พาสคีย์
บทนำ
พาสคีย์ปลอดภัยกว่าและใช้งานง่ายกว่าเมื่อเทียบกับรหัสผ่าน พาสคีย์ช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า), PIN หรือรูปแบบ ผู้ใช้จึงไม่ต้องจำและจัดการรหัสผ่าน
ทั้งนักพัฒนาแอปและผู้ใช้ต่างก็ไม่ชอบรหัสผ่าน เนื่องจากทำให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ดี เพิ่มความยุ่งยากในการทำ Conversion และสร้างภาระความรับผิดด้านความปลอดภัยสำหรับทั้งผู้ใช้และนักพัฒนาแอป เครื่องมือจัดการรหัสผ่านบน Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สำหรับนักพัฒนาแอปที่ต้องการปรับปรุง Conversion และความปลอดภัยให้ดียิ่งขึ้น พาสคีย์และการรวมข้อมูลประจำตัวคือแนวทางที่ทันสมัยในอุตสาหกรรม
พาสคีย์ให้การปกป้องที่แข็งแกร่งจากการโจมตีแบบฟิชชิง และช่วยลดความจำเป็นในการแจ้งให้ขอรหัสผ่านแบบครั้งเดียวทาง SMS หรือในแอปเมื่อลงชื่อเข้าใช้ เนื่องจากพาสคีย์เป็นมาตรฐาน การติดตั้งใช้งานเพียงครั้งเดียวจึงมอบประสบการณ์การใช้งานแบบไม่ต้องใช้รหัสผ่านในอุปกรณ์ทั้งหมดของผู้ใช้ รวมถึงในเบราว์เซอร์และระบบปฏิบัติการต่างๆ
ทั้งนักพัฒนาแอปและผู้ใช้ต่างก็ไม่ชอบรหัสผ่าน เนื่องจากทำให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ดี เพิ่มความยุ่งยากในการทำ Conversion และสร้างภาระความรับผิดด้านความปลอดภัยสำหรับทั้งผู้ใช้และนักพัฒนาแอป เครื่องมือจัดการรหัสผ่านบน Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สำหรับนักพัฒนาแอปที่ต้องการปรับปรุง Conversion และความปลอดภัยให้ดียิ่งขึ้น พาสคีย์และการรวมข้อมูลประจำตัวคือแนวทางที่ทันสมัยในอุตสาหกรรม
พาสคีย์ให้การปกป้องที่แข็งแกร่งจากการโจมตีแบบฟิชชิง และช่วยลดความจำเป็นในการแจ้งให้ขอรหัสผ่านแบบครั้งเดียวทาง SMS หรือในแอปเมื่อลงชื่อเข้าใช้ เนื่องจากพาสคีย์เป็นมาตรฐาน การติดตั้งใช้งานเพียงครั้งเดียวจึงมอบประสบการณ์การใช้งานแบบไม่ต้องใช้รหัสผ่านในอุปกรณ์ทั้งหมดของผู้ใช้ รวมถึงในเบราว์เซอร์และระบบปฏิบัติการต่างๆ
พาสคีย์ใช้งานง่ายกว่า
ผู้ใช้สามารถเลือกบัญชีที่จะใช้ลงชื่อเข้าใช้ได้ โดยไม่จำเป็นต้องพิมพ์ชื่อผู้ใช้
ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจำใบหน้า หรือ PIN
เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้จะเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้ได้ทันทีโดยไม่ต้องลงทะเบียนซ้ำ (ซึ่งแตกต่างจากการตรวจสอบไบโอเมตริกแบบเดิมที่ต้องตั้งค่าในแต่ละอุปกรณ์)
พาสคีย์ปลอดภัยกว่า
พาสคีย์จะปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทำงานได้บนเว็บไซต์และแอปที่ลงทะเบียนเท่านั้น ผู้ใช้จึงไม่ถูกหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์หลอกลวงเนื่องจากเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
นักพัฒนาแอปจะบันทึกเฉพาะคีย์สาธารณะไว้ในเซิร์ฟเวอร์แทนรหัสผ่าน ซึ่งหมายความว่าผู้ไม่ประสงค์ดีจะแฮ็กเซิร์ฟเวอร์ได้ยากขึ้นมาก และการล้างข้อมูลในกรณีที่มีการละเมิดก็จะทำได้ง่ายขึ้นมากเช่นกัน
พาสคีย์ช่วยลดต้นทุนโดยไม่จำเป็นต้องส่ง SMS จึงเป็นวิธีการตรวจสอบสิทธิ์ที่ปลอดภัยและคุ้มค่ากว่า
รหัสผ่านคืออะไร
พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ช่วยให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือระบุปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีเป้าหมายที่จะแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน
เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยให้ผู้ใช้เลือกและใช้พาสคีย์ที่ถูกต้อง ประสบการณ์การใช้งานจะคล้ายกับวิธีที่รหัสผ่านที่บันทึกไว้ทำงานในปัจจุบัน ระบบจะขอให้ผู้ใช้ปลดล็อกอุปกรณ์เพื่อให้มั่นใจว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ซึ่งอาจดำเนินการด้วยเซ็นเซอร์ข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า), PIN หรือรูปแบบ
หากต้องการสร้างพาสคีย์สำหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียนพาสคีย์กับเว็บไซต์หรือแอปพลิเคชันนั้นก่อน
- ไปที่แอปพลิเคชันแล้วลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
- คลิกปุ่มสร้างพาสคีย์
- ตรวจสอบข้อมูลที่จัดเก็บไว้ด้วยพาสคีย์ใหม่
- ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อสร้างพาสคีย์
เมื่อกลับมาที่เว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ผู้ใช้จะทำตามขั้นตอนต่อไปนี้ได้
- ไปที่แอปพลิเคชันที่ต้องการ
- แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบการป้อนข้อความอัตโนมัติ
- เลือกพาสคีย์ของบัญชี
- ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสมบูรณ์
ลองใช้ดู
คุณลองใช้พาสคีย์ในการสาธิตนี้ได้
รหัสผ่านทํางานอย่างไร
ระบบจะเข้ารหัสพาสคีย์ในอุปกรณ์อย่างปลอดภัยก่อนที่จะซิงค์ และกำหนดให้ต้องถอดรหัสในอุปกรณ์ใหม่ คุณจัดเก็บพาสคีย์ไว้ในเครื่องมือจัดการรหัสผ่านได้ เช่น เครื่องมือจัดการรหัสผ่านบน Google ซึ่งจะซิงค์พาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้กับเบราว์เซอร์ Chrome ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน ผู้ใช้ที่ใช้ Android OS 14 ขึ้นไปสามารถเลือกจัดเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่เข้ากันได้ด้วย
ผู้ใช้ไม่ได้ถูกจำกัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่มีพาสคีย์นั้นๆ เท่านั้น โดยพาสคีย์ที่ใช้ได้ในโทรศัพท์จะใช้เมื่อเข้าสู่ระบบแล็ปท็อปได้ แม้ว่าจะไม่ได้ซิงค์พาสคีย์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นตามมาตรฐาน FIDO เบราว์เซอร์ทุกเบราว์เซอร์จึงนำไปใช้ได้
ผู้ใช้ไม่ได้ถูกจำกัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่มีพาสคีย์นั้นๆ เท่านั้น โดยพาสคีย์ที่ใช้ได้ในโทรศัพท์จะใช้เมื่อเข้าสู่ระบบแล็ปท็อปได้ แม้ว่าจะไม่ได้ซิงค์พาสคีย์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นตามมาตรฐาน FIDO เบราว์เซอร์ทุกเบราว์เซอร์จึงนำไปใช้ได้
สิทธิประโยชน์ด้านความเป็นส่วนตัว
สำคัญ: เราออกแบบพาสคีย์โดยคำนึงถึงความเป็นส่วนตัวของผู้ใช้ ข้อกังวลบางประการที่ผู้ใช้ปลายทางอาจมีแสดงอยู่ด้านล่างนี้ เพื่อให้ผู้ใช้มั่นใจ นักพัฒนาแอปควรเพิ่มข้อความที่สร้างความมั่นใจลงใน UI (เช่น "เมื่อใช้พาสคีย์ ระบบจะไม่เปิดเผยข้อมูลไบโอเมตริกของผู้ใช้ต่อเว็บไซต์หรือแอป และข้อมูลไบโอเมตริกจะไม่ถูกส่งออกจากอุปกรณ์ส่วนตัวของผู้ใช้") และสร้างคำถามที่พบบ่อยหรือบทความสนับสนุนที่อธิบายเพิ่มเติม
เนื่องจากการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทำให้ผู้ใช้เข้าใจผิดว่าเป็นการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ ในความเป็นจริงแล้ว ข้อมูลไบโอเมตริกจะไม่หลุดออกจากอุปกรณ์ส่วนตัวของผู้ใช้
พาสคีย์เพียงอย่างเดียวไม่อนุญาตให้ติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ ระบบจะไม่ใช้พาสคีย์เดียวกันกับเว็บไซต์มากกว่า 1 แห่ง โปรโตคอลพาสคีย์ได้รับการออกแบบอย่างรอบคอบเพื่อให้มั่นใจว่าข้อมูลที่แชร์กับเว็บไซต์จะไม่สามารถใช้เป็นเวกเตอร์การติดตามได้
เครื่องมือจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น เครื่องมือจัดการรหัสผ่านบน Google จะเข้ารหัสลับของพาสคีย์แบบต้นทางถึงปลายทาง มีเพียงผู้ใช้เท่านั้นที่เข้าถึงและใช้ข้อมูลดังกล่าวได้ และแม้ว่าจะมีการสำรองข้อมูลไว้ในเซิร์ฟเวอร์ของ Google แต่ Google ก็ไม่สามารถใช้ข้อมูลดังกล่าวเพื่อแอบอ้างเป็นผู้ใช้ได้
สิทธิประโยชน์ด้านความปลอดภัย
เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจำตัวของเว็บไซต์หรือแอป จึงทนทานต่อการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการจะช่วยให้มั่นใจได้ว่าพาสคีย์จะใช้ได้กับเว็บไซต์หรือแอปที่สร้างพาสคีย์นั้นๆ เท่านั้น ซึ่งช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบในการลงชื่อเข้าใช้เว็บไซต์หรือแอปของแท้
-
พาสคีย์ใช้วิทยาการเข้ารหัสคีย์สาธารณะ
วิทยาการเข้ารหัสคีย์สาธารณะช่วยลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ด้วยเว็บไซต์หรือแอปพลิเคชัน ระบบจะสร้างคู่คีย์สาธารณะและคีย์ส่วนตัวในอุปกรณ์ของผู้ใช้ เว็บไซต์จะจัดเก็บเฉพาะคีย์สาธารณะ แต่คีย์นี้เพียงอย่างเดียวก็ไม่มีประโยชน์ต่อผู้โจมตี ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ ซึ่งจำเป็นต่อการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ -
ป้องกันการโจมตีแบบฟิชชิง
เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจำตัวของเว็บไซต์หรือแอป จึงทนทานต่อการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการจะช่วยให้มั่นใจได้ว่าพาสคีย์จะใช้ได้กับเว็บไซต์หรือแอปที่สร้างพาสคีย์นั้นๆ เท่านั้น ซึ่งช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบในการลงชื่อเข้าใช้เว็บไซต์หรือแอปของแท้
การใช้งานพาสคีย์
หากพร้อมเริ่มต้นใช้งานแล้ว คุณสามารถติดตั้งใช้งานพาสคีย์ใน Android, เว็บ และ iOS ได้โดยใช้คู่มือการติดตั้งใช้งานด้านล่าง
ฝั่งเซิร์ฟเวอร์
คู่มือการติดตั้งใช้งานสำหรับเซิร์ฟเวอร์
Android
คู่มือการติดตั้งใช้งานสำหรับ Android
Web
คู่มือการติดตั้งใช้งานสำหรับเว็บ
iOS
คู่มือการติดตั้งใช้งานสำหรับ iOS
แหล่งข้อมูลเพิ่มเติม
- กรณีศึกษาเกี่ยวกับพาสคีย์
- กรณีการใช้งาน
- คู่มือนักพัฒนาซอฟต์แวร์ พาสคีย์สำหรับผู้ให้บริการ
- สมัครรับข้อมูล จดหมายข่าวสำหรับนักพัฒนาแอปพาสคีย์ของ Google เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์