ข้อมูลเบื้องต้น
พาสคีย์เป็นทางเลือกที่ง่ายและปลอดภัยกว่าการใช้รหัสผ่าน พาสคีย์ทําให้ผู้ใช้ลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ด้วยข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ ทําให้ไม่ต้องจดจําและจัดการรหัสผ่าน
นักพัฒนาซอฟต์แวร์และผู้ใช้ต่างก็เกลียดรหัสผ่านกันเพราะให้ประสบการณ์ผู้ใช้ที่ไม่ดี เพิ่มอุปสรรคใน Conversion และสร้างความรับผิดด้านความปลอดภัยสําหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านของ Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สําหรับนักพัฒนาที่ต้องการการปรับปรุงเพิ่มเติมในเรื่อง Conversion และความปลอดภัย พาสคีย์และการรวมศูนย์ข้อมูลประจําตัวเป็นแนวทางที่ทันสมัยของอุตสาหกรรม
พาสคีย์เป็นไปตามข้อกําหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ในขั้นตอนเดียว โดยแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อป้องกันการโจมตีแบบฟิชชิงอย่างมีประสิทธิภาพ และหลีกเลี่ยงความยุ่งยากในการใช้งาน SMS หรือรหัสผ่านแบบใช้ครั้งเดียวในแอป เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การใช้งานเพียงครั้งเดียวจึงทําให้ไม่ต้องใช้รหัสผ่านในอุปกรณ์ของผู้ใช้ทุกเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน
พาสคีย์จะทําได้ง่ายขึ้น:
- ผู้ใช้สามารถเลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ คุณไม่จําเป็นต้องพิมพ์ชื่อผู้ใช้
- ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจําใบหน้า หรือ PIN
- เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้จะเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้งานได้ทันทีโดยไม่ต้องลงทะเบียนซ้ํา (ไม่เหมือนการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบดั้งเดิม ซึ่งต้องมีการตั้งค่าในอุปกรณ์แต่ละเครื่อง)
พาสคีย์ปลอดภัยกว่า
- นักพัฒนาซอฟต์แวร์บันทึกเฉพาะคีย์สาธารณะไปยังเซิร์ฟเวอร์แทนรหัสผ่าน ซึ่งหมายความว่า ผู้ไม่ประสงค์ดีสามารถแฮ็กเซิร์ฟเวอร์ได้ในจํานวนที่น้อยกว่ามาก และใช้การทําความสะอาดในกรณีที่เกิดการละเมิดน้อยลงมาก
- พาสคีย์ช่วยปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทํางานบนเว็บไซต์และแอปที่ลงทะเบียนเท่านั้น ผู้ใช้จึงหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้เนื่องจากเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
- พาสคีย์ช่วยลดค่าใช้จ่ายในการส่ง SMS ทําให้เป็นวิธีการที่ปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้นสําหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย
พาสคีย์คืออะไร
พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ทําให้ผู้ใช้สามารถตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือให้ปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีจุดมุ่งหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน
เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยให้ผู้ใช้เลือกและใช้รหัสผ่านที่เหมาะสมได้ ประสบการณ์นี้คล้ายกับวิธีการทํางานของรหัสผ่านที่บันทึกไว้ในปัจจุบัน เพื่อให้มั่นใจว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ระบบจะขอให้ปลดล็อกอุปกรณ์ ซึ่งทําได้โดยใช้เซ็นเซอร์ชีวมิติ (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ
หากต้องการสร้างพาสคีย์สําหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียน กับแอปพลิเคชันหรือแอปพลิเคชันนั้นก่อน
- ไปที่แอปพลิเคชันแล้วลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
- คลิกปุ่มพาสคีย์
- ตรวจสอบข้อมูลที่จัดเก็บในพาสคีย์ใหม่
- ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อสร้างพาสคีย์
เมื่อผู้ใช้กลับมายังเว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ให้ทําตามขั้นตอนต่อไปนี้
- ไปที่แอปพลิเคชัน
- แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบป้อนข้อความอัตโนมัติ
- เลือกพาสคีย์ของพวกเขา
- ใช้การปลดล็อกด้วยหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสิ้น
อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามรหัสผ่าน ลายเซ็นนี้จะถูกใช้เพื่อยืนยันข้อมูลรับรองการเข้าสู่ระบบระหว่างต้นทางและพาสคีย์
ผู้ใช้จะลงชื่อเข้าใช้อุปกรณ์ต่างๆ ด้วยพาสคีย์ได้ ไม่ว่าพาสคีย์จะเก็บไว้ที่ใด ตัวอย่างเช่น พาสคีย์ที่สร้างด้วยโทรศัพท์มือถือ สามารถใช้เพื่อลงชื่อเข้าใช้เว็บไซต์บนแล็ปท็อปแยกต่างหากได้
พาสคีย์ทํางานอย่างไร
พาสคีย์มีไว้เพื่อใช้งานผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการ ซึ่งช่วยให้ผู้จัดการพาสคีย์สร้าง สํารองข้อมูล และทําให้พาสคีย์ใช้งานได้กับแอปพลิเคชันที่ทํางานในระบบปฏิบัติการนั้น ใน Android พาสคีย์จะจัดเก็บในเครื่องมือจัดการรหัสผ่านของ Google ซึ่งจะซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์ได้รับการเข้ารหัสไว้อย่างปลอดภัยในอุปกรณ์ก่อนจะซิงค์และต้องถอดรหัสในอุปกรณ์ใหม่ ผู้ใช้ที่ใช้ Android OS 14 ขึ้นไปสามารถเลือกเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่เข้ากันได้
ผู้ใช้จะไม่ถูกจํากัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่สามารถใช้งานได้เท่านั้น พาสคีย์ที่ใช้ได้บนโทรศัพท์จะใช้ได้เมื่อลงชื่อเข้าใช้แล็ปท็อป ถึงแม้ว่าจะไม่มีการซิงค์ข้อมูลพาสคีย์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้กับแล็ปท็อป และผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นจากมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงนําไปใช้ได้
ตัวอย่างเช่น ผู้ใช้คนหนึ่งเข้าชม example.com
ในเบราว์เซอร์ Chrome ในเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com
ในอุปกรณ์ Android ของตนและสร้างพาสคีย์แล้ว ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้
ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ทั้ง 2 เครื่องจะเชื่อมต่อกัน และผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น ด้วยเซ็นเซอร์ลายนิ้วมือ หลังจากดําเนินการแล้ว พวกเขาจะลงชื่อเข้าใช้
ในเครื่อง Windows โปรดทราบว่าพาสคีย์ไม่ได้ถูกโอนไปยังเครื่อง Windows ดังนั้น example.com
จึงมักจะเสนอการสร้างพาสคีย์ใหม่ที่นั่น
วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องลงชื่อเข้าใช้ในครั้งต่อไปที่ต้องการลงชื่อเข้าใช้ อ่านข้อมูลเพิ่มเติมที่หัวข้อลงชื่อเข้าใช้ด้วยโทรศัพท์
ใครใช้พาสคีย์อยู่
บริการจํานวนมากใช้พาสคีย์ในระบบอยู่แล้ว
- DocuSign
- คายัค
- Mercari
- NTT Docomo
- PayPal
- Shopify
- Yahoo! ญี่ปุ่น
ทดลองด้วยตัวคุณเอง
คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/
ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว
- เพราะการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทําให้ผู้ใช้เข้าใจผิดว่า กําลังส่งข้อมูลที่มีความละเอียดอ่อนไปยังเซิร์ฟเวอร์ อันที่จริงแล้ว วัสดุชีวมิติ ไม่เคยหลุดจากอุปกรณ์ส่วนตัวของผู้ใช้
- พาสคีย์เองไม่อนุญาตให้มีการติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ถูกใช้กับไซต์มากกว่า 1 ไซต์ โปรโตคอลพาสคีย์ได้รับการออกแบบมาอย่างดีเพื่อไม่ให้ใช้ข้อมูลที่แชร์กับไซต์เป็นเวกเตอร์การติดตามได้
- เครื่องมือจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น Google เครื่องมือจัดการรหัสผ่านเข้ารหัสข้อมูลลับแบบจุดต่อจุด มีเพียงผู้ใช้เท่านั้นที่สามารถเข้าถึงและใช้งาน และแม้ว่าจะมีการสํารองไว้ในเซิร์ฟเวอร์ของ Google แล้ว แต่ Google จะไม่สามารถใช้ข้อมูลดังกล่าวเพื่อแอบอ้างเป็นผู้ใช้ได้
ข้อควรพิจารณาด้านความปลอดภัย
- พาสคีย์ใช้การเข้ารหัสคีย์สาธารณะ วิทยาการเข้ารหัสลับสาธารณะจะลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ที่มีเว็บไซต์หรือแอปพลิเคชัน จะเป็นการสร้างคู่คีย์สาธารณะ-ส่วนตัวในอุปกรณ์ของผู้ใช้ ไซต์จัดเก็บคีย์สาธารณะไว้เท่านั้น โดยผู้โจมตีเท่านั้นที่ไม่มีประโยชน์ ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ ซึ่งจําเป็นต้องดําเนินการตรวจสอบสิทธิ์
- เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจําตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการดูแลให้พาสคีย์ ใช้ได้กับเว็บไซต์หรือแอปที่สร้างเท่านั้น วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบต่อ การลงชื่อเข้าใช้ในเว็บไซต์หรือแอปที่แท้จริง
รับการแจ้งเตือน
สมัครรับข้อมูลจดหมายข่าวนักพัฒนาซอฟต์แวร์ Google เกี่ยวกับพาสคีย์เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์