ข้อมูลเบื้องต้น
พาสคีย์เป็นทางเลือกที่ปลอดภัยและง่ายดายกว่าการใช้รหัสผ่าน เมื่อใช้พาสคีย์ ผู้ใช้จะลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) PIN หรือรูปแบบ ช่วยให้ผู้ใช้ไม่ต้องจำและจัดการรหัสผ่าน
ทั้งนักพัฒนาซอฟต์แวร์และผู้ใช้เกลียดรหัสผ่าน พวกเขาทำให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ดี เพิ่มอุปสรรคในการเกิด Conversion และทำให้มีความรับผิดด้านความปลอดภัยสำหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านบน Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สำหรับนักพัฒนาซอฟต์แวร์ที่ต้องการปรับปรุงการแปลงและความปลอดภัยเพิ่มเติม พาสคีย์และการรวมศูนย์ข้อมูลประจำตัวคือแนวทางสมัยใหม่ของอุตสาหกรรม
พาสคีย์สามารถปฏิบัติตามข้อกำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยในขั้นตอนเดียว โดยจะแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อการป้องกันการโจมตีแบบฟิชชิงได้อย่างมีประสิทธิภาพและหลีกเลี่ยงปัญหาความยุ่งยากในการใช้ SMS หรือรหัสผ่านที่ใช้งานได้เพียงครั้งเดียวในแอป เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การใช้งานเพียงครั้งเดียวจึงช่วยให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ต้องใช้รหัสผ่านในอุปกรณ์ทุกเครื่องของผู้ใช้ ในเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน
พาสคีย์ใช้ง่ายขึ้น:
- ผู้ใช้เลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ ไม่ต้องพิมพ์ชื่อผู้ใช้
- ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจำใบหน้า หรือ PIN
- เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้สามารถเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้ได้ทันทีโดยไม่ต้องลงทะเบียนใหม่ (ต่างจากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบเดิม ซึ่งต้องมีการตั้งค่าในแต่ละอุปกรณ์)
พาสคีย์ปลอดภัยกว่า
- นักพัฒนาซอฟต์แวร์จะบันทึกคีย์สาธารณะไว้บนเซิร์ฟเวอร์แทนรหัสผ่านเท่านั้น ซึ่งหมายความว่าผู้ไม่ประสงค์ดีจะแฮ็กเซิร์ฟเวอร์ได้น้อยลงมาก และมีการจัดการน้อยลงมากในกรณีที่เกิดการละเมิด
- พาสคีย์ปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทำงานบนเว็บไซต์และแอปที่ลงทะเบียนไว้เท่านั้น ผู้ใช้จะหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้เพราะเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
- พาสคีย์ลดต้นทุนในการส่ง SMS ทำให้มีการตรวจสอบสิทธิ์แบบ 2 ปัจจัยที่ปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้น
พาสคีย์คืออะไร
พาสคีย์เป็นการรับรองแบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ช่วยให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือระบุปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีเป้าหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิมอย่างเช่นรหัสผ่าน
เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยผู้ใช้เลือกและใช้พาสคีย์ที่เหมาะสม การใช้งานนี้คล้ายกับการทำงาน ของรหัสผ่านที่บันทึกไว้ในปัจจุบัน ระบบจะขอให้เจ้าของปลดล็อกอุปกรณ์ เพื่อให้มั่นใจว่าเฉพาะเจ้าของที่ถูกต้องเท่านั้นที่จะใช้พาสคีย์ได้ การดำเนินการนี้อาจทำด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า), PIN หรือรูปแบบ
หากต้องการสร้างพาสคีย์สำหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียน กับเว็บไซต์หรือแอปพลิเคชันนั้นก่อน
- ไปที่แอปพลิเคชันและลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
- คลิกปุ่มสร้างพาสคีย์
- ตรวจสอบข้อมูลที่จัดเก็บไว้ด้วยพาสคีย์ใหม่
- ใช้การล็อกหน้าจออุปกรณ์เพื่อสร้างพาสคีย์
เมื่อกลับมายังเว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ผู้ใช้ทำตามขั้นตอนต่อไปนี้
- ไปที่แอปพลิเคชัน
- แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบการป้อนข้อความอัตโนมัติ
- เลือกพาสคีย์
- ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสมบูรณ์
อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามพาสคีย์ ลายเซ็นนี้จะใช้เพื่อยืนยันข้อมูลการเข้าสู่ระบบระหว่างต้นทางกับพาสคีย์
ผู้ใช้สามารถลงชื่อเข้าใช้บริการในอุปกรณ์ใดก็ได้โดยใช้พาสคีย์ ไม่ว่าจะเก็บพาสคีย์นั้นไว้ที่ใด เช่น พาสคีย์ที่สร้างบนโทรศัพท์มือถือใช้ ลงชื่อเข้าใช้เว็บไซต์ในแล็ปท็อปเครื่องอื่นได้
พาสคีย์ทำงานอย่างไร
พาสคีย์มีไว้เพื่อใช้ผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการที่ช่วยให้ผู้จัดการพาสคีย์สร้าง สำรองข้อมูล และทำให้พาสคีย์พร้อมใช้งานสำหรับแอปพลิเคชันที่ทำงานในระบบปฏิบัติการดังกล่าว ใน Android คุณสามารถจัดเก็บพาสคีย์ไว้ในเครื่องมือจัดการรหัสผ่านบน Google ซึ่งซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์จะได้รับการเข้ารหัสอย่างปลอดภัยในอุปกรณ์ก่อนที่จะซิงค์ และต้องมีการถอดรหัสในอุปกรณ์ใหม่ ผู้ใช้ที่มี Android OS 14 ขึ้นไปสามารถเลือกจัดเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่ใช้ร่วมกันได้
ผู้ใช้ไม่จำกัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่มีให้บริการเท่านั้น คุณจะใช้พาสคีย์ที่พร้อมใช้งานในโทรศัพท์เมื่อเข้าสู่ระบบแล็ปท็อปได้ แม้ว่าพาสคีย์จะไม่ซิงค์กับแล็ปท็อป ตราบใดที่โทรศัพท์อยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นตามมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงนำไปใช้ได้
ตัวอย่างเช่น ผู้ใช้เข้าชม example.com
บนเบราว์เซอร์ Chrome บนเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com
ในอุปกรณ์ Android และสร้างพาสคีย์แล้ว ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ 2 เครื่องจะเชื่อมต่อกัน และผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น ด้วยเซ็นเซอร์ลายนิ้วมือ หลังจากเปิดใช้แล้ว ผู้ใช้ก็ลงชื่อเข้าใช้ในเครื่อง Windows โปรดทราบว่าตัวพาสคีย์เองจะไม่โอนไปยังเครื่อง Windows ดังนั้นโดยทั่วไป example.com
จะเสนอให้สร้างพาสคีย์ใหม่ในเครื่องนั้น
ซึ่งจะทำให้ไม่จำเป็นต้องใช้โทรศัพท์ในครั้งต่อไปที่ผู้ใช้ต้องการลงชื่อเข้าใช้ โปรดอ่านการลงชื่อเข้าใช้ด้วยโทรศัพท์เพื่อดูข้อมูลเพิ่มเติม
ใครกำลังใช้พาสคีย์อยู่
มีบริการจำนวนหนึ่งที่ใช้พาสคีย์ในระบบอยู่แล้ว
- สัญลักษณ์ DocuSign
- คายัค
- Mercari
- NTT Docomo
- PayPal
- Shopify
- Yahoo! ญี่ปุ่น
ทดลองด้วยตัวคุณเอง
คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/
ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว
- เนื่องจากการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทำให้ผู้ใช้เข้าใจผิดว่านี่เป็นการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ ในความเป็นจริง วัสดุข้อมูลไบโอเมตริกจะไม่ออกไปจากอุปกรณ์ส่วนตัวของผู้ใช้
- พาสคีย์เองไม่อนุญาตให้ติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ใช้กับเว็บไซต์มากกว่า 1 เว็บไซต์ โปรโตคอลพาสคีย์ออกแบบมาด้วยความรอบคอบเพื่อให้ไม่สามารถใช้ข้อมูลที่แชร์กับเว็บไซต์เป็นเวกเตอร์การติดตามได้
- ตัวจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น เครื่องมือจัดการรหัสผ่านบน Google เข้ารหัสข้อมูลลับของพาสคีย์จากต้นทางถึงปลายทาง มีเพียงผู้ใช้เท่านั้นที่เข้าถึงและใช้งานได้ และแม้ว่าจะสำรองข้อมูลไว้ในเซิร์ฟเวอร์ของ Google แล้ว Google ก็ไม่สามารถใช้ผู้ใช้เหล่านี้ในการแอบอ้างเป็นผู้ใช้ได้
ข้อควรพิจารณาด้านความปลอดภัย
- พาสคีย์ใช้วิทยาการเข้ารหัสคีย์สาธารณะ การเข้ารหัสคีย์สาธารณะช่วยลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ด้วยเว็บไซต์หรือแอปพลิเคชัน การดำเนินการนี้จะสร้างคู่คีย์สาธารณะและส่วนตัวบนอุปกรณ์ของผู้ใช้ เว็บไซต์จัดเก็บเฉพาะคีย์สาธารณะเท่านั้น แต่ผู้โจมตีก็ไม่มีประโยชน์ใดๆ ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่เก็บบนเซิร์ฟเวอร์ ซึ่งจำเป็นสำหรับการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์
- เนื่องจากพาสคีย์เชื่อมโยงอยู่กับข้อมูลประจำตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการดูแลให้พาสคีย์ใช้ได้ กับเว็บไซต์หรือแอปที่สร้างพาสคีย์เท่านั้น ซึ่งทำให้ผู้ใช้ไม่ต้องรับผิดชอบในการลงชื่อเข้าใช้ เว็บไซต์หรือแอปที่แท้จริง
รับการแจ้งเตือน
สมัครจดหมายข่าวสำหรับนักพัฒนาซอฟต์แวร์พาสคีย์ของ Google เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์