทความข่าวเผยแพร่บนอินเทอร์เน็ตอ้างว่าบริษัทเทคโนโลยีใหญ่กำลังร่วมมือกันเพื่อกำจัดรหัสผ่าน บริษัทสตาร์ทอัพบางแห่งถึงกับประกาศว่ารหัสผ่านล้าสมัยและเลิกใช้แล้ว
Founder
บทนำ
เมื่อปีที่แล้ว มีบทความข่าวเผยแพร่บนอินเทอร์เน็ตอ้างว่าบริษัทเทคโนโลยีใหญ่ๆ เช่น Apple, Google และ Microsoft กำลังร่วมมือกันเพื่อกำจัดรหัสผ่าน บริษัทสตาร์ทอัพบางแห่งถึงกับประกาศว่ารหัสผ่านล้าสมัยและเลิกใช้แล้ว หลังจากที่ได้สำรวจด้านการจัดการอัตลักษณ์เป็นเวลาหลายเดือน ฉันเริ่มตั้งคำถามถึงความถูกต้องและความเป็นไปได้ของคำกล่าวเหล่านี้
รหัสผ่านทำอะไร?
ที่มองผ่านๆ คำตอบดูเหมือนชัดเจน: รหัสผ่านใช้สำหรับการลงชื่อเข้าใช้และยืนยันตัวตน อย่างไรก็ตามฉันมีมุมมองที่แตกต่างออกไปหากคุณพิจารณาความจริงว่ารหัสผ่านไม่สามารถยืนยันตัวตนของคุณได้อย่างแท้จริง:
- เมื่อผู้ใช้ลงชื่อเข้าเว็บไซต์ด้วยอีเมลและรหัสผ่าน เว็บไซต์ไม่มีทางยืนยันตัวบุคคลที่แท้จริงที่อยู่เบื้องหลังข้อมูลเหล่านั้นได้ มันอาจจะเป็นมนุษย์หรือแม้แต่แมว
- ใครๆ ก็สามารถปลดล��็อก iPhone ด้วย PIN ที่ถูกต้อง
ในความเป็นจริง วัตถุประสงค์ของรหัสผ่านคือการพิสูจน์การเป็นเจ้าของบางสิ่งอย่างไม่เปิดเผยตัว: บัญชีผู้ใช้ อุปกรณ์ หรือการเข้าถึงประตู
“ฆาตกรรหัสผ่าน” ปัจจุบัน
บริษัทที่กล่าวถึงก่อนหน้านี้ได้เสนอ "ฆาตกรรหัสผ่าน" ต่างๆ มากมาย หลายคนอ้างว่าเป็นทางเลือกที่ปลอดภัยกว่าซึ่งกำจัดความจำเป็นที่ผู้ใช้จะต้องจดจำรหัสผ่านที่ซับซ้อนและคงที่ในระหว่างการยืนยันตัวตน อย่างไรก็ตามส่วนใหญ่แล้วทางเลือกเหล่านี้ไม่สามารถใช้งานได้จริงทั้งหมดสำหรับการลบล้างรหัสผ่านโดยสิ้นเชิง
การยืนยันตัวตนด้วย FIDO
FIDO (Fast Identity Online) การยืนยันตัวตน ตามที่อธิบายไว้ใน เอกสารอย่างเป็นทางการ ใช้เทคนิคการเข้ารหัสด้วยคีย์สาธารณะสำหรับการลงทะเบียนและการลงชื่อเข้าใช้ (น่าสนใจที่ WebAuthn เป็นส่วนสำคัญของข้อกำหนด FIDO2) ที่มองผ่านๆ กระบวนการนี้ดูน่าสนใจ:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M187.672%2c35L191.839%2c35C196.005%2c35%2c204.339%2c35%2c212.005%2c35C219.672%2c35%2c226.672%2c35%2c230.172%2c35L233.672%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M387.781%2c35L391.948%2c35C396.115%2c35%2c404.448%2c35%2c412.115%2c35C419.781%2c35%2c426.781%2c35%2c430.281%2c35L433.781%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M576.5%2c35L580.667%2c35C584.833%2c35%2c593.167%2c35%2c600.833%2c35C608.5%2c35%2c615.5%2c35%2c619%2c35L622.5%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(97.8359375%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='179.671875' y='-27' x='-89.8359375' style='' class='basic label-container'/%3e%3cg transform='translate(-59.8359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='119.671875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%e0%b8%84%e0%b8%a7%e0%b8%b2%e0%b8%a1%e0%b8%a3%e0%b9%88%e0%b8%a7%e0%b8%a1%e0%b8%a1%e0%b8%b7%e0%b8%ad%e0%b9%80%e0%b8%a3%e0%b8%b4%e0%b9%88%e0%b8%a1%e0%b8%95%e0%b9%89%e0%b8%99%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(312.7265625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='150.109375' y='-27' x='-75.0546875' style='' class='basic label-container'/%3e%3cg transform='translate(-45.0546875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='90.109375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%e0%b8%81%e0%b8%b2%e0%b8%a3%e0%b8%ad%e0%b8%99%e0%b8%b8%e0%b8%a1%e0%b8%b1%e0%b8%95%e0%b8%b4%e0%b8%9c%e0%b8%b9%e0%b9%89%e0%b9%83%e0%b8%8a%e0%b9%89%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(507.140625%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='138.71875' y='-27' x='-69.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-39.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='78.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%e0%b8%aa%e0%b8%a3%e0%b9%89%e0%b8%b2%e0%b8%87%e0%b8%84%e0%b8%b5%e0%b8%a2%e0%b9%8c%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(696.859375%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='140.71875' y='-27' x='-70.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-40.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='80.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%e0%b9%80%e0%b8%aa%e0%b8%a3%e0%b9%87%e0%b8%88%e0%b8%aa%e0%b8%a1%e0%b8%9a%e0%b8%b9%e0%b8%a3%e0%b8%93%e0%b9%8c%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
ง่ายใช่ไหม? น่าเสียดายที่มีอุปสรรคใหญ่ในทาง: ความเข้ากันได้ เมื่อเทียบกับการผสมผสานแบบดั้งเดิมของ "ชื่อและรหัสผ่าน" การยืนยันด้วย FIDO ต้องการ:
- เว็บไซต์หรือแอพสนับสนุน FIDO
- เบราว์เซอร์และ/หรือระบบปฏิบัติการต้องสนับสนุน FIDO
- อุปกรณ์ผู้ใช้ต้องมีเมคานิซึมการตรวจสอบที่ใช้งานง่าย
หากไม่เป็นไปตามข้อกำหนดใดข้อหนึ่ง การยืนยันตัวตนด้วย FIDO จะใช้งานไม่ได้ ทำให้ต้องหาวิธีการสำรอง
ยิ่งไปกว่านั้น แม้ว่าครบทุกเงื่อนไขแล้ว อะไรคือ "เมคานิซึมการตรวจสอบที่ใช้งานง่าย" บนอุปกรณ์? ในปัจจุบันอาจจะเกี่ยวข้องกับวิธีชีวภาพเช่น การสแกนลายนิ้วมือหรือการรู้จำใบหน้า พร้อมด้วยทางเลือกสำรองเช่น รหัสผ่านที่คืบหน้ากับ PIN code ในตอนท้าย เราถูกนำกลับมาที่จุดเริ่มต้น
ในทางเทคนิค มันไม่ใช่ "ฆาตกรรหัสผ่าน" แต่เป็นกระบวนการยืนยันหรือตรวจสอบตัวตนที่ปลอดภัยกว่าและใช้งานง่ายกว่าซึ่งได้รับการปกป้องด้วยรหัสผ่าน
รหัสผ่านครั้งเดียว
แม้ว่าชื่อจะประกอบด้วยคำว่า “รหัสผ่าน”, รหัสผ่านครั้งเดียว (OTP) ไม่ใช่รหัสผ่านแบบดั้งเดิมเพราะมันเปลี่ยนแปลงได้ มีประเภท OTP ยอดนิยม 2 ประเภท:
- รหัสผ่านครั้งเดียวตามเวลา (TOTP): สร้างโดยใช้เวลาปัจจุบันเป็นแหล่งที่มาของความเป็นเอกลักษณ์ มักใช้ใน การยืนยันตัวตนหลายระดับ (MFA) หรือ 2FA
- รหัสผ่านครั้งเดียวทาง SMS/Email: สร้างบนเซิร์ฟเวอร์โดยใช้อลกอริทึมสุ่ม ในบางประเทศ มันได้รับการยอมรับกว้างขวางว่าเป็นวิธีการลงชื่อเข้าใช้หลัก
TOTP อาจไม่เป็นที่รู้จักอย่างกว้างขวางตามชื่อ ยกตัวอย่าง เมื่อเว็บไซต์ขอให้คุณตั้งค่า MFA และใช้แอพเช่น Google Authenticator หรือ Duo สแกน QR code คุณอาจจะใช้ TOTP นอกจากนี้คุณอาจสังเกตว่าเว็บไซต์มักแสดง "รหัสกู้คืน" ยาวๆ และแนะนำให้คุณบันทึกมันเพราะจะแสดงเพียงครั้งเดียว เว็บไซต์บางแห่งยังสนับสนุนให้ผู้ใช้พิมพ์มันลงกระดาษ ตามหลักการ รหัสกู้คืนนี้ทำหน้าที่เหมือนรหัสผ่านยาว ๆ
สำหรับ OTPs ทาง SMS/Email พวกมันสามารถมีค่าใช้จ่ายสูงและไม่น่าเชื่อถือ:
- การสร้างผู้ส่ง SMS หรืออีเมลจากศูนย์ต้องการการตั้งค่า
- ผู้ส่งอีเมลต้องสร้าง "ชื่อเสียง" ที่ดีเพื่อเพิ่มโอกาสในการส่งออก ไม่เช่นนั้น ต้นทางอาจถูกจัดให้เป็นสแปม
- แต่ละประเทศมีผู้ดำเนินการเครือข่ายมือถือของตนเอง ส่งผลให้เวลาดำเนินการส่งไม่สามารถคาดการณ์ได้และอาจมีค่าใช้จ่ายเฉพาะประเทศสูงโดยเฉพาะกับสตาร์ทอัพ
ชีวมิติ
คำว่า "ชีวมิติ" หมายถึงการใช้วิธีชีวภาพเพียงวิธีเดียวสำหรับการยืนยันตัวตนออนไลน์ จริงๆ แล้ว มีความแตกต่างพื้นฐานเมื่อเปรียบเทียบกับวิธีอื่น: การยืนยันตัวตนด้วยชีวมิติเปลี่ยนแปลงหน้าที่จาก "การพิสูจน์การเป็นเจ้าของบางสิ่ง" ไปเป็น "การพิสูจน์ว่าคุณเป็นใคร" เนื่องจากข้อกังวลเรื่องความเป็นส่วนตัว วิธีชีวภาพถูกใช้งานเป็นหลักสำหรับการยืนยันตัวตนในเครื่อง
รหัสผ่านไม่สมบูรณ์แบบ
อย่างที่เราเห็น "ฆาตกรรหัสผ่าน" โดยหลักๆ แล้วคือการซ่อนรหัสผ่านหรือใช้รหัสผ่านเป็นทางเลือกสำรอง ต่อไปนี้คือสิ่งที่น่าสนใจของรหัสผ่านจากการอภิปรายของเรา:
- การเข้าถึงและการใช้งานร่วมกันได้: รหัสผ่านสามารถใช้ได้ในระบบต่างๆ และผู้ใช้หลากหลายสามารถเข้าถึงได้
- ประสิทธิภาพและความหลากหลาย: การยืนยันตัวตนด้วยรหัสผ่านมีประสิทธิภาพด้านค่าลงทุนและปรับตัวได้กับสถานการณ์ต่างๆ
- การไม่เปิดเผยตัวและความเป็นส่วนตัว: รหัสผ่านช่วยให้ใช้งานโดยไม่เปิดเผยตัวและปกป้องความเป็นส่วนตัวของผู้ใช้
แต่ทุกเหรียญมีสองด้าน ในขณะที่รหัสผ่านมีข้อดี การพึ่งพารหัสผ่านเพียงเพื่อการยืนยันตัวตนมีค�วามเปราะบางอย่างมาก มันเป็นสิ่งที่ทำให้ผู้ใช้ปลายทางลำบากใจ และหากเจ้าของเว็บไซต์ไม่ปฏิบัติตามวิธีการรักษาความปลอดภัยที่เหมาะสม รหัสผ่านจะกลายเป็นสิ่งที่ล้ำลึกได้ง่าย วิธีการรักษาความปลอดภัยที่เลยร้ายรวมถึง แต่ไม่จำกัดถึง:
- อนุญาตให้มีรุ่นที่อ่อนแอหรือรั่วของรหัสผ่าน
- ไม่มีการบังคับใช้ HTTPS สำหรับการสื่อสาร
- การใช้อลกอริทึมแฮชที่ไม่ปลอดภัย
- การล้มเหลวในการปฏิบัติตามมาตรฐานที่ผ่านการทดสอบอย่างละเอียด เช่น OAuth หรือ OpenID Connect (OIDC)
- เปิดโปงฐานข้อมูลให้กับสาธารณะ
บทสรุป
ฉันไม่ต้องการที่จะดูแคลนวิธีการยืนยันตัวตนที่กล่าวถึงข้างต้น ถึงแม้ว่าฉันกำลังทำงานกับ Logto ฉันก็พัฒนาความเคารพอย่างลึกซึ้งสำหรับวิธีการยืนยันตัวตนที่น่าทึ่งเหล่านี้และบุคคลที่อยู่เบื้องหลังพวกเขา
กระนั้น การบรรลุความปลอดภัย 100% เป็นเป้าหมายที่ไม่สามารถเข้าถึงได้ สิ่งที่เราสามารถมุ่งมั่นคือการลดโอกาสของการโจมตี วิธีการอย่างหนึ่งที่สามารถนำมาใช้ได้คือการรวมการยืนยันตัวตนด้วยรหัสผ่านเข้ากับรหัสผ่านครั้งเดียวที่ขึ้นอยู่กับอุปกรณ์หรือสภาวะแวดล้อมปัจจุบัน ซึ่งเป็นอีกชั้นหนึ่งของการตรวจสอบและได้รับการยอมรับอย่างแพร่หลาย โดยการใช้ความแข็งแกร่งของเทคนิคการย��ืนยันตัวตนต่างๆ เราสามารถสร้างการป้องกันแบบชั้นที่ให้การป้องกันที่แข็งแกร่งยิ่งขึ้น
ประการสุดท้าย แทนที่จะมุ่งเน้นที่คำยอดนิยมอย่าง "ฆาตกรรหัสผ่าน" เมื่อรหัสผ่านไม่ได้ถูกกำจัดจริง ๆ มันจะมีค่ามากกว่าถ้าเรามุ่งเน้นไปที่การหาสมดุลระหว่างความปลอดภัยและประสบการณ์ผู้ใช้ ซึ่งต้องอาศัยความเข้าใจในจุดแข็งและข้อจำกัดของวิธีการยืนยันตัวตนต่างๆ และการนำไปใช้ในรูปแบบที่รับรองความปลอดภัยของข้อมูลผู้ใช้และประสบการณ์ผู้ใช้ที่ราบรื่นไปพร้อมกัน