Passkey Featured

Passkeys 101: ถึงเวลาบอกลา Password และวิธีเปลี่ยนผ่านสำหรับคนทั่วไป

Passkeys ช่วยให้การเข้าสู่ระบบปลอดภัยขึ้นและลดการพึ่งพา password แต่การเปลี่ยนผ่านควรทำอย่างเป็นขั้นตอน บทความนี้อธิบายแนวคิด ข้อดี ข้อจำกัด และวิธีเริ่มใช้แบบไม่สับสน

Nattapon Chatprechakul

01 มิ.ย. 2026 • 2 min read

ภาพปก: โต๊ะทำงานที่มีอุปกรณ์ passkey และสมุด password เก่าเพื่อสื่อถึงการเปลี่ยนผ่านจาก password

ช่วงหลังหลายบริการเริ่มชวนให้เราเปิดใช้ passkey แทน password มากขึ้นครับ บางคนเห็นแล้วกดข้าม เพราะไม่แน่ใจว่ามันคืออะไร บางคนคิดว่าเป็นแค่ชื่อใหม่ของ password manager หรือ biometric login และบางคนกลัวว่าถ้าเปลี่ยนมือถือแล้วจะเข้าบัญชีไม่ได้

ความลังเลนี้เข้าใจได้ เพราะ password เป็นสิ่งที่เราใช้มานานมาก แม้มันจะน่ารำคาญ จำยาก และเสี่ยงเวลาถูกหลอกผ่าน phishing แต่ก็ยังเป็นระบบที่คนคุ้นเคย การเปลี่ยนไปใช้ passkey จึงไม่ควรถูกเล่าแบบ "กดเปิดแล้วจบ" เพราะในทางปฏิบัติยังมีเรื่อง device, recovery, ecosystem และ account สําคัญที่ต้องคิดให้รอบคอบ

บทความนี้จะอธิบาย passkeys แบบคนทั่วไปเข้าใจได้ ว่ามันแก้ปัญหาอะไร ดีกว่า password ตรงไหน ยังมีข้อจำกัดอะไร และถ้าจะเริ่มใช้จริงควรเปลี่ยนผ่านอย่างไรโดยไม่ทำให้ชีวิตยุ่งยากขึ้น

สาระตั้งต้นจากแหล่งอ้างอิง

ก่อนเขียนให้เป็นภาษาคนอ่าน ผมสรุปแก่นจากแหล่งอ้างอิงที่ใช้จริงไว้ก่อน:

FIDO Alliance อธิบายว่า passkey คือ credential ที่ใช้ public key cryptography โดย private key อยู่กับอุปกรณ์หรือ credential manager ของผู้ใช้ ส่วนบริการเก็บเฉพาะ public key
FIDO ระบุว่า passkeys ถูกออกแบบให้ทน phishing, credential stuffing และปัญหาจาก password reuse ได้ดีกว่า password เพราะไม่มี shared secret ให้กรอกหรือขโมยจาก server ของบริการ
CISA จัด FIDO/WebAuthn เป็นแนวทาง phishing-resistant authentication ที่องค์กรควรวางแผนขยับไปใช้ โดยเฉพาะเมื่อเทียบกับวิธี MFA ที่ยังถูกหลอกให้กรอก code ได้
NIST SP 800-63B อธิบายเรื่อง phishing resistance และ syncable authenticators โดยยอมรับประโยชน์ของวิธี cryptographic authentication แต่ยังต้องดูระดับความเสี่ยงและการปกป้องระบบ sync
Google, Apple และ Microsoft ต่างมีเอกสารผู้ใช้ที่ย้ำว่า passkeys สามารถอยู่ในอุปกรณ์หรือ credential manager ได้ และผู้ใช้ควรจัดการ passkeys เก่า อุปกรณ์หาย และการกู้คืนบัญชีให้ดี

ถ้าแปลงเป็นภาษาง่าย ๆ passkey ไม่ใช่รหัสผ่านที่สั้นลงหรือจำง่ายขึ้น แต่มันเปลี่ยนวิธีพิสูจน์ตัวตนจาก "เรารู้ secret อะไร" ไปเป็น "อุปกรณ์หรือ credential manager ของเรามีกุญแจลับที่เข้าคู่กับบริการนี้จริงหรือไม่"

Passkey ไม่ใช่ password แบบใหม่

Password เป็น secret ที่เรารู้และส่งให้บริการตรวจสอบ ถ้าเราเผลอกรอกในเว็บปลอม คนร้ายก็เอาไปใช้ต่อได้ ถ้า password นั้นถูกใช้ซ้ำกับหลายบริการ ความเสียหายก็ขยายต่อเป็นลูกโซ่

Passkey ทำงานต่างออกไป เมื่อสร้าง passkey ระบบจะสร้าง key pair ขึ้นมาโดยคร่าว ๆ คือ:

private key เก็บอยู่กับอุปกรณ์, security key หรือ credential manager ของเรา
public key ถูกลงทะเบียนไว้กับเว็บไซต์หรือ app
ตอน login เว็บไซต์จะส่ง challenge มาให้อุปกรณ์ของเราพิสูจน์ว่า "มีกุญแจที่ถูกต้องจริง"
เราปลดล็อกอุปกรณ์ด้วย face, fingerprint, PIN หรือวิธี unlock เครื่อง
private key ไม่ได้ถูกส่งออกไปให้เว็บไซต์

จุดสำคัญคือ passkey ผูกกับบริการจริง ไม่ใช่แค่ข้อความ secret ที่เราพิมพ์บนหน้าไหนก็ได้ ถ้าเว็บปลอมพยายามหลอกให้เรา login ตัว authenticator ควรไม่สร้างการยืนยันที่ใช้กับเว็บจริงได้ง่ายเหมือนการกรอก password หรือ OTP

ภาพประกอบ: การทำงานของ passkey ด้วย private key บนอุปกรณ์และ public key ที่บริการใช้ตรวจสอบ

นี่คือเหตุผลที่ passkeys ถูกพูดถึงมากในบริบท phishing-resistant MFA หรือ passwordless authentication เพราะมันลดปัญหาพื้นฐานของ password ไปหลายข้อในคราวเดียว

ข้อดีที่คนทั่วไปจะรู้สึกได้

ข้อดีแรกคือไม่ต้องจำ password ใหม่สำหรับแต่ละเว็บ ถ้าบริการรองรับ passkey เราอาจ login ด้วยวิธีที่ใช้ปลดล็อกเครื่องอยู่แล้ว เช่น PIN, fingerprint หรือ face unlock แต่ควรเข้าใจให้ชัดว่า biometric ไม่ได้ถูกส่งให้เว็บไซต์ มันใช้เพื่อปลดล็อก private key ในฝั่งอุปกรณ์ของเรา

ข้อดีที่สองคือ phishing ยากขึ้นมาก เมื่อไม่มี password ให้พิมพ์ คนร้ายก็ขโมย password จากหน้า login ปลอมไม่ได้ง่ายเหมือนเดิม และเพราะ passkey ผูกกับ domain หรือบริการที่ถูกต้อง การหลอกให้ผู้ใช้ส่ง secret ข้ามเว็บจึงยากขึ้น

ข้อดีที่สามคือ credential stuffing ลดลง ถ้าเว็บหนึ่งรั่ว คนร้ายมักเอา username/password ไปลองกับเว็บอื่น แต่ passkey ของแต่ละบริการเป็นคนละชุด ไม่ใช่ password เดียวกันที่เอาไปลองซ้ำได้

ข้อดีที่สี่คือประสบการณ์ใช้งานดีขึ้นสำหรับหลายคน โดยเฉพาะคนที่ไม่อยากจำ password ยาว ๆ หรือไม่ถนัดกรอก code จาก SMS และ authenticator app ตลอดเวลา

แต่ข้อดีเหล่านี้จะเกิดขึ้นจริงก็ต่อเมื่อเราเก็บ passkey ในที่ที่เราควบคุมได้ และมีแผนกู้คืนบัญชี ไม่ใช่กดสร้าง passkey ไปเรื่อย ๆ โดยไม่รู้ว่ามันถูกเก็บไว้ที่ไหน

ข้อจำกัดที่ควรรู้ก่อนกดเปิด

Passkey ดีขึ้นกว่ารหัสผ่านในหลายมิติ แต่ไม่ได้แปลว่าไม่มีเรื่องต้องคิดครับ

ข้อแรกคือ support ยังไม่เท่ากันทุกบริการ บางเว็บรองรับ passkey เต็มรูปแบบ บางเว็บให้ใช้เป็น second factor บางเว็บยังใช้ password เป็น fallback และบางเว็บยังไม่รองรับเลย เราจึงยังต้องดูแล password manager และ MFA อยู่ในช่วงเปลี่ยนผ่าน

ข้อสองคือ passkey อาจอยู่คนละที่ตามที่เราเลือก เช่น Apple iCloud Keychain, Google Password Manager, Microsoft Password Manager, third-party password manager, อุปกรณ์เครื่องเดียว หรือ physical security key ถ้าเราไม่รู้ว่า passkey ถูกเก็บไว้ที่ไหน เวลาย้ายเครื่องหรือเปลี่ยน ecosystem จะสับสนได้

ข้อสามคือ shared device เป็นความเสี่ยง Google เตือนชัดว่าควรสร้าง passkey บนอุปกรณ์ส่วนตัวที่ควบคุมเอง เพราะคนที่ปลดล็อกอุปกรณ์นั้นได้อาจใช้ passkey เข้าบัญชีได้ ถ้าเป็นเครื่องที่ใช้ร่วมกันในบ้าน ที่ทำงาน หรือร้าน internet ไม่ควรสร้าง passkey ไว้

ข้อสี่คือ recovery สำคัญมาก ถ้ามือถือหาย เครื่องพัง หรือ credential manager เข้าไม่ได้ เราต้องรู้ว่าจะกู้บัญชีอย่างไร บางคนปลอดภัยขึ้นตอน login แต่กลับพลาดตรงไม่มี backup method, recovery code หรืออุปกรณ์สำรอง

ข้อห้าคือ passkey ไม่ได้ป้องกันทุกการโจมตี เช่น malware บนอุปกรณ์, session hijacking หลังจาก login สำเร็จ, account recovery ที่ออกแบบไม่ดี หรือ social engineering ผ่านช่องทาง support ยังเป็นเรื่องที่ต้องระวังอยู่

ควรเริ่มจากบัญชีไหนก่อน

ผมไม่แนะนำให้เริ่มแบบ "วันนี้จะเปลี่ยนทุกบัญชีเป็น passkey" เพราะจะกลายเป็นงานใหญ่และเสี่ยงงงเองในภายหลัง วิธีที่ practical กว่าคือเริ่มจากบัญชีที่มีผลกระทบสูงและรองรับ passkey ดีพอ

ลำดับที่เหมาะสำหรับคนทั่วไปคือ:

Email หลัก เพราะใช้ reset password ของบริการอื่น
Apple ID, Google Account หรือ Microsoft account ที่ผูกกับอุปกรณ์
Password manager ถ้าบริการรองรับ passkey หรือ security key
Cloud storage ที่มีเอกสารและรูปสำคัญ
บัญชีการเงินหรือ e-wallet เมื่อบริการรองรับและมี recovery ชัดเจน
Social media ที่ใช้ทำงานหรือผูกกับตัวตนสาธารณะ

ก่อนเปิดใช้ ให้ตรวจ 3 เรื่องสั้น ๆ: passkey จะถูกเก็บที่ไหน, ถ้าอุปกรณ์หายจะกู้คืนอย่างไร, และยังมีวิธี login สำรองที่ปลอดภัยพอหรือไม่

ภาพประกอบ: การเปิดใช้ passkey ทีละบัญชีโดยเริ่มจากบัญชีสำคัญก่อน

ถ้าใช้หลาย ecosystem เช่น iPhone, Windows laptop, Android tablet และ browser หลายตัว ควรระวังเป็นพิเศษว่า passkey ถูก sync ผ่าน provider ไหน ไม่อย่างนั้นอาจเจอสถานการณ์ที่มือถือ login ได้ แต่ laptop login ไม่ได้ หรือกลับกัน

วิธีเปลี่ยนผ่านแบบไม่สับสน

แนวทางที่ผมมองว่าเหมาะกับคนทั่วไปคือค่อย ๆ เปลี่ยนเป็นชั้น ๆ ไม่ใช่ทิ้ง password ทั้งหมดทันที

ขั้นที่ 1: ทำ password manager ให้เรียบร้อยก่อน บัญชีที่ยังไม่มี passkey ต้องใช้ password ที่ยาวและไม่ซ้ำกันอยู่ดี ถ้ายังใช้ password ซ้ำ Passkey จะช่วยได้เฉพาะบัญชีที่เปิดใช้แล้วเท่านั้น

ขั้นที่ 2: เปิด MFA ให้บัญชีสำคัญ โดยเฉพาะ email หลักและ account หลักของอุปกรณ์ ถ้าบริการรองรับ passkey ให้พิจารณาใช้ passkey เป็นวิธีหลักหรืออย่างน้อยเป็นวิธี MFA ที่ทน phishing ได้ดีกว่า OTP

ขั้นที่ 3: เปิด passkey ทีละบัญชี และจดไว้ใน password manager หรือ note ส่วนตัวว่า passkey เก็บอยู่ที่ provider ไหน เช่น iCloud Keychain, Google Password Manager, Microsoft Password Manager, 1Password, Bitwarden หรือ security key

ขั้นที่ 4: เพิ่มอุปกรณ์สำรองหรือ recovery method ก่อนลบวิธีเก่า ถ้าใช้ physical security key ควรมีมากกว่าหนึ่งอันสำหรับบัญชีสำคัญ ถ้าใช้ synced passkey ควรแน่ใจว่า account ของ credential manager เองปลอดภัยและกู้คืนได้

ขั้นที่ 5: ทดสอบ login จาก device ที่ใช้จริง เช่น มือถือ เครื่องทำงาน และ browser หลัก อย่ารอให้เกิดเหตุฉุกเฉินแล้วค่อยพบว่า login ไม่ได้

ขั้นที่ 6: หลังมั่นใจแล้วค่อยลดการพึ่งพา password ในบัญชีที่รองรับ แต่ไม่ต้องรีบปิดทุก fallback ถ้ายังไม่เข้าใจผลกระทบ เพราะบางบริการออกแบบ recovery ต่างกัน

Passkey กับ password manager ยังต้องใช้ร่วมกัน

หลายคนถามว่าเมื่อมี passkey แล้ว password manager ยังจำเป็นไหม คำตอบในช่วงนี้คือยังจำเป็นสำหรับคนส่วนใหญ่ครับ

เหตุผลคือบริการจำนวนมากยังไม่รองรับ passkey หรือยังต้องมี password เป็น fallback นอกจากนี้ password manager รุ่นใหม่หลายตัวก็เริ่มเก็บ passkeys ได้ ทำให้มันกลายเป็นที่จัดการทั้ง password และ passkey ในระยะเปลี่ยนผ่าน

สิ่งที่ต้องระวังคืออย่าให้ credential manager เองกลายเป็นจุดอ่อน ถ้าเราเก็บทั้ง password และ passkey ไว้ใน provider เดียว ก็ควรป้องกัน account นั้นให้ดีมาก เช่น master password แข็งแรง, เปิด MFA, เก็บ recovery code แยกที่, และรู้วิธีย้ายออกหากจำเป็น

ถ้ายังไม่ได้เริ่มจัดการ password อ่าน Password Manager สำหรับคนทั่วไป: ควรเริ่มอย่างไรให้ไม่ยุ่งยากเกินไป ก่อนก็ได้ครับ เพราะ password manager เป็นฐานที่ดีสำหรับการเปลี่ยนผ่านไป passkeys อย่างเป็นระบบ ส่วนเรื่อง MFA อ่านต่อได้ที่ Multi-Factor Authentication คืออะไร และควรเลือกใช้แบบไหนในทางปฏิบัติ

Checklist ก่อนเปิดใช้ passkey

ก่อนกดสร้าง passkey ให้ตอบคำถามเหล่านี้ให้ได้:

อุปกรณ์นี้เป็นของเราและมี screen lock ที่ปลอดภัยหรือไม่
passkey จะถูกเก็บไว้ใน provider ไหน
provider นั้น sync ข้ามอุปกรณ์ที่เราใช้จริงหรือไม่
ถ้าอุปกรณ์หายหรือเปลี่ยนเครื่อง จะกู้คืนอย่างไร
มี recovery code, backup email หรือ backup device ที่ยังเข้าถึงได้จริงหรือไม่
ถ้าเป็นบัญชีสำคัญมาก ควรมี security key สำรองหรือไม่
เราสามารถลบ passkey เก่าจากบัญชีได้หรือไม่ ถ้าอุปกรณ์นั้นเลิกใช้แล้ว

ภาพประกอบ: การวางแผนกู้คืนบัญชีและอุปกรณ์สำรองสำหรับ passkeys

Checklist นี้อาจดูเยอะ แต่ในชีวิตจริงทำครั้งแรกให้ดีจะช่วยลดปัญหาในอนาคตมาก โดยเฉพาะเวลาย้ายเครื่อง ขายเครื่องเก่า หรือเปลี่ยนจาก ecosystem หนึ่งไปอีก ecosystem หนึ่ง

อ่านต่อที่เกี่ยวข้อง

สรุป

Passkeys เป็นก้าวสำคัญของการลดการพึ่งพา password เพราะมันเปลี่ยนจากการพิมพ์ secret ที่ถูกขโมยได้ง่าย ไปสู่การพิสูจน์ด้วย cryptographic key ที่ผูกกับบริการจริงและอุปกรณ์ของผู้ใช้

แต่การเปลี่ยนผ่านที่ดีควรค่อยเป็นค่อยไป เริ่มจากบัญชีสำคัญ รู้ว่า passkey ถูกเก็บไว้ที่ไหน เตรียม recovery ให้ชัด และยังดูแล password manager กับ MFA ต่อในช่วงที่บริการต่าง ๆ ยังรองรับไม่เท่ากัน

สุดท้าย passkey ไม่ใช่เวทมนตร์ที่ทำให้ security จบในปุ่มเดียว แต่มันเป็นเครื่องมือที่ดีมากถ้าเราใช้ด้วยความเข้าใจ โดยเฉพาะกับบัญชีที่ phishing และ password reuse เป็นความเสี่ยงหลัก