Passkey คืออะไร ? เทคโนโลยีที่เริ่มถูกนำมาใช้แทน Password

Passkey คืออะไร ? เทคโนโลยีที่เริ่มถูกนำมาใช้แทน Password

ทุกวันนี้เรามีข้อมูลสำคัญมากมายที่อยู่ในรูปแบบดิจิทัล โดยข้อมูลส่วนใหญ่ก็ถูกเก็บเอาไว้บนโลกออนไลน์ เพื่อความปลอดภัยของข้อมูล จึงต้องมีการนำระบบรักษาความปลอดภัยเข้ามาใช้ ซึ่งระบบที่แพร่หลาย และถูกใช้กันมาอย่างยาวนานนับสิบปี เว็บไซต์ทุกแห่งต่างก็ใช้งานกัน นั่นก็คือระบบบัญชี ที่มี ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password)

อย่างไรก็ตาม พวกเราก็วนเวียนอยู่กับการใช้ Username / Password กันมากว่าหลายสิบปี แล้วถ้าว่ากันตามจริง มันก็ไม่ใช่ระบบที่มีความปลอดภัยสูงเท่าไหร่นัก จึงมีความพยายามในการหาทางแก้ไขปัญหามาโดยตลอด อย่างเช่นการใช้ การยืนยันตัวตนแบบ 2 ขั้นตอน (Two-Factor Authentication - 2FA) หรือ การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA) เป็นต้น แต่เทคโนโลยีล่าสุด ที่เริ่มมีการนำมาใช้มากขึ้นเรื่อย ๆ และเป็นเทคโนโลยีที่เราจะมาเล่าให้อ่านกันในบทความนี้ก็คือ "Passkey" นั่นเอง เราจะมาทำความรู้จักมันให้มากขึ้นกันในบทความนี้ ...

Passkey คืออะไร ? (What is Passkey ?)

ปัญหาน่าปวดหัวของระบบ Username / Password ที่หลายคนต้องเผชิญคือ "การจดจำรหัสผ่าน" เพื่อให้ง่ายแก่การจดจำ เราหยิบชื่อสัตว์เลี้ยงมาดัดแปลง, ชื่อทีมฟุตบอลที่เชียร์, วันเกิด, ชื่อพ่อชื่อแม่ ฯลฯ อะไรก็ตามที่เราสามารถจดจำมันได้ง่าย ๆ แต่ในระบบที่ต้องการความปลอดภัยสูง จะมีการบังคับให้ในรหัสผ่านของเราต้องมีตัวเล็ก, ตัวใหญ่ และอักขระพิเศษเข้ามาผสมด้วย เพื่อให้ยากต่อการถูกโจมตีด้วย เทคนิค Brute Force นั่นเอง

แต่ปัญหาที่มักตามมาคือ มันยากจนเราจำรหัสผ่านไม่ได้ แถมพอแก้ไขด้วยการกดลืมรหัสผ่าน เพื่อที่จะตั้งรหัสผ่านใหม่ ระบบที่เข้มงวดก็มักจะไม่สามารถใช้รหัสผ่านที่ "คล้ายเดิม" ได้อีก นั่นทำให้ต้องพยายามสรรหารหัสผ่านใหม่ ที่ตัวเราจะสามารถจดจำมันได้ ซึ่งไม่ใช่เรื่องง่ายเลย

แต่ในที่สุดปัญหานี้ก็ได้รับการแก้ไข โดยเมื่อวันที่ 5 พฤษภาคม ค.ศ. 2022 (พ.ศ. 2565) ทาง 3 บริษัทยักษ์ใหญ่ในวงการเทคโนโลยี Google, Apple และ Microsoft ได้ประกาศร่วมกันว่าจะให้การสนับสนุนมาตรฐานการเข้าระบบ (Sign-in) แบบใหม่ที่ทาง Fast IDentity Online (FIDO) Alliance พัฒนาขึ้นมา โดยระบบของ FIDO เป็นความพยายามที่จะสร้างทางเลือกใหม่ในการยืนยันตัวตนโดยไม่ต้องใช้รหัสผ่าน (Password) นั่นก็คือ "Passkey"

ดังนั้น ถ้าจะสรุปว่า Passkey คืออะไร ? คำตอบก็ง่าย ๆ สั้น ๆ "มันคือวิธีเข้าระบบ (Sign-in) โดยไม่ต้องใช้รหัสผ่าน" นั่นเอง ซึ่งมีความปลอดภัยกว่าการที่ผู้ใช้ต้องกรอกรหัสผ่านด้วยตนเอง แต่คำถามถัดมาคือ "แล้ว Passkey ทำงานอย่างไร ?"

ภาพจาก https://support.apple.com/th-th/guide/iphone/iphf538ea8d0/ios

Passkey ทำงานอย่างไร ? (How does Passkey work ?)

Passkey คือ FIDO Credential ซึ่งเป็นข้อมูลที่ใช้ในการยืนยันตัวตนของผู้ใช้งานที่ถูกบันทึกเก็บเอาไว้บนคอมพิวเตอร์ หรือสมาร์ทโฟน โดยข้อมูล FIDO credential จะถูกใช้ในการปลดล็อคบัญชีออนไลน์ในเวลาที่ผู้ใช้เข้าระบบ (Sign-in) หรือเปรียบได้กับ "ลูกกุญแจ" นั่นเอง

FIDO credential เป็นกุญแจสาธารณะ (Public Key Cryptography) ที่จะทำงานร่วมกับกุญแจส่วนตัว (Private key) เพื่อยืนยันตัวตนของผู้ใช้งาน โดยเมื่อผู้ใช้งานต้องการ Sign-in ไม่ว่าจะบนเว็บไซต์ หรือแอปพลิเคชันบนสมาร์ทโฟนก็ตาม เซิร์ฟเวอร์จะทำการตรวจสอบไปยังข้อมูล FIDO credential ที่อยู่ในอุปกรณ์ของผู้ใช้งาน จากนั้นผู้ใช้ก็แค่ทำการปลดล็อคสมาร์ทโฟนด้วยการสแกนลายนิ้วมือ หรือใช้ Face ID ในการยืนยันการตรวจสอบ หากสำเร็จ ระบบก็จะ Sign-in ให้ โดยที่ผู้ใช้ไม่ต้องใส่รหัสผ่าน

ส่วนในกรณีที่เป็นการเข้าระบบ (Sign-in) ผ่านเว็บเบราว์เซอร์บนคอมพิวเตอร์ ผู้ใช้เพียงแค่ต้องมีสมาร์ทโฟนอยู่ใกล้ ๆ เท่านั้นเอง หรือหากในคอมพิวเตอร์ของคุณมีชิปเข้ารหัสอยู่ เช่น Trusted Platform Module (TPM) ก็อาจไม่ต้องใช้สมาร์ทโฟนเลยก็ได้

โดยเมื่อได้รับแจ้งเตือนคำร้องขอเข้าระบบ ก็แค่แตะปลดล็อคเพื่ออนุญาต จากนั้นหน้าเว็บไซต์บนคอมพิวเตอร์ก็จะดำเนินการเข้าระบบให้ทันที

ในการเริ่มต้นใช้งาน ผู้ใช้จะต้องสร้าง "Passkey" ขึ้นมาก่อน โดยระบบจัดการรหัสผ่าน (Password manager) ที่อยู่บนสมาร์ทโฟนจะสร้าง "กุญแจ" ขึ้นมา 1 คู่ ตัวหนึ่งเป็น Public key ขณะที่อีกตัวเป็น Private key โดยใช้หลักคณิตศาสตร์ในการสร้างค่าที่มีความสัมพันธ์กัน

เว็บไซต์ หรือแอปพลิเคชันที่คุณสมัคร (Sign-up) แล้วเลือกที่จะใช้ Passkey จะบันทึก Public key ของคุณเก็บไว้ ส่วนตัวผู้ใช้จะถือ Private key เวลาที่ผู้ใช้เข้าสู่ระบบ (Sign-in) ระบบจะทำการส่ง Public key มายังอุปกรณ์ของผู้ใช้ ซึ่งขั้นตอนนี้เรียกว่าการท้าทาย (Challenge) เปรียบได้กับการถามคำถาม เพียงแต่การจะตอบคำถามนี้ให้ถูกต้องได้นั้น จำเป็นต้องมี Private key ด้วย เมื่อระบบได้รับคำตอบที่ถูกต้อง ก็ถือว่าการตรวจสอบผู้ใช้สมบูรณ์ สามารถเข้าสู่ระบบได้

ภาพจาก https://www.corbado.com/blog/passkey-tutorial-how-to-implement-Passkey

หากทำสมาร์ทโฟนหายจะเกิดอะไรขึ้น ?

จากการที่สมาร์ทโฟนทำหน้าที่เหมือนกุญแจที่ใช้เข้าสู่ระบบ อาจทำให้เกิดคำถามว่า "แบบนี้ ถ้าทำสมาร์ทโฟนหาย คนที่เก็บได้ก็เข้าบัญชีเราได้หมดเลยน่ะสิ ?"

ความจริงไม่ใช่แบบนั้น เพราะสมาร์ทโฟนเป็นเพียงองค์ประกอบหนึ่งของ Passkey เท่านั้น ในการ Sign-in ยังมีขั้นตอนการตรวจสอบตัวตนว่าคุณเป็นเจ้าของบัญชีตัวจริงอยู่ อาจเป็นการสแกนลายนิ้วมือ หรือ Face ID ซึ่งคนที่เก็บได้จะไม่สามารถยืนยันข้อมูลเหล่านี้ได้

ส่วนเราที่เป็นเจ้าของไอดี ก็สามารถสร้าง Passkey ขึ้นมาใหม่ได้ง่าย ๆ บนสมาร์ทโฟนเครื่องใหม่

Passkey ใช้กับอะไรได้บ้าง ? (What can Passkey be used with ?)

ไม่มีฐานข้อมูลอย่างเป็นทางการที่รวบรวมว่ามีเว็บไซต์ และแอปพลิเคชันใดบ้าง ที่รองรับการเข้าสู่ระบบด้วย Passkey แต่มันก็เริ่มได้รับความนิยมมีการปรับใช้มากขึ้นเรื่อย ๆ

เว็บเบราว์เซอร์ และอุปกรณ์รุ่นใหม่ ๆ ในปัจจุบันนี้รองรับการใช้งาน Passkey โดยถ้าเป็นอุปกรณ์ของ Apple จะสามารถใช้งานได้บน macOS และ iOS/iPadOS ที่มี Touch ID หรือ Face ID และมีเวอร์ชัน 16+ ขึ้นไป ส่วน Microsoft สามารถใช้งานได้ในอุปกรณ์ที่รองรับ Windows Hello ทางด้าน Android ก็สามารถใช้งานได้เช่นกัน เพราะ Google ก็ให้การสนับสนุนเทคโนโลยี

สำหรับบริการใหญ่ ๆ ที่รองรับ Passkey แล้ว จะมีดังต่อไปนี้

• 1Password
• Adobe
• Amazon
• Apple
• Bitwarden (เครื่องมือจัดการรหัสผ่าน)
• Dashlane (เครื่องมือจัดการรหัสผ่าน)
• Ebay
• GitHub 
• Google
• Kayak 
• Keepass XC (เครื่องมือจัดการรหัสผ่าน)
• Keeper (เครื่องมือจัดการรหัสผ่าน)
• Linkedin
• Microsoft
• Mozilla (Firefox)
• Nintendo
• Nvidia
• PayPal
• Shopify (เครื่องมือจัดการรหัสผ่าน)
• Sony Playstation
• Synology
• Tiktok
• Uber 
• Whatsapp
• X (Twitter)
• Yahoo
• Zoho 

เปรียบเทียบ Passkey กับ Password (Passkey vs Password)

Password เป็นข้อมูลที่ผู้ใช้งานสร้างขึ้นมาเอง โดยมีหลักการว่าต้องเป็นข้อมูลที่จดจำได้ง่าย แต่ความง่ายนั้นก็เป็นประโยชน์ต่ออาชญากรไซเบอร์ด้วยเช่นกัน ซึ่งการใช้รหัสผ่านที่ดี ตัวรหัสต้องมีความซับซ้อน และไม่ควรใช้รหัสผ่านเดียวกันกับทุกบริการอีกด้วย แต่โดยส่วนใหญ่ เชื่อว่าผู้ใช้ส่วนมากก็ใช้งานรหัสผ่านเดียวกับทุกบริการอยู่ดี 

ในขณะที่ Passkey ผู้ใช้ไม่ต้องคิดรหัสให้ซับซ้อน และไม่ต้องจดจำอีกด้วย แถมตัวรหัสก็มีความซับซ้อนสูงมาก แบบคนปกติไม่มีทางจำได้เลย ทำให้เป็นรหัสที่มีความปลอดภัยสูงกว่ามาก

Passkey ดีกว่า Password อย่างไร ? (How is Passkey better than Password ?)

ประโยชน์ที่เห็นได้อย่างชัดเจนในการใช้ Passkey คือมันง่ายต่อผู้ใช้งานมาก หากเป็นระบบ Password ผู้ใช้จะต้องมาจดจำรหัสผ่าน และหากเป็นคนที่เคร่งงวดใช้รหัสผ่านหลายชุด ก็อาจทำให้เกิดอาการ Password fatigue ความรู้สึกอ่อนล้าจากการต้องจดจำรหัสผ่านเป็นจำนวนมาก ถึงแม้ว่าการนำแอปพลิเคชันประเภท Password managers มาใช้งาน จะช่วยลดภาระให้แก่ผู้ใช้ได้ แต่มันก็ยังไม่สะดวก และมีความปลอดภัยเท่า Passkey อยู่ดี 

Passkey นั้นเรียบง่าย และเป็นมิตรแก่ผู้ใช้ แถมยังช่วยป้องกันการ Phishing ถ้าสงสัยว่ามันช่วยได้อย่างไร ? ก็ต้องเข้าใจกระบวนการโจมตีแบบ Phishing ที่อาชญากรใช้เสียก่อน โดยในขั้นตอนการ Phishing นั้น นักเจาะระบบ หรือ แฮกเกอร์ (Hacker) มักจะส่งข้อความไปหาเหยื่อ เพื่อหลอกล่อให้เหยื่อคลิกลิงก์เข้าระบบที่อยู่บนเว็บไซต์ปลอม เพื่อหวังให้เหยื่อกรอก Username / Password และถ้าหากเหยื่อหลงเชื่อ แล้วกรอกข้อมูลลงไป แฮกเกอร์ก็จะได้ข้อมูล Sign-in ของเราไปอย่างง่ายดาย

ข้อมูลเพิ่มเติม : Phishing คืออะไร ? พบกับการหลอกลวงแบบฟิชชิง 8 รูปแบบ ที่เราควรรู้จักเอาไว้

แต่กระบวนการที่ว่ามาไม่สามารถเกิดขึ้นได้กับ Passkey เหตุผลนั้นง่ายมาก เพราะในการใช้ Passkey ผู้ใช้ไม่ต้องกรอกข้อมูลอะไรทั้งสิ้น และเว็บไซต์ปลอมเหล่านั้นก็ไม่มี Public Key ที่จะมาจับคู่กับ Private Key ที่ผู้ใช้ถืออยู่ ดังนั้น ต่อให้เหยื่อหลงเชื่อคลิกเข้าเว็บไซต์ปลอมที่แฮกเกอร์สร้างขึ้นมา แต่แฮกเกอร์ก็ไม่สามารถขโมยข้อมูลได้อยู่ดี

Passkey จะเข้ามาแทนที่ Password หรือไม่ ? (Will Passkey replace Password ?)

ถ้ามองจากคุณสมบัติการทำงานของมันที่ดีกว่า Password หลายด้าน รวมถึงการที่ Google, Apple และ Microsoft ที่ถือได้ว่าเป็น 3 ผู้เล่นรายใหญ่ในวงการเทคโนโลยีก็ให้การสนับสนุน Passkey ดังนั้นคำตอบก็คงต้องเป็น "ใช่"

FIDO Alliance ได้พัฒนาระบบยืนยันตัวตนแบบไม่ต้องใช้รหัสผ่านมาเป็นเวลาหลายปีแล้ว แต่มันเพิ่งจะเริ่มเป็นที่ยอมรับ และถูกใช้งาน ก็ตอนที่ประสบความสำเร็จในการหาวิธีจัดเก็บรหัสที่สามารถซิงค์ระหว่างอุปกรณ์ต่างได้ โดยทาง FIDO เรียกมันว่า "FIDO Credential" แต่ตอนนี้ก็รู้จักกันในชื่อ Passkey จากแนวโน้มที่เว็บไซต์ และแอปพลิเคชันต่าง ๆ ก็เริ่มปรับตัวให้รองรับกันมากขึ้น