การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยรหัสผ่าน

บทนำ

Passkey เป็นรหัสผ่านที่เปลี่ยนได้ง่ายและปลอดภัยกว่า เมื่อใช้พาสคีย์ ผู้ใช้จะลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ด้วยข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือ หรือการจดจําใบหน้า) PIN หรือรูปแบบ ซึ่งช่วยให้ไม่ต้องจําและจัดการรหัสผ่านได้

พาสคีย์สามารถแทนที่รหัสผ่านและปัจจัยที่ 2 ในขั้นตอนเดียว ประสบการณ์ของผู้ใช้ทําได้ง่ายๆ เพียงกรอกแบบฟอร์มรหัสผ่านอัตโนมัติ พาสคีย์ได้รับการปกป้องที่รัดกุมจากการโจมตีแบบฟิชชิง ซึ่งต่างจาก SMS หรือรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การติดตั้งใช้งานเพียงครั้งเดียวจึงทําให้ประสบการณ์การรับชมรหัสผ่านไร้รหัสผ่านในเบราว์เซอร์และระบบปฏิบัติการต่างๆ ได้

พาสคีย์คืออะไร

พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่ผูกกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ช่วยให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้ รหัสผ่าน หรือระบุปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีจุดประสงค์เพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน

เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการที่ผู้ใช้จะช่วยเลือกและใช้พาสคีย์ที่เหมาะสม ประสบการณ์นี้คล้ายกับวิธีการทํางานของรหัสผ่านที่บันทึกไว้ในปัจจุบัน ระบบจะขอให้เจ้าของปลดล็อกอุปกรณ์โดยอัตโนมัติเพื่อตรวจสอบว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ซึ่งสามารถใช้ด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ

หากต้องการสร้างพาสคีย์สําหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียนกับเว็บไซต์หรือแอปพลิเคชันนั้นก่อน

1. ไปที่แอปพลิเคชันและลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
2. คลิกปุ่มสร้างรหัสผ่าน
3. ตรวจสอบข้อมูลที่จัดเก็บในพาสคีย์ใหม่
4. ใช้การปลดล็อกอุปกรณ์เพื่อสร้างพาสคีย์

เมื่อกลับไปที่เว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ให้ทําตามขั้นตอนต่อไปนี้

1. ไปที่แอปพลิเคชัน
2. คลิกลงชื่อเข้าใช้
3. เลือกพาสคีย์
4. ใช้การปลดล็อกด้วยหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสิ้น

อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามพาสคีย์ ลายเซ็นนี้ใช้เพื่อยืนยันข้อมูลเข้าสู่ระบบระหว่างต้นทางกับพาสคีย์

ผู้ใช้จะลงชื่อเข้าใช้บริการในอุปกรณ์ใดก็ได้โดยใช้พาสคีย์ ไม่ว่าจะเก็บพาสคีย์ไว้ที่ไหน เช่น พาสคีย์ที่สร้างขึ้นในโทรศัพท์มือถือ ใช้ลงชื่อเข้าใช้เว็บไซต์ในแล็ปท็อปเครื่องอื่นได้

พาสคีย์ทํางานอย่างไร

พาสคีย์มีไว้เพื่อใช้งานผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการที่ทําให้ผู้จัดการพาสคีย์สร้าง สํารองข้อมูล และทําให้พาสคีย์พร้อมใช้งานสําหรับแอปพลิเคชันที่ทํางานในระบบปฏิบัติการนั้น ใน Chrome บน Android พาสคีย์จะเก็บไว้ในเครื่องมือจัดการรหัสผ่านของ Google ซึ่งจะซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ซึ่งลงชื่อเข้าใช้บัญชี Google เดียวกัน

ผู้ใช้ไม่จํากัดอยู่แค่การใช้พาสคีย์ในอุปกรณ์ที่จัดเก็บไว้เท่านั้น พาสคีย์ที่เก็บไว้ในโทรศัพท์จะใช้ได้เมื่อลงชื่อเข้าสู่ระบบแล็ปท็อป ถึงแม้ว่าพาสคีย์จะไม่ซิงค์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นจากมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงจะนําไปใช้ได้

เช่น ผู้ใช้ไปที่ example.com ใน Chromebook ก่อนหน้านี้ผู้ใช้รายนี้ลงชื่อเข้าสู่ระบบ example.com ในอุปกรณ์ iOS และสร้างพาสคีย์ ใน Chromebook ผู้ใช้จะเลือกลงชื่อเข้าใช้ด้วยพาสคีย์ จากอุปกรณ์อื่น อุปกรณ์ทั้ง 2 เครื่องจะเชื่อมต่อและผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ iOS เช่น ด้วย FaceID หลังจากลงชื่อเข้าใช้แล้ว ก็จะลงชื่อเข้าใช้ Chromebook โปรดทราบว่าตัวรหัสผ่านเองไม่ได้โอนไปยัง Chromebook ดังนั้นโดยทั่วไปแล้ว example.com จะเสนอวิธีสร้างพาสคีย์ใหม่ให้ วิธีนี้ช่วยให้โทรศัพท์ไม่จําเป็นต้องลงชื่อเข้าใช้ในครั้งถัดไป ที่ผู้ใช้ต้องการลงชื่อเข้าใช้ อ่านข้อมูลเพิ่มเติมที่หัวข้อลงชื่อเข้าใช้ด้วยโทรศัพท์

ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว

• ผู้ใช้บางรายอาจประหลาดใจหากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกปรากฏในเว็บไซต์หรือแอปทันที และคิดว่านี่เป็นการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ เมื่อใช้พาสคีย์ ข้อมูลไบโอเมตริกของผู้ใช้จะไม่ปรากฏต่อเว็บไซต์หรือแอป เนื้อหาไบโอเมตริกจะไม่หลุดออกไปจากอุปกรณ์ส่วนตัวของผู้ใช้
• พาสคีย์เองไม่อนุญาตให้ติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ถูกใช้กับเว็บไซต์มากกว่า 1 เว็บไซต์ โปรโตคอลพาสคีย์ได้รับการออกแบบมาอย่างดีเพื่อให้ไม่สามารถใช้ข้อมูลที่แชร์กับเว็บไซต์เป็นเวกเตอร์การติดตามได้
• ผู้จัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น Google เครื่องมือจัดการรหัสผ่านจะเข้ารหัสข้อมูลลับในพาสคีย์ จากต้นทางถึงปลายทาง มีเพียงผู้ใช้เท่านั้นที่เข้าถึงและใช้งานได้ และแม้ว่าจะสํารองข้อมูลไปยังเซิร์ฟเวอร์ของ Google แล้ว แต่ Google ก็จะไม่สามารถใช้ URL ดังกล่าวเพื่อแอบอ้างเป็นผู้ใช้ได้

ข้อควรพิจารณาด้านความปลอดภัย

• พาสคีย์ใช้การเข้ารหัสคีย์สาธารณะ การเข้ารหัสคีย์สาธารณะจะลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ที่มีเว็บไซต์หรือแอปพลิเคชัน จะเป็นการสร้างคู่คีย์ส่วนตัว-สาธารณะในอุปกรณ์ของผู้ใช้ เฉพาะคีย์เท่านั้นที่มีการจัดเก็บคีย์สาธารณะ แต่การทําเช่นนี้ไม่ส่งผลใดๆ ต่อผู้โจมตีเท่านั้น ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ซึ่งจําเป็นสําหรับการตรวจสอบสิทธิ์
• เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจําตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการช่วยให้มั่นใจว่าพาสคีย์ จะใช้ได้เฉพาะกับเว็บไซต์หรือแอปที่สร้างพาสคีย์เท่านั้น ซึ่งช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบต่อการลงชื่อเข้าใช้เว็บไซต์หรือแอปที่แท้จริง

รับการแจ้งเตือน

ติดตามจดหมายข่าวนักพัฒนาซอฟต์แวร์ Google เกี่ยวกับพาสคีย์เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์

ขั้นตอนถัดไป

• ดูวิธีสร้างรหัสผ่านสําหรับการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านบนเว็บ
• ดูวิธีอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ด้วยพาสคีย์ผ่านแบบฟอร์มที่ป้อนอัตโนมัติบนเว็บ
• ดูวิธีลงชื่อเข้าใช้แอป Android โดยใช้ตัวจัดการข้อมูลเข้าสู่ระบบ