Passkeys: ทางเลือกใหม่ที่ง่ายและปลอดภัยกว่ารหัสผ่าน

Dr.Nattapon Chatprechakul

1 min read
Passkeys: ทางเลือกใหม่ที่ง่ายและปลอดภัยกว่ารหัสผ่าน

ในยุคดิจิทัลนี้ การใช้บริการออนไลน์ต่างๆ เช่น การส่งข้อความ ช้อปปิ้ง การเดินทาง โซเชียลมีเดีย สตรีมมิ่งสื่อ และบริการภาครัฐ มักจะต้องมีการตั้งค่าและจัดการบัญชีและรหัสผ่าน ในขณะเดียวกัน อาชญากรไซเบอร์ก็พยายามเข้าควบคุมบัญชีออนไลน์เพื่อผลประโยชน์ของตนเองมากขึ้นเรื่อยๆ ซึ่งมักจะทำให้คุณต้องเสียค่าใช้จ่าย การปกป้องรหัสผ่านบัญชีเหล่านี้จากอาชญากรไซเบอร์อาจเป็นเรื่องที่ห่วงใย โชคดีที่มีเทคโนโลยีที่ช่วยให้สิ่งนี้ง่ายขึ้น โดยใช้ตัวจัดการข้อมูลประจำตัว (credential manager) และ Passkeys เพื่อช่วยคุณแบ่งเบาภาระ 

ปัญหาของรหัสผ่านคืออะไร?

คุณอาจทราบดีถึงความยุ่งยากในการสร้าง จดจำ และป้อนรหัสผ่าน ดังนั้นฉันจะไม่พูดซ้ำตรงนี้ สาเหตุหลักที่ทำให้รหัสผ่านเป็นปัญหาในการโจมตีทางไซเบอร์ต่อบัญชีออนไลน์ ได้แก่:

  • รหัสผ่านสามารถเดาได้: การที่ต้องคิดและจดจำรหัสผ่านจำนวนมาก ทำให้ผู้คนมักสร้างรหัสผ่านที่อ่อนแอและคาดเดาได้ง่าย ซึ่งหมายความว่าอาชญากรไซเบอร์มีโอกาสสูงที่จะเดารหัสผ่านได้สำเร็จ
  • รหัสผ่านสามารถถูกขโมยได้: การที่ต้องป้อน (หรือวาง) รหัสผ่านบ่อยครั้งและในหลายๆ ที่ ทำให้ผู้คนไม่ระมัดระวังเมื่อถูกขอให้ลงชื่อเข้าใช้ไซต์อื่น อาชญากรไซเบอร์สามารถขโมยรหัสผ่านได้โดยหลอกลวงให้พวกเขาป้อนรหัสผ่านในไซต์ปลอม 
  • รหัสผ่านสามารถนำกลับมาใช้ใหม่ได้: บริการที่จัดเก็บรหัสผ่านของผู้คนอย่างไม่ปลอดภัย ช่วยให้อาชญากรไซเบอร์สามารถค้นหารหัสผ่านได้ ซึ่งหมายความว่าพวกเขาไม่เพียงแต่สามารถลงชื่อเข้าใช้บัญชีของใครบางคนในบริการนั้นได้ แต่ยังสามารถใช้บริการอื่นๆ ที่บุคคลนั้นใช้รหัสผ่านเดียวกันซ้ำได้ 

เราจะแก้ปัญหานี้ได้อย่างไร?

มีสองสิ่งที่สำคัญที่จะช่วยลดปัญหาจากการใช้รหัสผ่าน

ประการแรก คือการปรับปรุงการใช้รหัสผ่านในกรณีที่เรายังไม่พร้อมที่จะกำจัดมัน รวมถึงการสนับสนุนให้ใช้ตัวจัดการรหัสผ่าน (Password Manager) และเปิดใช้งานการยืนยันแบบ 2 ขั้นตอน (2 Factor Authentication - 2FA)

ประการที่สอง คือการลบความจำเป็นในการใช้รหัสผ่านตั้งแต่แรกเริ่ม สร้างกระบวนการลงชื่อเข้าใช้บัญชีแบบ "ไร้รหัสผ่าน" (passwordless) คุณอาจเคยเจอตัวเลือกสำหรับการลงชื่อเข้าใช้บัญชีแบบไร้รหัสผ่าน เช่น การเข้าสู่ระบบโซเชียล ลิงก์วิเศษ และรหัสผ่านแบบใช้ครั้งเดียว (OTP) ทางอีเมลหรือข้อความ ในส่วนนี้เองที่มีอีกตัวเลือกหนึ่งที่กำลังได้รับความนิยมทั่วโลกเนื่องจากความลงตัวในด้านการใช้งาน ความเป็นส่วนตัว และความปลอดภัย นั่นคือ Passkeys 

Passkeys คืออะไร?

Passkeys ถูกสร้าง บันทึก จัดเก็บ และจัดการให้คุณบนอุปกรณ์ที่เชื่อถือได้ เช่น สมาร์ทโฟน แท็บเล็ต หรือคอมพิวเตอร์ สิ่งนี้ทำโดยตัวจัดการข้อมูลประจำตัวที่คุณเลือก ซึ่งส่วนใหญ่มักจะเป็นตัวจัดการข้อมูลประจำตัวเริ่มต้นที่ติดตั้งในอุปกรณ์ของคุณ เช่น Apple Passwords, Google Password Manager, Samsung Pass หรือ Windows Hello เว้นแต่คุณจะเลือกติดตั้งและใช้ตัวจัดการข้อมูลประจำตัวอื่นโดยเฉพาะ ตัวจัดการข้อมูลประจำตัวนี้มีหน้าที่ปกป้อง Passkeys ของคุณ และอนุญาตให้ใช้ Passkeys ได้ก็ต่อเมื่อคุณพิสูจน์แล้วว่าคุณเป็นบุคคลที่พยายามใช้ Passkeys นั้นจริงๆ 

เมื่อคุณต้องการใช้ Passkeys เพื่อเข้าถึงบัญชี มันอาจจะดูเหมือนว่าคุณแค่ใช้ PIN ลายนิ้วมือ หรือใบหน้าเพื่อปลดล็อกบัญชี แม้ว่าจะมีการรักษาความปลอดภัยอีกมากมายเบื้องหลัง การทำงานที่ทำให้ Passkeys ดูเหมือนใช้งานง่าย 

ในการจัดการ Passkeys ของคุณ ตัวจัดการข้อมูลประจำตัว (credential manager) ส่วนใหญ่ยังจะ:

  • สำรองข้อมูล Passkeys ใหม่ของคุณอย่างปลอดภัยเพื่อความปลอดภัยในกรณีที่คุณทำอุปกรณ์ทั้งหมดหาย
  • คัดลอก (หรือ 'ซิงค์') ไปยังอุปกรณ์อื่นๆ ที่คุณมี เพื่อที่คุณจะได้ไม่ต้องสร้าง Passkeys ใหม่ในแต่ละอุปกรณ์

ในกรณีที่มี Passkeys ให้บริการ คุณสามารถตั้งค่า Passkeys สำหรับบัญชีที่มีอยู่ (ดูในการตั้งค่าความปลอดภัยหรือความเป็นส่วนตัวของบัญชี) หรือตั้งค่าตั้งแต่เริ่มต้นเมื่อสร้างบัญชีใหม่ 

Passkeys ทำงานอย่างไร?

เทคโนโลยี Passkeys ใช้คู่คีย์เสมือนจริงที่ไม่ซ้ำกัน (unique key pair) ซึ่งอุปกรณ์ของคุณสร้างขึ้นสำหรับคุณ คีย์เหล่านี้มีความเกี่ยวข้องกันแต่แตกต่างกัน คุณสามารถนึกถึงพวกมันเป็น "พี่น้อง" ในคู่พี่น้องนี้มี:

  1. Passkeys ของคุณ: สิ่งนี้ถูกเก็บเป็นความลับสำหรับคุณโดยตัวจัดการข้อมูลประจำตัวที่คุณเลือกบนอุปกรณ์ของคุณ เช่น สมาร์ทโฟนและคอมพิวเตอร์ 
  2. Verifier ตัวตรวจสอบความถูกต้อง: สิ่งนี้ถูกมอบให้กับบริการออนไลน์โดยเจตนา ซึ่งจะใช้เป็นวิธีการยืนยันตัวตนของคุณกับบัญชีของคุณเท่านั้น 

ข้อแตกต่างที่สำคัญกับรหัสผ่านคือ passkey จะต้องใช้ key pair ทั้งสองส่วนสำหรับการลงชื่อเข้าใช้บัญชี ซึ่งแตกต่างจากรหัสผ่านที่ใช้รหัส เดียวกันที่ใช้ร่วมกันระหว่างทั้งสองฝ่าย 

การทำงานของการลงทะเบียนและการลงชื่อเข้าใช้ Passkeys:

เช่นเดียวกับรหัสผ่าน การใช้ Passkeys เพื่อเข้าถึงบัญชีออนไลน์มีสองขั้นตอน:

  • การลงทะเบียน: การเพิ่มคู่ Passkeys-verifier ใหม่ในบัญชีของคุณ (ระหว่างการสร้างบัญชีใหม่หรือเพิ่มบัญชีในบัญชีที่มีอยู่ของคุณ) 
  • การลงชื่อเข้าใช้: การใช้ Passkeys เพื่อพิสูจน์ว่าคุณเป็นบุคคลที่ได้รับอนุญาตให้เข้าถึงบัญชีนั้น 

การลงทะเบียน Passkeys สำหรับบัญชี:

เมื่อคุณลงทะเบียน Passkeys สำหรับบัญชีในบริการออนไลน์ อุปกรณ์ของคุณจะสร้างคู่คีย์ใหม่ที่ไม่ซ้ำกันสำหรับบัญชีนั้นโดยเฉพาะ 

  • Passkeys (และข้อมูลสำคัญอื่นๆ เกี่ยวกับบัญชีของคุณ รวมถึงชื่อผู้ใช้ของคุณ) จะถูกบันทึกไว้ในตัวจัดการข้อมูลประจำตัวที่คุณเลือกไว้ใจบนอุปกรณ์ของคุณ 
  • Verifier จะถูกส่งจากอุปกรณ์ของคุณไปยังบริการออนไลน์ ซึ่งจะบันทึกไว้เพื่อใช้ในภายหลังเมื่อใดก็ตามที่คุณลงชื่อเข้าใช้บัญชีของคุณโดยใช้ Passkeys พี่น้อง 

ข้อแตกต่างที่สำคัญกับรหัสผ่านคือ:

  • อุปกรณ์ของคุณสร้าง Passkeys ที่ไม่ซ้ำกันสำหรับบัญชีและบันทึกไว้ในตัวจัดการข้อมูลประจำตัวของคุณ ดังนั้นคุณจึงไม่ต้องกังวลเกี่ยวกับเรื่องนี้ 
  • อุปกรณ์ของคุณแชร์ตัว Verifier (ไม่ใช่ Passkeys ของคุณ) กับบริการออนไลน์ 

การลงชื่อเข้าใช้บัญชีของคุณโดยใช้ Passkeys:

เมื่อคุณลงชื่อเข้าใช้บริการออนไลน์ อุปกรณ์ของคุณจะ:

  • ได้รับ "คำท้า (challange)" ที่สร้างขึ้นโดยบริการออนไลน์เพื่อตอบสนองต่อคำขอลงชื่อเข้าใช้ของคุณ 
  • นำที่อยู่เว็บไซต์ที่คุณพยายามลงชื่อเข้าใช้จากเบราว์เซอร์หรือแอปที่คุณกำลังใช้ 
  • credential manager (ตัวจัดการข้อมูลประจำตัวของคุณ) จะแสดงรายการ Passkeys ที่คุณมีสำหรับเว็บไซต์นั้นให้คุณเลือก 
  • ทำการพิสูจน์ตัวตนว่าคุณเป็นคุณจริงๆ โดยใช้สิ่งที่คุณมีอยู่แล้ว เช่น PIN ลายนิ้วมือ หรือใบหน้า 

เมื่อคุณเลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้จากรายการนั้นแล้ว:

  • อุปกรณ์ของคุณจะส่ง "challange (คำท้า)" ที่ได้รับจากบริการออนไลน์กลับมาพร้อมกับหลักฐานว่าคุณมี Passkeys สำหรับบัญชีนั้นในตัวจัดการข้อมูลประจำตัวของคุณ และทำเช่นนี้โดยไม่ต้องเปิดเผยหรือแชร์ Passkeys เอง (โดยใช้การเข้ารหัสคีย์สาธารณะ) 
  • บริการออนไลน์จะใช้ตัวตรวจสอบความถูกต้องของ Passkeys นั้นกับ "challange (คำท้า)" ที่อุปกรณ์ของคุณส่งคืนมาเพื่อตรวจสอบหลักฐานว่าคุณมี Passkeys 

ข้อแตกต่างที่สำคัญกับรหัสผ่านคือ:

  • อุปกรณ์และ credential manager ของคุณทำงานร่วมกันเพื่อแสดงเฉพาะ Passkeys ที่คุณมีสำหรับบริการที่คุณกำลังลงชื่อเข้าใช้เท่านั้น ดังนั้นการโจมตีทางไซเบอร์โดยใช้เว็บไซต์ปลอมจึงใช้ไม่ได้กับ Passkeys 
  • Passkeys จะไม่ถูกส่งไปยังบริการออนไลน์ที่คุณกำลังลงชื่อเข้าใช้ มีเพียงข้อความที่พิสูจน์ว่าคุณมี Passkeys เท่านั้น ดังนั้น Passkeys จึงไม่สามารถถูกโคลนได้ 

โดยพื้นฐานแล้ว Passkeys ใช้งานง่ายและปลอดภัยกว่ารหัสผ่าน

เทคโนโลยีเบื้องหลัง Passkeys อาจซับซ้อน (ด้วยเหตุผลที่ดี) แต่การใช้งานไม่ควรซับซ้อน การตั้งค่าบัญชีของคุณด้วย Passkeys นั้นง่ายกว่า เนื่องจาก credential manager ประจำตัวที่คุณเลือกจะช่วยคุณแบ่งเบาภาระ ซึ่งหมายความว่าคุณไม่ต้อง:

  • คิดหรือกังวลเกี่ยวกับชื่อผู้ใช้และรหัสผ่านอีกต่อไป
  • พิมพ์รหัสผ่านของคุณสองครั้งเพื่อยืนยันว่าคุณป้อนหรือวางอย่างถูกต้องในครั้งแรก
  • จัดการกับกฎความซับซ้อนของรหัสผ่านที่น่ารำคาญ 

จากนั้นเมื่อตั้งค่าบัญชีของคุณแล้ว การลงชื่อเข้าใช้บัญชีโดยใช้ Passkeys ก็ง่ายเช่นกัน เนื่องจากคุณสามารถพึ่งพา credential manager ประจำตัวที่คุณเลือกเพื่อช่วยคุณในกระบวนการนี้ ซึ่งหมายความว่าคุณไม่ต้อง:

  • จดจำชื่อผู้ใช้ที่คุณลงทะเบียนกับบริการออนไลน์นั้น
  • พิมพ์หรือวางชื่อผู้ใช้และรหัสผ่านของคุณ เนื่องจากตัวจัดการข้อมูลประจำตัวของคุณจะแสดงรายการบัญชีที่เกี่ยวข้องให้คุณเลือกโดยอัตโนมัติ 

Passkeys คุ้มค่ากับเวลาของคุณในการรักษาความปลอดภัยบัญชีออนไลน์ของคุณให้ปลอดภัยกว่ารหัสผ่านเนื่องจาก:

  • คีย์ถูกสร้างขึ้นโดยตัวจัดการข้อมูลประจำตัวที่คุณเลือก ดังนั้นคีย์เหล่านี้จึงมีความซับซ้อนและสุ่มมากกว่าที่มนุษย์สร้างขึ้น ทำให้ผู้โจมตีแทบจะเป็นไปไม่ได้เลยที่จะเดาคีย์ได้
  • คีย์เหล่านี้สามารถใช้ได้กับบริการที่ตรงกันที่สร้างขึ้นเท่านั้น ดังนั้นผู้โจมตีจึงไม่สามารถขโมยโดยใช้การโจมตีแบบฟิชชิ่งและเว็บไซต์ปลอม
  • หากอาชญากรไซเบอร์สามารถแฮ็กเข้าไปในบริการออนไลน์และรับคีย์ตัวตรวจสอบความถูกต้องของคุณได้ พวกเขาจะไม่มีทุกสิ่งที่จำเป็นในการเข้าถึงบัญชีของคุณ และพวกเขาจะไม่มีอะไรที่จะนำกลับมาใช้ใหม่ในบัญชีของคุณในไซต์และบริการอื่นๆ 

ที่มาของบทความ: National Cyber Security Centre