การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยพาสคีย์

เกริ่นนำ

พาสคีย์ปลอดภัยกว่าและใช้งานง่ายกว่าเมื่อเทียบกับรหัสผ่าน พาสคีย์ช่วยให้ผู้ใช้ลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) PIN หรือรูปแบบ ช่วยให้ผู้ใช้ไม่ต้องจำและจัดการรหัสผ่าน

ทั้งนักพัฒนาซอฟต์แวร์และผู้ใช้เกลียดรหัสผ่านเพราะทำให้ผู้ใช้ได้รับประสบการณ์ที่ไม่ดี เพิ่มอุปสรรคใน Conversion และสร้างความรับผิดด้านความปลอดภัยสำหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านบน Google ใน Android และ Chrome ช่วยลดความยุ่งยาก ผ่านการป้อนข้อความอัตโนมัติ สำหรับนักพัฒนาซอฟต์แวร์ที่ต้องการปรับปรุงการแปลงและความปลอดภัยเพิ่มเติม พาสคีย์และการรวมศูนย์ข้อมูลประจำตัวเป็นวิธีการสมัยใหม่ของอุตสาหกรรม

พาสคีย์สามารถเป็นไปตามข้อกำหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยในขั้นตอนเดียว โดยจะแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อการป้องกันการโจมตีแบบฟิชชิงที่แข็งแกร่งและหลีกเลี่ยงความยุ่งยากของ UX จาก SMS หรือรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวของแอป เนื่องจากพาสคีย์เป็นแบบมาตรฐาน การใช้งานเพียงครั้งเดียวจึงทำให้ได้รับประสบการณ์ที่ไม่ต้องใช้รหัสผ่านในอุปกรณ์ของผู้ใช้ทุกเครื่องในเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน

พาสคีย์ใช้งานง่ายกว่า:

• ผู้ใช้สามารถเลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ ไม่จำเป็นต้องพิมพ์ชื่อผู้ใช้
• ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจำใบหน้า หรือ PIN
• เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้จะเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้ได้ทันทีโดยไม่ต้องลงทะเบียนซ้ำ (ต่างจากการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบดั้งเดิมที่ต้องมีการตั้งค่าในอุปกรณ์แต่ละเครื่อง)

พาสคีย์ปลอดภัยกว่า

• นักพัฒนาซอฟต์แวร์จะบันทึกคีย์สาธารณะไปยังเซิร์ฟเวอร์แทนรหัสผ่านเท่านั้น ซึ่งหมายความว่าผู้ไม่ประสงค์ดีจะแฮ็กเซิร์ฟเวอร์ได้คุ้มค่าน้อยกว่าและช่วยทำความสะอาดในกรณีที่เกิดการละเมิดได้น้อยกว่า
• พาสคีย์จะปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทำงานบนเว็บไซต์และแอปที่ลงทะเบียนเท่านั้น ผู้ใช้จะถูกล่อลวงให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้ เนื่องจากเบราว์เซอร์หรือระบบปฏิบัติการจัดการการยืนยัน
• พาสคีย์ลดต้นทุนในการส่ง SMS ทำให้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยมีความปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้น

พาสคีย์คืออะไร

พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่ผูกกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ช่วยให้ผู้ใช้ตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือระบุปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีจุดมุ่งหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน

เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยผู้ใช้เลือกและใช้พาสคีย์ที่เหมาะสม ซึ่งประสบการณ์นี้ จะคล้ายกับการทำงานของรหัสผ่านที่บันทึกไว้ในปัจจุบัน ระบบจะขอให้เจ้าของปลดล็อกอุปกรณ์ เพื่อให้มั่นใจว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ซึ่งอาจทำด้วยเซ็นเซอร์ไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) PIN หรือรูปแบบ

หากต้องการสร้างพาสคีย์สำหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียนกับเว็บไซต์หรือแอปพลิเคชันก่อน

1. ไปที่แอปพลิเคชันและลงชื่อเข้าใช้ด้วยวิธีลงชื่อเข้าใช้ที่มีอยู่
2. คลิกปุ่มสร้างพาสคีย์
3. ตรวจสอบข้อมูลที่จัดเก็บไว้ด้วยพาสคีย์ใหม่
4. ใช้การปลดล็อกหน้าจออุปกรณ์เพื่อสร้างพาสคีย์

เมื่อผู้ใช้กลับมาที่เว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ผู้ใช้ทำตามขั้นตอนต่อไปนี้ได้

1. ไปที่แอปพลิเคชันที่ต้องการ
2. แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบการป้อนข้อความอัตโนมัติ
3. เลือกพาสคีย์
4. ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสมบูรณ์

อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามพาสคีย์ ลายเซ็นนี้จะใช้เพื่อยืนยันข้อมูลการเข้าสู่ระบบระหว่างต้นทางและพาสคีย์

ผู้ใช้จะลงชื่อเข้าใช้บริการในอุปกรณ์ใดก็ได้โดยใช้พาสคีย์ ไม่ว่าจะเก็บพาสคีย์ไว้ที่ไหนก็ตาม เช่น พาสคีย์ที่สร้างในโทรศัพท์มือถือสามารถใช้เพื่อลงชื่อเข้าใช้เว็บไซต์ในแล็ปท็อปแยกต่างหากได้

พาสคีย์ทำงานอย่างไร

พาสคีย์มีไว้เพื่อใช้ผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการที่ช่วยให้เครื่องมือจัดการพาสคีย์สามารถสร้าง สำรองข้อมูล และทำให้พาสคีย์พร้อมใช้งานสำหรับแอปพลิเคชันที่ทำงานในระบบปฏิบัติการนั้นๆ ใน Android คุณสามารถจัดเก็บพาสคีย์ไว้ในเครื่องมือจัดการรหัสผ่านบน Google ซึ่งซิงค์พาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์จะได้รับการเข้ารหัสอย่างปลอดภัยในอุปกรณ์ก่อนที่จะซิงค์ และต้องมีการถอดรหัสในอุปกรณ์ใหม่ ผู้ที่ใช้ Android OS 14 ขึ้นไปสามารถเลือกจัดเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่เข้ากันได้

ผู้ใช้ไม่จำกัดการใช้พาสคีย์เฉพาะในอุปกรณ์ที่มีให้บริการเท่านั้น พาสคีย์ที่พร้อมใช้งานบนโทรศัพท์สามารถใช้เมื่อเข้าสู่ระบบแล็ปท็อปได้ แม้ว่าพาสคีย์จะไม่ซิงค์กับแล็ปท็อป ตราบใดที่โทรศัพท์วางอยู่ใกล้แล็ปท็อปและผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นบนมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงสามารถนำไปใช้ได้

ตัวอย่างเช่น ผู้ใช้เข้าชม example.com ในเบราว์เซอร์ Chrome บนเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com ในอุปกรณ์ Android และสร้างพาสคีย์ไว้ก่อนหน้านี้ ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ 2 เครื่องจะเชื่อมต่อกันและผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น เมื่อใช้เซ็นเซอร์ลายนิ้วมือ หลังจากทำเช่นนั้น พวกเขาจะลงชื่อเข้าใช้ ในเครื่อง Windows โปรดทราบว่าตัวพาสคีย์เองจะไม่โอนไปยังเครื่อง Windows ดังนั้นโดยทั่วไป example.com จะเสนอให้สร้างพาสคีย์ใหม่ในอุปกรณ์ดังกล่าว วิธีนี้จะทำให้ผู้ใช้ไม่จำเป็นต้องใช้โทรศัพท์ในครั้งถัดไปที่ต้องการลงชื่อเข้าใช้ อ่าน ลงชื่อเข้าใช้ด้วยโทรศัพท์ เพื่อดูข้อมูลเพิ่มเติม

ใครกำลังใช้พาสคีย์อยู่

มีบริการจำนวนมากที่ใช้พาสคีย์ในระบบของตนอยู่แล้ว

• DocuSign
• Google
  • ตอนต้นของส่วนท้ายของรหัสผ่าน
  • บล็อกการรักษาความปลอดภัยออนไลน์ของ Google: การตรวจสอบสิทธิ์ที่รวดเร็วกว่าที่เคย: การใช้พาสคีย์กับรหัสผ่าน
  • การออกแบบประสบการณ์ของผู้ใช้พาสคีย์ในบัญชี Google
• คายัค
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • วิธีที่พาสคีย์ลดจุดติดขัดในประสบการณ์การช็อปปิ้งผ่านอีคอมเมิร์ซ
  • การรองรับพาสคีย์ในขั้นตอนการตรวจสอบสิทธิ์ของร้านค้า
• Yahoo! ญี่ปุ่น
  • Yahoo! การตรวจสอบสิทธิ์โดยไม่ต้องใช้รหัสผ่านของญี่ปุ่นลดการสอบถามลงได้ 25% ทำให้การลงชื่อเข้าใช้ รวดเร็วขึ้นถึง 2.6 เท่า

ทดลองด้วยตัวคุณเอง

คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/

ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว

• เนื่องจากการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทำให้ผู้ใช้เข้าใจผิดว่านี่เป็นการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ ในความเป็นจริง วัสดุไบโอเมตริก จะไม่ออกไปจากอุปกรณ์ส่วนตัวของผู้ใช้
• พาสคีย์เพียงอย่างเดียวไม่อนุญาตให้ติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ เราจะไม่ใช้พาสคีย์เดียวกันในเว็บไซต์มากกว่า 1 เว็บไซต์ โปรโตคอลพาสคีย์ออกแบบมาด้วยความใส่ใจเพื่อไม่ให้ใช้ข้อมูลที่แชร์กับเว็บไซต์เป็นเวกเตอร์การติดตาม
• ตัวจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต เช่น เครื่องมือจัดการรหัสผ่านบน Google เข้ารหัสข้อมูลลับของพาสคีย์จากต้นทางถึงปลายทาง มีเพียงผู้ใช้เท่านั้นที่สามารถเข้าถึงและใช้งานได้ และแม้ว่าจะมีการสำรองข้อมูลไปยังเซิร์ฟเวอร์ของ Google แล้ว Google ก็ไม่สามารถใช้ผู้ใช้นี้เพื่อแอบอ้างเป็นผู้ใช้ได้

ข้อควรพิจารณาด้านความปลอดภัย

• พาสคีย์ใช้วิทยาการเข้ารหัสคีย์สาธารณะ วิทยาการเข้ารหัสคีย์สาธารณะช่วยลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ด้วยเว็บไซต์หรือแอปพลิเคชัน การดำเนินการนี้จะสร้างคู่คีย์สาธารณะและส่วนตัวในอุปกรณ์ของผู้ใช้ เว็บไซต์จะจัดเก็บเฉพาะคีย์สาธารณะเท่านั้น แต่เพียงอย่างเดียวก็ไม่มีประโยชน์สำหรับผู้โจมตี ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้ จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ ซึ่งจำเป็นสำหรับการตรวจสอบสิทธิ์อย่างสมบูรณ์
• เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจำตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการจะตรวจสอบว่าพาสคีย์ ใช้ได้กับเว็บไซต์หรือแอปที่สร้างพาสคีย์ดังกล่าวเท่านั้น ซึ่งทำให้ผู้ใช้ไม่ต้องรับผิดชอบต่อการลงชื่อเข้าใช้เว็บไซต์หรือแอปจริง

รับการแจ้งเตือน

สมัครรับจดหมายข่าวสำหรับนักพัฒนาซอฟต์แวร์พาสคีย์ของ Google เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์

ขั้นตอนถัดไป

• การรองรับพาสคีย์ใน Android และ Chrome
• คำถามที่พบบ่อย
• กรณีการใช้งาน
• คู่มือนักพัฒนาซอฟต์แวร์พาสคีย์สำหรับผู้ให้บริการที่เกี่ยวข้อง
• ดูวิธีลงชื่อเข้าใช้แอป Android โดยใช้เครื่องมือจัดการข้อมูลเข้าสู่ระบบ