การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยรหัสผ่าน

ข้อมูลเบื้องต้น

พาสคีย์เป็นทางเลือกที่ง่ายและปลอดภัยกว่าการใช้รหัสผ่าน พาสคีย์ทําให้ผู้ใช้ลงชื่อเข้าใช้แอปและเว็บไซต์ด้วยเซ็นเซอร์ด้วยข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ ทําให้ไม่ต้องจดจําและจัดการรหัสผ่าน

นักพัฒนาซอฟต์แวร์และผู้ใช้ต่างก็เกลียดรหัสผ่านกันเพราะให้ประสบการณ์ผู้ใช้ที่ไม่ดี เพิ่มอุปสรรคใน Conversion และสร้างความรับผิดด้านความปลอดภัยสําหรับทั้งผู้ใช้และนักพัฒนาซอฟต์แวร์ เครื่องมือจัดการรหัสผ่านของ Google ใน Android และ Chrome ช่วยลดความยุ่งยากผ่านการป้อนข้อความอัตโนมัติ สําหรับนักพัฒนาที่ต้องการการปรับปรุงเพิ่มเติมในเรื่อง Conversion และความปลอดภัย พาสคีย์และการรวมศูนย์ข้อมูลประจําตัวเป็นแนวทางที่ทันสมัยของอุตสาหกรรม

พาสคีย์เป็นไปตามข้อกําหนดการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ในขั้นตอนเดียว โดยแทนที่ทั้งรหัสผ่านและ OTP (เช่น รหัส SMS 6 หลัก) เพื่อป้องกันการโจมตีแบบฟิชชิงอย่างมีประสิทธิภาพ และหลีกเลี่ยงความยุ่งยากในการใช้งาน SMS หรือรหัสผ่านแบบใช้ครั้งเดียวในแอป เนื่องจากพาสคีย์เป็นมาตรฐานเดียวกัน การใช้งานเพียงครั้งเดียวจึงทําให้ไม่ต้องใช้รหัสผ่านในอุปกรณ์ของผู้ใช้ทุกเบราว์เซอร์และระบบปฏิบัติการที่แตกต่างกัน

พาสคีย์จะทําได้ง่ายขึ้น:

• ผู้ใช้สามารถเลือกบัญชีเพื่อลงชื่อเข้าใช้ได้ คุณไม่จําเป็นต้องพิมพ์ชื่อผู้ใช้
• ผู้ใช้สามารถตรวจสอบสิทธิ์โดยใช้การล็อกหน้าจอของอุปกรณ์ เช่น เซ็นเซอร์ลายนิ้วมือ การจดจําใบหน้า หรือ PIN
• เมื่อสร้างและลงทะเบียนพาสคีย์แล้ว ผู้ใช้จะเปลี่ยนไปใช้อุปกรณ์ใหม่ได้อย่างราบรื่นและใช้งานได้ทันทีโดยไม่ต้องลงทะเบียนซ้ํา (ไม่เหมือนการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริกแบบดั้งเดิม ซึ่งต้องมีการตั้งค่าในอุปกรณ์แต่ละเครื่อง)

พาสคีย์ปลอดภัยกว่า

• นักพัฒนาซอฟต์แวร์บันทึกเฉพาะคีย์สาธารณะไปยังเซิร์ฟเวอร์แทนรหัสผ่าน ซึ่งหมายความว่า ผู้ไม่ประสงค์ดีสามารถแฮ็กเซิร์ฟเวอร์ได้ในจํานวนที่น้อยกว่ามาก และใช้การทําความสะอาดในกรณีที่เกิดการละเมิดน้อยลงมาก
• พาสคีย์ช่วยปกป้องผู้ใช้จากการโจมตีแบบฟิชชิง พาสคีย์จะทํางานบนเว็บไซต์และแอปที่ลงทะเบียนเท่านั้น ผู้ใช้จึงหลอกให้ตรวจสอบสิทธิ์ในเว็บไซต์ที่หลอกลวงไม่ได้เนื่องจากเบราว์เซอร์หรือระบบปฏิบัติการจะจัดการการยืนยัน
• พาสคีย์ช่วยลดค่าใช้จ่ายในการส่ง SMS ทําให้เป็นวิธีการที่ปลอดภัยและประหยัดค่าใช้จ่ายมากขึ้นสําหรับการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

พาสคีย์คืออะไร

พาสคีย์คือข้อมูลเข้าสู่ระบบดิจิทัลที่เชื่อมโยงกับบัญชีผู้ใช้และเว็บไซต์หรือแอปพลิเคชัน พาสคีย์ทําให้ผู้ใช้สามารถตรวจสอบสิทธิ์ได้โดยไม่ต้องป้อนชื่อผู้ใช้หรือรหัสผ่าน หรือให้ปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เทคโนโลยีนี้มีจุดมุ่งหมายเพื่อแทนที่กลไกการตรวจสอบสิทธิ์เดิม เช่น รหัสผ่าน

เมื่อผู้ใช้ต้องการลงชื่อเข้าใช้บริการที่ใช้พาสคีย์ เบราว์เซอร์หรือระบบปฏิบัติการจะช่วยให้ผู้ใช้เลือกและใช้รหัสผ่านที่เหมาะสมได้ ประสบการณ์นี้คล้ายกับวิธีการทํางานของรหัสผ่านที่บันทึกไว้ในปัจจุบัน เพื่อให้มั่นใจว่ามีเพียงเจ้าของที่ถูกต้องเท่านั้นที่ใช้พาสคีย์ได้ ระบบจะขอให้ปลดล็อกอุปกรณ์ ซึ่งทําได้โดยใช้เซ็นเซอร์ชีวมิติ (เช่น ลายนิ้วมือหรือการจดจําใบหน้า) PIN หรือรูปแบบ

หากต้องการสร้างพาสคีย์สําหรับเว็บไซต์หรือแอปพลิเคชัน ผู้ใช้ต้องลงทะเบียน กับแอปพลิเคชันหรือแอปพลิเคชันนั้นก่อน

1. ไปที่แอปพลิเคชันแล้วลงชื่อเข้าใช้โดยใช้วิธีการลงชื่อเข้าใช้ที่มีอยู่
2. คลิกปุ่มพาสคีย์
3. ตรวจสอบข้อมูลที่จัดเก็บในพาสคีย์ใหม่
4. ใช้การปลดล็อกหน้าจอของอุปกรณ์เพื่อสร้างพาสคีย์

เมื่อผู้ใช้กลับมายังเว็บไซต์หรือแอปนี้เพื่อลงชื่อเข้าใช้ ให้ทําตามขั้นตอนต่อไปนี้

1. ไปที่แอปพลิเคชัน
2. แตะช่องชื่อบัญชีเพื่อแสดงรายการพาสคีย์ในกล่องโต้ตอบป้อนข้อความอัตโนมัติ
3. เลือกพาสคีย์ของพวกเขา
4. ใช้การปลดล็อกด้วยหน้าจอของอุปกรณ์เพื่อเข้าสู่ระบบให้เสร็จสิ้น

อุปกรณ์ของผู้ใช้จะสร้างลายเซ็นตามรหัสผ่าน ลายเซ็นนี้จะถูกใช้เพื่อยืนยันข้อมูลรับรองการเข้าสู่ระบบระหว่างต้นทางและพาสคีย์

ผู้ใช้จะลงชื่อเข้าใช้อุปกรณ์ต่างๆ ด้วยพาสคีย์ได้ ไม่ว่าพาสคีย์จะเก็บไว้ที่ใด ตัวอย่างเช่น พาสคีย์ที่สร้างด้วยโทรศัพท์มือถือ สามารถใช้เพื่อลงชื่อเข้าใช้เว็บไซต์บนแล็ปท็อปแยกต่างหากได้

พาสคีย์ทํางานอย่างไร

พาสคีย์มีไว้เพื่อใช้งานผ่านโครงสร้างพื้นฐานของระบบปฏิบัติการ ซึ่งช่วยให้ผู้จัดการพาสคีย์สร้าง สํารองข้อมูล และทําให้พาสคีย์ใช้งานได้กับแอปพลิเคชันที่ทํางานในระบบปฏิบัติการนั้น ใน Android พาสคีย์จะจัดเก็บในเครื่องมือจัดการรหัสผ่านของ Google ซึ่งจะซิงค์ข้อมูลพาสคีย์ระหว่างอุปกรณ์ Android ของผู้ใช้ที่ลงชื่อเข้าใช้บัญชี Google เดียวกัน พาสคีย์ได้รับการเข้ารหัสไว้อย่างปลอดภัยในอุปกรณ์ก่อนจะซิงค์และต้องถอดรหัสในอุปกรณ์ใหม่ ผู้ใช้ที่ใช้ Android OS 14 ขึ้นไปสามารถเลือกเก็บพาสคีย์ในเครื่องมือจัดการรหัสผ่านของบุคคลที่สามที่เข้ากันได้

ผู้ใช้จะไม่ถูกจํากัดให้ใช้พาสคีย์เฉพาะในอุปกรณ์ที่สามารถใช้งานได้เท่านั้น พาสคีย์ที่ใช้ได้บนโทรศัพท์จะใช้ได้เมื่อลงชื่อเข้าใช้แล็ปท็อป ถึงแม้ว่าจะไม่มีการซิงค์ข้อมูลพาสคีย์กับแล็ปท็อปก็ตาม ตราบใดที่โทรศัพท์อยู่ใกล้กับแล็ปท็อป และผู้ใช้อนุมัติการลงชื่อเข้าใช้ในโทรศัพท์ เนื่องจากพาสคีย์สร้างขึ้นจากมาตรฐาน FIDO เบราว์เซอร์ทั้งหมดจึงนําไปใช้ได้

ตัวอย่างเช่น ผู้ใช้คนหนึ่งเข้าชม example.com ในเบราว์เซอร์ Chrome ในเครื่อง Windows ผู้ใช้รายนี้ได้ลงชื่อเข้าสู่ระบบ example.com ในอุปกรณ์ Android ของตนและสร้างพาสคีย์แล้ว ในเครื่อง Windows ผู้ใช้เลือกที่จะลงชื่อเข้าใช้ ด้วยพาสคีย์จากอุปกรณ์อื่น อุปกรณ์ทั้ง 2 เครื่องจะเชื่อมต่อกัน และผู้ใช้จะได้รับข้อความแจ้งให้อนุมัติการใช้พาสคีย์ในอุปกรณ์ Android เช่น ด้วยเซ็นเซอร์ลายนิ้วมือ หลังจากดําเนินการแล้ว พวกเขาจะลงชื่อเข้าใช้ ในเครื่อง Windows โปรดทราบว่าพาสคีย์ไม่ได้ถูกโอนไปยังเครื่อง Windows ดังนั้น example.com จึงมักจะเสนอการสร้างพาสคีย์ใหม่ที่นั่น วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องลงชื่อเข้าใช้ในครั้งต่อไปที่ต้องการลงชื่อเข้าใช้ อ่านข้อมูลเพิ่มเติมที่หัวข้อลงชื่อเข้าใช้ด้วยโทรศัพท์

ใครใช้พาสคีย์อยู่

บริการจํานวนมากใช้พาสคีย์ในระบบอยู่แล้ว

• DocuSign
• Google
  • จุดเริ่มต้นของรหัสผ่าน
  • บล็อกการรักษาความปลอดภัยออนไลน์ของ Google: ทําให้การตรวจสอบสิทธิ์รวดเร็วกว่าที่เคย: รหัสผ่าน กับ รหัสผ่าน
• คายัค
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • พาสคีย์ช่วยลดปัญหาอุปสรรคด้านการช็อปปิ้งอีคอมเมิร์ซอย่างไร
  • การสนับสนุนพาสคีย์ในขั้นตอนการตรวจสอบสิทธิ์ของร้านค้า
• Yahoo! ญี่ปุ่น
  • Yahoo! การตรวจสอบสิทธิ์โดยไม่ใช้รหัสผ่านของ JAPAN ลดคําขอลงได้ 25% เพิ่มเวลาลงชื่อเข้าใช้ลงได้ 2.6 เท่า

ทดลองด้วยตัวคุณเอง

คุณลองใช้พาสคีย์ได้ในการสาธิตนี้ https://passkeys-demo.appspot.com/

ข้อควรพิจารณาเกี่ยวกับความเป็นส่วนตัว

• เพราะการลงชื่อเข้าใช้ด้วยข้อมูลไบโอเมตริกอาจทําให้ผู้ใช้เข้าใจผิดว่า กําลังส่งข้อมูลที่มีความละเอียดอ่อนไปยังเซิร์ฟเวอร์ อันที่จริงแล้ว วัสดุชีวมิติ ไม่เคยหลุดจากอุปกรณ์ส่วนตัวของผู้ใช้
• พาสคีย์เองไม่อนุญาตให้มีการติดตามผู้ใช้หรืออุปกรณ์ระหว่างเว็บไซต์ พาสคีย์เดียวกันจะไม่ถูกใช้กับไซต์มากกว่า 1 ไซต์ โปรโตคอลพาสคีย์ได้รับการออกแบบมาอย่างดีเพื่อไม่ให้ใช้ข้อมูลที่แชร์กับไซต์เป็นเวกเตอร์การติดตามได้
• เครื่องมือจัดการพาสคีย์จะปกป้องพาสคีย์จากการเข้าถึงและการใช้งานที่ไม่ได้รับอนุญาต ตัวอย่างเช่น Google เครื่องมือจัดการรหัสผ่านเข้ารหัสข้อมูลลับแบบจุดต่อจุด มีเพียงผู้ใช้เท่านั้นที่สามารถเข้าถึงและใช้งาน และแม้ว่าจะมีการสํารองไว้ในเซิร์ฟเวอร์ของ Google แล้ว แต่ Google จะไม่สามารถใช้ข้อมูลดังกล่าวเพื่อแอบอ้างเป็นผู้ใช้ได้

ข้อควรพิจารณาด้านความปลอดภัย

• พาสคีย์ใช้การเข้ารหัสคีย์สาธารณะ วิทยาการเข้ารหัสลับสาธารณะจะลดภัยคุกคามจากการละเมิดข้อมูลที่อาจเกิดขึ้น เมื่อผู้ใช้สร้างพาสคีย์ที่มีเว็บไซต์หรือแอปพลิเคชัน จะเป็นการสร้างคู่คีย์สาธารณะ-ส่วนตัวในอุปกรณ์ของผู้ใช้ ไซต์จัดเก็บคีย์สาธารณะไว้เท่านั้น โดยผู้โจมตีเท่านั้นที่ไม่มีประโยชน์ ผู้โจมตีไม่สามารถดึงคีย์ส่วนตัวของผู้ใช้จากข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ ซึ่งจําเป็นต้องดําเนินการตรวจสอบสิทธิ์
• เนื่องจากพาสคีย์เชื่อมโยงกับข้อมูลประจําตัวของเว็บไซต์หรือแอป จึงปลอดภัยจากการโจมตีแบบฟิชชิง เบราว์เซอร์และระบบปฏิบัติการดูแลให้พาสคีย์ ใช้ได้กับเว็บไซต์หรือแอปที่สร้างเท่านั้น วิธีนี้จะช่วยให้ผู้ใช้ไม่ต้องรับผิดชอบต่อ การลงชื่อเข้าใช้ในเว็บไซต์หรือแอปที่แท้จริง

รับการแจ้งเตือน

สมัครรับข้อมูลจดหมายข่าวนักพัฒนาซอฟต์แวร์ Google เกี่ยวกับพาสคีย์เพื่อรับการแจ้งเตือนเกี่ยวกับการอัปเดตพาสคีย์

ขั้นตอนถัดไป

• การสนับสนุนพาสคีย์ใน Android และ Chrome
• คําถามที่พบบ่อย (FAQ)
• Use Case
• คู่มือนักพัฒนาซอฟต์แวร์พาสคีย์สําหรับฝ่ายที่พึ่งพาได้
• ดูวิธีลงชื่อเข้าใช้แอป Android โดยใช้ตัวจัดการข้อมูลรับรอง