การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยรหัสผ่าน

พาสคีย์

ข้อมูลเบื้องต้น

พาสคีย์เป็นทางเลือกที่ง่ายและปลอดภัยกว่าการใช้รหัสผ่าน พาสคีย์ทําให้ผู้ใช้ลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ด้วยข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ ทําให้ไม่ต้องจดจําและจัดการรหัสผ่าน

นักพัฒนาซอฟต์แวร์และผู้ใช้ต่างก็เกลียดรหัสผ่านกันเพราะให้ประสบการณ์ผู้ใช้ที่ไม่ดี เพิ่มอุปสรรคใน Conversion และสร้างความรับผิดด้านความปลอดภัยสําหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านของ Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สําหรับนักพัฒนาที่ต้องการการปรับปรุงเพิ่มเติมในเรื่อง Conversion และความปลอดภัย พาสคีย์และการรวมศูนย์ข้อมูลประจําตัวเป็นแนวทางที่ทันสมัยของอุตสาหกรรม

พาสคีย์เป็นไปตามข้อกําหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ในขั้นตอนเดียว โดยแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อป้องกันการโจมตีแบบฟิชชิงอย่างมีประสิทธิภาพ และหลีกเลี่ยงความยุ่งยากในการใช้งาน SMS หรือรหัสผ่านแบบใช้ครั้งเดียวในแอป เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การใช้งานเพียงครั้งเดียวจึงทําให้ไม่ต้องใช้รหัสผ่านในอุปกรณ์ของผู้ใช้ทุกเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน

พาสคีย์จะทําได้ง่ายขึ้น:

  • ผู้ใช้สามารถเลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ คุณไม่จําเป็นต้องพิมพ์ชื่อผู้ใช้
  • ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจําใบหน้า หรือ PIN
  • เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้จะเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้งานได้ทันทีโดยไม่ต้องลงทะเบียนซ้ํา (ไม่เหมือนการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบดั้งเดิม ซึ่งต้องมีการตั้งค่าในอุปกรณ์แต่ละเครื่อง)

พาสคีย์ปลอดภัยกว่า

  • นักพัฒนาซอฟต์แวร์บันทึกเฉพาะคีย์สาธารณะไปยังเซิร์ฟเวอร์แทนรหัสผ่าน ซึ่งหมายความว่า ผู้ไม่ประสงค์ดีสามารถแฮ็กเซิร์ฟเวอร์ได้ในจํานวนที่น้อยกว่ามาก และใช้การทําความสะอาดในกรณีที่เกิดการละเมิดน้อยลงมาก
  • พาสคีย์ช่วยปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทํางานบนเว็บไซต์และแอปที่ลงทะเบียนเท่านั้น ผู้ใช้จึงหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้เนื่องจากเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
  • พาสคีย์ช่วยลดค่าใช้จ่ายในการส่ง SMS ทําให้เป็นวิธีการที่ปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้นสําหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

พาสคีย์คืออะไร

พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ทําให้ผู้ใช้สามารถตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือให้ปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีจุดมุ่งหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน

เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยให้ผู้ใช้เลือกและใช้รหัสผ่านที่เหมาะสมได้ ประสบการณ์นี้คล้ายกับวิธีการทํางานของรหัสผ่านที่บันทึกไว้ในปัจจุบัน เพื่อให้มั่นใจว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ระบบจะขอให้ปลดล็อกอุปกรณ์ ซึ่งทําได้โดยใช้เซ็นเซอร์ชีวมิติ (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ

หากต้องการสร้างพาสคีย์สําหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียน กับแอปพลิเคชันหรือแอปพลิเคชันนั้นก่อน

  1. ไปที่แอปพลิเคชันแล้วลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
  2. คลิกปุ่มพาสคีย์
  3. ตรวจสอบข้อมูลที่จัดเก็บในพาสคีย์ใหม่
  4. ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อสร้างพาสคีย์

เมื่อผู้ใช้กลับมายังเว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ให้ทําตามขั้นตอนต่อไปนี้

  1. ไปที่แอปพลิเคชัน
  2. แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบป้อนข้อความอัตโนมัติ
  3. เลือกพาสคีย์ของพวกเขา
  4. ใช้การปลดล็อกด้วยหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสิ้น

อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามรหัสผ่าน ลายเซ็นนี้จะถูกใช้เพื่อยืนยันข้อมูลรับรองการเข้าสู่ระบบระหว่างต้นทางและพาสคีย์

ผู้ใช้จะลงชื่อเข้าใช้อุปกรณ์ต่างๆ ด้วยพาสคีย์ได้ ไม่ว่าพาสคีย์จะเก็บไว้ที่ใด ตัวอย่างเช่น พาสคีย์ที่สร้างด้วยโทรศัพท์มือถือ สามารถใช้เพื่อลงชื่อเข้าใช้เว็บไซต์บนแล็ปท็อปแยกต่างหากได้

พาสคีย์ทํางานอย่างไร

พาสคีย์มีไว้เพื่อใช้งานผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการ ซึ่งช่วยให้ผู้จัดการพาสคีย์สร้าง สํารองข้อมูล และทําให้พาสคีย์ใช้งานได้กับแอปพลิเคชันที่ทํางานในระบบปฏิบัติการนั้น ใน Android พาสคีย์จะจัดเก็บในเครื่องมือจัดการรหัสผ่านของ Google ซึ่งจะซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์ได้รับการเข้ารหัสไว้อย่างปลอดภัยในอุปกรณ์ก่อนจะซิงค์และต้องถอดรหัสในอุปกรณ์ใหม่ ผู้ใช้ที่ใช้ Android OS 14 ขึ้นไปสามารถเลือกเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่เข้ากันได้

ผู้ใช้จะไม่ถูกจํากัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่สามารถใช้งานได้เท่านั้น พาสคีย์ที่ใช้ได้บนโทรศัพท์จะใช้ได้เมื่อลงชื่อเข้าใช้แล็ปท็อป ถึงแม้ว่าจะไม่มีการซิงค์ข้อมูลพาสคีย์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้กับแล็ปท็อป และผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นจากมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงนําไปใช้ได้

ตัวอย่างเช่น ผู้ใช้คนหนึ่งเข้าชม example.com ในเบราว์เซอร์ Chrome ในเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com ในอุปกรณ์ Android ของตนและสร้างพาสคีย์แล้ว ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้ ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ทั้ง 2 เครื่องจะเชื่อมต่อกัน และผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น ด้วยเซ็นเซอร์ลายนิ้วมือ หลังจากดําเนินการแล้ว พวกเขาจะลงชื่อเข้าใช้ ในเครื่อง Windows โปรดทราบว่าพาสคีย์ไม่ได้ถูกโอนไปยังเครื่อง Windows ดังนั้น example.com จึงมักจะเสนอการสร้างพาสคีย์ใหม่ที่นั่น วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องลงชื่อเข้าใช้ในครั้งต่อไปที่ต้องการลงชื่อเข้าใช้ อ่านข้อมูลเพิ่มเติมที่หัวข้อลงชื่อเข้าใช้ด้วยโทรศัพท์

ใครใช้พาสคีย์อยู่

บริการจํานวนมากใช้พาสคีย์ในระบบอยู่แล้ว

ทดลองด้วยตัวคุณเอง

คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/

ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว

  • เพราะการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทําให้ผู้ใช้เข้าใจผิดว่า กําลังส่งข้อมูลที่มีความละเอียดอ่อนไปยังเซิร์ฟเวอร์ อันที่จริงแล้ว วัสดุชีวมิติ ไม่เคยหลุดจากอุปกรณ์ส่วนตัวของผู้ใช้
  • พาสคีย์เองไม่อนุญาตให้มีการติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ถูกใช้กับไซต์มากกว่า 1 ไซต์ โปรโตคอลพาสคีย์ได้รับการออกแบบมาอย่างดีเพื่อไม่ให้ใช้ข้อมูลที่แชร์กับไซต์เป็นเวกเตอร์การติดตามได้
  • เครื่องมือจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น Google เครื่องมือจัดการรหัสผ่านเข้ารหัสข้อมูลลับแบบจุดต่อจุด มีเพียงผู้ใช้เท่านั้นที่สามารถเข้าถึงและใช้งาน และแม้ว่าจะมีการสํารองไว้ในเซิร์ฟเวอร์ของ Google แล้ว แต่ Google จะไม่สามารถใช้ข้อมูลดังกล่าวเพื่อแอบอ้างเป็นผู้ใช้ได้

ข้อควรพิจารณาด้านความปลอดภัย

  • พาสคีย์ใช้การเข้ารหัสคีย์สาธารณะ วิทยาการเข้ารหัสลับสาธารณะจะลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ที่มีเว็บไซต์หรือแอปพลิเคชัน จะเป็นการสร้างคู่คีย์สาธารณะ-ส่วนตัวในอุปกรณ์ของผู้ใช้ ไซต์จัดเก็บคีย์สาธารณะไว้เท่านั้น โดยผู้โจมตีเท่านั้นที่ไม่มีประโยชน์ ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ ซึ่งจําเป็นต้องดําเนินการตรวจสอบสิทธิ์
  • เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจําตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการดูแลให้พาสคีย์ ใช้ได้กับเว็บไซต์หรือแอปที่สร้างเท่านั้น วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบต่อ การลงชื่อเข้าใช้ในเว็บไซต์หรือแอปที่แท้จริง

รับการแจ้งเตือน

สมัครรับข้อมูลจดหมายข่าวนักพัฒนาซอฟต์แวร์ Google เกี่ยวกับพาสคีย์เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์

ขั้นตอนถัดไป