การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยรหัสผ่าน

ข้อมูลเบื้องต้น

พาสคีย์เป็นทางเลือกที่ปลอดภัยและง่ายดายกว่าการใช้รหัสผ่าน เมื่อใช้พาสคีย์ ผู้ใช้จะลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) PIN หรือรูปแบบ ช่วยให้ผู้ใช้ไม่ต้องจำและจัดการรหัสผ่าน

ทั้งนักพัฒนาซอฟต์แวร์และผู้ใช้เกลียดรหัสผ่าน พวกเขาทำให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ดี เพิ่มอุปสรรคในการเกิด Conversion และทำให้มีความรับผิดด้านความปลอดภัยสำหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านบน Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สำหรับนักพัฒนาซอฟต์แวร์ที่ต้องการปรับปรุงการแปลงและความปลอดภัยเพิ่มเติม พาสคีย์และการรวมศูนย์ข้อมูลประจำตัวคือแนวทางสมัยใหม่ของอุตสาหกรรม

พาสคีย์สามารถปฏิบัติตามข้อกำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยในขั้นตอนเดียว โดยจะแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อการป้องกันการโจมตีแบบฟิชชิงได้อย่างมีประสิทธิภาพและหลีกเลี่ยงปัญหาความยุ่งยากในการใช้ SMS หรือรหัสผ่านที่ใช้งานได้เพียงครั้งเดียวในแอป เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การใช้งานเพียงครั้งเดียวจึงช่วยให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ต้องใช้รหัสผ่านในอุปกรณ์ทุกเครื่องของผู้ใช้ ในเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน

พาสคีย์ใช้ง่ายขึ้น:

• ผู้ใช้เลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ ไม่ต้องพิมพ์ชื่อผู้ใช้
• ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจำใบหน้า หรือ PIN
• เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้สามารถเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้ได้ทันทีโดยไม่ต้องลงทะเบียนใหม่ (ต่างจากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบเดิม ซึ่งต้องมีการตั้งค่าในแต่ละอุปกรณ์)

พาสคีย์ปลอดภัยกว่า

• นักพัฒนาซอฟต์แวร์จะบันทึกคีย์สาธารณะไว้บนเซิร์ฟเวอร์แทนรหัสผ่านเท่านั้น ซึ่งหมายความว่าผู้ไม่ประสงค์ดีจะแฮ็กเซิร์ฟเวอร์ได้น้อยลงมาก และมีการจัดการน้อยลงมากในกรณีที่เกิดการละเมิด
• พาสคีย์ปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทำงานบนเว็บไซต์และแอปที่ลงทะเบียนไว้เท่านั้น ผู้ใช้จะหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้เพราะเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
• พาสคีย์ลดต้นทุนในการส่ง SMS ทำให้มีการตรวจสอบสิทธิ์แบบ 2 ปัจจัยที่ปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้น

พาสคีย์คืออะไร

พาสคีย์เป็นการรับรองแบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ช่วยให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือระบุปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีเป้าหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิมอย่างเช่นรหัสผ่าน

เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยผู้ใช้เลือกและใช้พาสคีย์ที่เหมาะสม การใช้งานนี้คล้ายกับการทำงาน ของรหัสผ่านที่บันทึกไว้ในปัจจุบัน ระบบจะขอให้เจ้าของปลดล็อกอุปกรณ์ เพื่อให้มั่นใจว่าเฉพาะเจ้าของที่ถูกต้องเท่านั้นที่จะใช้พาสคีย์ได้ การดำเนินการนี้อาจทำด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า), PIN หรือรูปแบบ

หากต้องการสร้างพาสคีย์สำหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียน กับเว็บไซต์หรือแอปพลิเคชันนั้นก่อน

1. ไปที่แอปพลิเคชันและลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
2. คลิกปุ่มสร้างพาสคีย์
3. ตรวจสอบข้อมูลที่จัดเก็บไว้ด้วยพาสคีย์ใหม่
4. ใช้การล็อกหน้าจออุปกรณ์เพื่อสร้างพาสคีย์

เมื่อกลับมายังเว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ผู้ใช้ทำตามขั้นตอนต่อไปนี้

1. ไปที่แอปพลิเคชัน
2. แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบการป้อนข้อความอัตโนมัติ
3. เลือกพาสคีย์
4. ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสมบูรณ์

อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามพาสคีย์ ลายเซ็นนี้จะใช้เพื่อยืนยันข้อมูลการเข้าสู่ระบบระหว่างต้นทางกับพาสคีย์

ผู้ใช้สามารถลงชื่อเข้าใช้บริการในอุปกรณ์ใดก็ได้โดยใช้พาสคีย์ ไม่ว่าจะเก็บพาสคีย์นั้นไว้ที่ใด เช่น พาสคีย์ที่สร้างบนโทรศัพท์มือถือใช้ ลงชื่อเข้าใช้เว็บไซต์ในแล็ปท็อปเครื่องอื่นได้

พาสคีย์ทำงานอย่างไร

พาสคีย์มีไว้เพื่อใช้ผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการที่ช่วยให้ผู้จัดการพาสคีย์สร้าง สำรองข้อมูล และทำให้พาสคีย์พร้อมใช้งานสำหรับแอปพลิเคชันที่ทำงานในระบบปฏิบัติการดังกล่าว ใน Android คุณสามารถจัดเก็บพาสคีย์ไว้ในเครื่องมือจัดการรหัสผ่านบน Google ซึ่งซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์จะได้รับการเข้ารหัสอย่างปลอดภัยในอุปกรณ์ก่อนที่จะซิงค์ และต้องมีการถอดรหัสในอุปกรณ์ใหม่ ผู้ใช้ที่มี Android OS 14 ขึ้นไปสามารถเลือกจัดเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่ใช้ร่วมกันได้

ผู้ใช้ไม่จำกัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่มีให้บริการเท่านั้น คุณจะใช้พาสคีย์ที่พร้อมใช้งานในโทรศัพท์เมื่อเข้าสู่ระบบแล็ปท็อปได้ แม้ว่าพาสคีย์จะไม่ซิงค์กับแล็ปท็อป ตราบใดที่โทรศัพท์อยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นตามมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงนำไปใช้ได้

ตัวอย่างเช่น ผู้ใช้เข้าชม example.com บนเบราว์เซอร์ Chrome บนเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com ในอุปกรณ์ Android และสร้างพาสคีย์แล้ว ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ 2 เครื่องจะเชื่อมต่อกัน และผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น ด้วยเซ็นเซอร์ลายนิ้วมือ หลังจากเปิดใช้แล้ว ผู้ใช้ก็ลงชื่อเข้าใช้ในเครื่อง Windows โปรดทราบว่าตัวพาสคีย์เองจะไม่โอนไปยังเครื่อง Windows ดังนั้นโดยทั่วไป example.com จะเสนอให้สร้างพาสคีย์ใหม่ในเครื่องนั้น ซึ่งจะทำให้ไม่จำเป็นต้องใช้โทรศัพท์ในครั้งต่อไปที่ผู้ใช้ต้องการลงชื่อเข้าใช้ โปรดอ่านการลงชื่อเข้าใช้ด้วยโทรศัพท์เพื่อดูข้อมูลเพิ่มเติม

ใครกำลังใช้พาสคีย์อยู่

มีบริการจำนวนหนึ่งที่ใช้พาสคีย์ในระบบอยู่แล้ว

• สัญลักษณ์ DocuSign
• Google
  • ตอนต้นของส่วนท้ายของรหัสผ่าน
  • บล็อกความปลอดภัยทางออนไลน์ของ Google: ทำให้การตรวจสอบสิทธิ์เร็วกว่าที่เคย เช่น รหัสผ่านและรหัสผ่าน
  • การออกแบบประสบการณ์ของผู้ใช้พาสคีย์ในบัญชี Google
• คายัค
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • วิธีที่พาสคีย์ลดอุปสรรคในประสบการณ์การช็อปปิ้งผ่านอีคอมเมิร์ซ
  • การรองรับพาสคีย์ในขั้นตอนการตรวจสอบสิทธิ์ของ Shop
• Yahoo! ญี่ปุ่น
  • การตั้งค่า Yahoo! การตรวจสอบสิทธิ์แบบไม่ต้องใช้รหัสผ่านของญี่ปุ่นลดการสอบถามลง 25% ทำให้ลงชื่อเข้าใช้ได้เร็วขึ้นถึง 2.6 เท่า

ทดลองด้วยตัวคุณเอง

คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/

ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว

• เนื่องจากการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทำให้ผู้ใช้เข้าใจผิดว่านี่เป็นการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ ในความเป็นจริง วัสดุข้อมูลไบโอเมตริกจะไม่ออกไปจากอุปกรณ์ส่วนตัวของผู้ใช้
• พาสคีย์เองไม่อนุญาตให้ติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ใช้กับเว็บไซต์มากกว่า 1 เว็บไซต์ โปรโตคอลพาสคีย์ออกแบบมาด้วยความรอบคอบเพื่อให้ไม่สามารถใช้ข้อมูลที่แชร์กับเว็บไซต์เป็นเวกเตอร์การติดตามได้
• ตัวจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น เครื่องมือจัดการรหัสผ่านบน Google เข้ารหัสข้อมูลลับของพาสคีย์จากต้นทางถึงปลายทาง มีเพียงผู้ใช้เท่านั้นที่เข้าถึงและใช้งานได้ และแม้ว่าจะสำรองข้อมูลไว้ในเซิร์ฟเวอร์ของ Google แล้ว Google ก็ไม่สามารถใช้ผู้ใช้เหล่านี้ในการแอบอ้างเป็นผู้ใช้ได้

ข้อควรพิจารณาด้านความปลอดภัย

• พาสคีย์ใช้วิทยาการเข้ารหัสคีย์สาธารณะ การเข้ารหัสคีย์สาธารณะช่วยลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ด้วยเว็บไซต์หรือแอปพลิเคชัน การดำเนินการนี้จะสร้างคู่คีย์สาธารณะและส่วนตัวบนอุปกรณ์ของผู้ใช้ เว็บไซต์จัดเก็บเฉพาะคีย์สาธารณะเท่านั้น แต่ผู้โจมตีก็ไม่มีประโยชน์ใดๆ ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่เก็บบนเซิร์ฟเวอร์ ซึ่งจำเป็นสำหรับการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์
• เนื่องจากพาสคีย์เชื่อมโยงอยู่กับข้อมูลประจำตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการดูแลให้พาสคีย์ใช้ได้ กับเว็บไซต์หรือแอปที่สร้างพาสคีย์เท่านั้น ซึ่งทำให้ผู้ใช้ไม่ต้องรับผิดชอบในการลงชื่อเข้าใช้ เว็บไซต์หรือแอปที่แท้จริง

รับการแจ้งเตือน

สมัครจดหมายข่าวสำหรับนักพัฒนาซอฟต์แวร์พาสคีย์ของ Google เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์

ขั้นตอนถัดไป

• การรองรับพาสคีย์ใน Android และ Chrome
• คำถามที่พบบ่อย
• Use Case
• คู่มือนักพัฒนาซอฟต์แวร์เกี่ยวกับพาสคีย์สำหรับ ผู้ให้บริการที่ต้องพึ่งพา
• ดูวิธีลงชื่อเข้าใช้แอป Android โดยใช้เครื่องมือจัดการข้อมูลเข้าสู่ระบบ