2 คะแนน โดย GN⁺ 2023-10-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google เปิดให้ พาสคีย์ เป็นตัวเลือกเริ่มต้นใน Google Account สำหรับผู้ใช้ทั่วไป เพื่อให้เปลี่ยนไปสู่การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านได้ง่ายขึ้น
  • ตั้งแต่การเข้าสู่ระบบครั้งถัดไป จะมี ข้อความแจ้งให้สร้างและใช้พาสคีย์ แสดงขึ้น และในหน้าการตั้งค่าบัญชีจะเห็นว่าเปิดตัวเลือก “Skip password when possible” ไว้อยู่
  • พาสคีย์ใช้ ลายนิ้วมือ การสแกนใบหน้า และ PIN ที่ใช้ปลดล็อกอุปกรณ์ในการเข้าสู่ระบบ โดย Google มองว่าเร็วกว่ารหัสผ่าน 40% และปลอดภัยกว่าด้วยวิธีการเข้ารหัส
  • การเข้าสู่ระบบด้วยรหัสผ่านจะยังคงมีต่อไปอีกระยะหนึ่ง และผู้ใช้ที่ไม่ต้องการสามารถปิด “Skip password when possible” เพื่อ ปฏิเสธการใช้พาสคีย์ ได้
  • ตอนนี้มีการใช้พาสคีย์แล้วใน YouTube, Search และ Maps ขณะที่ Uber และ eBay ก็รองรับแล้วเช่นกัน และจะมี ความเข้ากันได้กับ WhatsApp ตามมาในเร็ว ๆ นี้

การเปลี่ยนค่าเริ่มต้นของการเข้าสู่ระบบใน Google Account สำหรับผู้ใช้ทั่วไป

  • Google ระบุว่าหลังเปิดรองรับ พาสคีย์ เมื่อต้นปีที่ผ่านมา ก็ได้รับเสียงตอบรับเชิงบวกจากผู้ใช้
  • ตอนนี้ได้เปิดให้ Google Account โดยรวมสำหรับผู้ใช้ทั่วไปใช้พาสคีย์เป็นตัวเลือกการเข้าสู่ระบบเริ่มต้นแล้ว
  • ในการเข้าสู่ระบบบัญชีครั้งถัดไป จะมีข้อความแจ้งให้สร้างและใช้พาสคีย์แสดงขึ้น
  • ในการตั้งค่า Google Account จะเห็นว่าเปิดตัวเลือก “Skip password when possible” ไว้อยู่

วิธีใช้พาสคีย์และคุณสมบัติด้านความปลอดภัย

  • พาสคีย์ ใช้ ลายนิ้วมือ การสแกนใบหน้า และ PIN แบบเดียวกับที่ใช้ปลดล็อกอุปกรณ์เมื่อเข้าสู่ระบบบัญชี
  • ตามข้อมูลของ Google การเข้าสู่ระบบด้วยพาสคีย์ เร็วกว่า 40% เมื่อเทียบกับรหัสผ่าน
  • มีความปลอดภัยมากกว่าเพราะอาศัยวิธีการเข้ารหัส และยัง ต้านทานฟิชชิง ได้
  • ผู้ใช้จึงลดภาระในการต้องจำตัวเลขและอักขระพิเศษของรหัสผ่าน

รหัสผ่านและสิทธิ์ในการเลือกของผู้ใช้ยังคงอยู่

  • Google มองว่าการที่เทคโนโลยีใหม่จะตั้งหลักได้นั้นต้องใช้เวลา และรหัสผ่านอาจยังคงอยู่ต่อไปอีกระยะหนึ่ง
  • ผู้ใช้ยังคงสามารถ เข้าสู่ระบบด้วยรหัสผ่าน ได้
  • ผู้ใช้ที่ไม่ต้องการพาสคีย์สามารถปิดตัวเลือก “Skip password when possible” ได้

การรองรับพาสคีย์ที่ขยายออกไปนอก Google

  • หลังจากเปิดตัวพาสคีย์ ผู้ใช้ก็ใช้พาสคีย์ในแอปของ Google อย่าง YouTube, Search และ Maps กันมาแล้ว
  • Google มองแนวโน้มที่ทั้งอุตสาหกรรมหันมานำพาสคีย์ไปใช้เพิ่มขึ้นในทางบวก
  • Uber และ eBay มอบทางเลือกในการเข้าสู่ระบบแพลตฟอร์มโดยไม่ใช้รหัสผ่าน
  • จะมี ความเข้ากันได้กับ WhatsApp เพิ่มเข้ามาในเร็ว ๆ นี้

ก้าวถัดไปสู่การเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน

  • Google จะยังคงบอกผู้ใช้ต่อไปว่าสามารถใช้ พาสคีย์ กับบัญชีออนไลน์อื่น ๆ ได้ที่ไหนบ้าง
  • พร้อมผลักดันให้อุตสาหกรรมเปลี่ยนผ่านไปสู่พาสคีย์เพื่อลดการใช้ รหัสผ่าน และทำให้กลายเป็นสิ่งที่พบได้น้อยลงในท้ายที่สุด
  • ดูข้อมูลเกี่ยวกับความปลอดภัยของบัญชี Google ได้ที่ myaccount.google.com/safer

1 ความคิดเห็น

 
GN⁺ 2023-10-12
ความคิดเห็นบน Hacker News
  • อย่างที่หลายคนพูดกัน ถ้าคุณทำอุปกรณ์หาย การเริ่มต้น การยืนยันตัวตนด้วยคริปโตกราฟี ใหม่อีกครั้งนั้นยากมาก
    เดือนที่แล้วภรรยาผมทำกระจก iPhone แตกและส่งซ่อมผ่าน AppleCare แต่ Apple ไม่ได้บอกว่า “การซ่อมกระจก” แท้จริงแล้วรวมถึงการเปลี่ยนชิ้นส่วนภายในและการรีเซ็ตเครื่องด้วย
    ข้อมูลสำรองของ Apple iPhone ไม่ได้มีค่าลับเชิงคริปโตกราฟีอย่าง eSIM อยู่ด้วย
    สุดท้ายพอจะเปิดใช้งาน eSIM ก็ต้องใช้อีเมล, อีเมลต้องใช้ MS Authenticator และ MS Authenticator ก็เปิดใช้งานไม่ได้ถ้าไม่มี SMS กลายเป็นลูป
    ต้องหอบบัตรประจำตัวที่มีรูปถ่ายหลายใบไปถึงร้านของผู้ให้บริการเครือข่ายเพื่อออก eSIM ใหม่ และแม้รหัสผ่านจะถูกต้อง บัญชีธนาคารก็ถูกล็อกเพราะการล็อกฮาร์ดแวร์บางอย่างของโทรศัพท์
    ใช้เวลาหลายวันกว่าจะแก้ได้ และต้องไปหลายหน่วยงานด้วยตัวเอง ถ้าเป็นตอนเดินทางต่างประเทศคงติดแหง็กโดยสมบูรณ์
    ยุคสมัยเปลี่ยนไปแล้ว และตอนนี้ตัวตนดิจิทัลทั้งหมดกลายเป็น สมาร์ตการ์ด ที่อยู่ในโทรศัพท์ ไม่ว่าสมาร์ตการ์ดนั้นจะเป็น SIM หรือชิป TPM บนบอร์ด ถ้าทำหาย สำหรับคนอื่น ๆ คุณก็แทบไม่ต่างจากคนตาย
    Passkey ทำให้ปัญหานี้แย่ลงมาก ถ้ายังเป็น SIM จริง อย่างน้อยก็ย้ายจากโทรศัพท์เครื่องหนึ่งไปอีกเครื่องได้ แต่ Passkey ไม่สามารถย้ายข้ามผู้ให้บริการได้
    ควรวิ่งหนีไปพร้อมกรีดร้อง อย่าเชื่อโฆษณาเกินจริง และควรรอจนกว่าผู้ให้บริการจะมีวิธีโอนย้ายและกู้คืนที่เหมาะสมเสียก่อน

    • เห็นด้วยอย่างยิ่งกับคำว่า “วิ่งหนีไปพร้อมกรีดร้อง” การ ผูกการยืนยันตัวตนไว้กับฮาร์ดแวร์ ที่ผมควบคุมไม่ได้ แทบจะนำไปสู่การถูกปฏิเสธการใช้บริการในอนาคตได้อย่างแน่นอน
      ผู้คนไม่ชอบรหัสผ่าน แต่ในความเป็นจริง สำหรับหลายสถานการณ์และโมเดลภัยคุกคาม รหัสผ่านคือจุดประนีประนอมที่ดีที่สุด หากดึงข้อมูลอย่างน้อย 32 ไบต์จาก /dev/random แล้วเข้ารหัสในรูปแบบที่ต้องการ ในจักรวาลนี้ก็ไม่มีใคร brute force ได้ และตัวจัดการรหัสผ่านก็แก้ปัญหาการใช้รหัสผ่านซ้ำให้ด้วย
      แถมยังมีข้อดีที่ผมควบคุมวิธีจัดเก็บเองได้ และทำแบ็กอัปซ้ำซ้อนได้มากพอจนสบายใจ
    • ผมเชื่อปัญหาที่พูดมาทั้งหมด แต่โดยทั่วไปแล้วเราสามารถเพิ่ม Passkey หลายตัว ให้แต่ละบริการได้ จะลงทะเบียนทั้ง iPhone กับโทรศัพท์ Android ราคาถูกเพื่อความซ้ำซ้อน หรือจะเก็บ Passkey ไว้ใน 1Password ก็ได้
      ข้อมูลสำรองของ iPhone รวมถึงข้อมูลสำรองของรายการที่เก็บใน iCloud Keychain และถ้ามีอุปกรณ์ Apple เครื่องอื่นหรือคีย์กู้คืน ก็กลับเข้าใช้งานได้อีกครั้ง ขอแค่มีรหัสผ่านอุปกรณ์หรือคีย์กู้คืน ก็สามารถ bootstrap ทุกอย่างกลับมาได้
      eSIM เป็นของผู้ให้บริการเครือข่ายจึงเป็นกรณีพิเศษ และของพวกนี้ก็เป็นเรื่องชวนปวดหัวที่ผูกกับหน้าร้านและโทรศัพท์มาแต่ไหนแต่ไร และจะยังเป็นแบบนั้นต่อไป
    • เพิ่มเติมจากเรื่องนี้ ทุกวันนี้เว็บไซต์จำนวนมากดูจะภูมิใจที่ ไม่มีมนุษย์ในฝ่ายสนับสนุนลูกค้า และไม่ช่วยกู้คืนเวลาบัญชีถูกล็อก Google หรือ Meta ก็เป็นแบบนั้น
    • ไม่ว่าอะไรก็เหมือนกัน ต้องมีแบ็กอัป ต้องมี Passkey มากกว่าหนึ่งตัว
      ผมใช้เกือบ 3 ตัว ได้แก่ Yubikey ที่เวิร์กสเตชัน, Yubikey แบบพกพา และโทรศัพท์ ทั้ง 3 ตัวนี้สามารถเริ่มต้นใหม่ได้ทั้ง Google สำหรับอีเมลและ Apple สำหรับโทรศัพท์ ส่วนที่เหลืออยู่ใน 1Password และเข้าถึงได้ผ่านวิธีเหล่านี้
      แม้ในสถานการณ์ฉุกเฉินสุดเลวร้ายที่สุด ผมคิดว่าคงกู้คืนอีเมลได้ไม่ทางใดก็ทางหนึ่ง หากยืนยันตัวตนกับผู้ให้บริการ DNS แล้วเปลี่ยนระเบียน MX ก็กลับมาจัดการงานต่อได้ ถึงอย่างนั้นก็ยังไม่ถึงขั้นมองว่าเป็นสิ่งจำเป็นต่อชีวิตประจำวัน ถ้าเสียการเข้าถึงไปคงลำบากมาก แต่ไม่น่าถึงขั้นเป็นโทษประหาร
      SMS และรายชื่อใน Signal ก็มีอยู่ที่อื่นด้วย และเงินในบัญชีธนาคารก็ยังใช้ได้ด้วยการเขียนเช็ค บัญชีที่เกี่ยวกับบริษัทก็เข้าได้ถ้าไปโผล่ที่ออฟฟิศด้วยตัวเอง
      แต่ผมคิดว่า Passkey มีแนวโน้มจะซับซ้อนเกินไปสำหรับผู้ใช้คอมพิวเตอร์ทั่วไป น่าเสียดายที่วิธี “เราจะส่งลิงก์ทางอีเมลให้ทุกครั้งที่เข้าสู่ระบบ” ดูเหมือนจะเป็นการยืนยันตัวตนแบบไม่ใช้รหัสผ่านที่เป็นมิตรกับผู้ใช้ที่สุด
      นิสัยการใส่ Passkey ไว้ใน 1Password ก็ไม่ได้ทำให้สบายใจนัก เพราะรู้ว่ามันเท่ากับถูกผูกไว้ตลอดไป แต่ผมก็ชอบบริการนี้ และถ้าวันหนึ่งอยากย้าย อย่างน้อยก็ยังมีรายชื่อบัญชีที่ต้องสร้างใหม่
      สิ่งที่กลัวที่สุดคือสถานการณ์ที่ลืมรหัสผ่านโทรศัพท์ ครั้งหนึ่งผมตื่นขึ้นมา แล้วสมาธิหลุดในจังหวะที่แย่มาก จนจำรหัส 6 หลักไม่ได้เลย ผมใช้รหัสเดียวกันนั้นปลดล็อกเวิร์กสเตชันด้วย พอหันไปสนใจอย่างอื่นสักพัก จึงนึกออกด้วยความจำของกล้ามเนื้ออย่างหวุดหวิด
      เป็นช่วงเวลาที่คิดจริง ๆ ว่า “เมื่อกี้ฉันเพิ่งเป็นสโตรกหรือเปล่า” ตอนนี้ผมเก็บรหัสนั้นไว้ใน 1Password แล้ว ถ้ามีอุปกรณ์ที่ปลดล็อกอยู่สักเครื่อง ก็ช่วยรื้อฟื้นความจำได้ เรื่องนี้เกิดขึ้นนานพอสมควรแล้ว และไม่น่าจะใช่ภาวะสมองเสื่อม แค่เป็นปรากฏการณ์ชั่ววูบแปลก ๆ
      ในทางกลับกัน รหัสผ่านที่ใช้ในที่ทำงานซึ่งมีอายุสูงสุด 1 ปี ผมจำได้หมดอย่างสมบูรณ์แบบ แม้มันจะไม่ค่อยมีประโยชน์ถ้านึกเลข 6 หลักนั้นไม่ออกก็ตาม
    • สรุปเผื่อจะได้ไม่ต้องอ่านบทความก่อนวิ่งหนีไปพร้อมกรีดร้อง: บทความบอกว่ายังล็อกอินด้วยรหัสผ่านได้ และถ้าปิด “ข้ามรหัสผ่านเมื่อเป็นไปได้” ก็ปฏิเสธ Passkey ได้
      ดังนั้นอีกไม่นานรหัสผ่านก็น่าจะไปอยู่ใน “Killed by Google” และบัญชีของผมก็คงไปด้วย ผมไม่เหลืออุปกรณ์ที่ล็อกอินค้างไว้เลยสักเครื่อง
      ถึงเวลาย้ายกรณีใช้งานไม่กี่อย่างที่เหลืออยู่นานแล้ว สงสัยเหมือนกันว่าถ้าสถานการณ์ที่เลี่ยงไม่ได้มาถึง บริษัทจะรีเซ็ต Passkey บัญชีงาน ของผมได้ไหม
  • ผมมองว่านี่เป็นทิศทางที่ถูกต้อง แต่ก็เคยเห็น กรณีสยองขวัญ มากเกินไปที่คนถูกล็อกออกจากบัญชี Google หรือ iCloud แล้วไม่มีวิธีกู้คืนได้จริงๆ
    คงไม่ใช่แค่ผมที่คิดแบบนี้ แต่สักวันหนึ่ง ผมคงถูก Google ล็อกออกเพราะความผิดพลาดของตัวเอง แล้วชีวิตดิจิทัลของผมก็จบเห่
    ถ้ามีบริษัทเอกชนให้บริการล็อกอินแบบ login.gov และเวลาถูกล็อกออกยังสามารถคุยกับมนุษย์จริงๆ ได้เหมือน USPS ผมยินดีจ่ายเงินเลย

    • เรื่องนี้เป็นปัญหายิ่งขึ้นโดยเฉพาะกับผู้ใช้ทั่วไปและผู้สูงอายุ และ Google ก็มีประวัติว่าแทบไม่มีฝ่ายสนับสนุนอยู่แล้ว แถม Passkey เองก็เป็นระบบที่มีข้อบกพร่องด้วย
      https://mastodon.laurenweinstein.org/@lauren/111103819626952...
      https://mastodon.laurenweinstein.org/@lauren/111211366080459...
    • การกู้คืนจากภัยพิบัติ คือสิ่งที่น่ากังวลที่สุดในระบบยืนยันตัวตนสองขั้นตอนหรือหลายปัจจัย ผมคิดว่านี่ก็เป็นหนึ่งในเหตุผลที่ทำให้สิ่งอย่าง PGP แพร่หลายไม่ได้ ต้องคอยจัดการอะไรบางอย่างที่เล็กและสำคัญอยู่เสมอ และปัญหาคือผลกระทบเมื่อใช้มันไม่ได้ หรือเมื่อมีคนประสงค์ร้ายเอาไปใช้
    • “การถูกล็อกออกจากบัญชี” คือเวอร์ชันสมัยใหม่ของคำกล่าวเก่าๆ ที่ว่า “ฮาร์ดไดรฟ์สักวันก็ต้องเสีย”
      ไม่ใช่เรื่องว่า if แต่เป็น when สำหรับคนที่ให้ความสำคัญกับข้อมูล การสำรองข้อมูลและแผนกู้คืนจากภัยพิบัติที่รัดกุม เป็นสิ่งจำเป็น บริษัทสักแห่งจะทำอะไรพังโดยที่เราไม่ได้ผิด และหลีกเลี่ยงไม่ได้
      น่าเสียดายที่บางแง่มุมของบัญชีที่หายไปไม่มีตัวเลือกกู้คืนจากภัยพิบัติที่ดี แต่การมีหลายบัญชีและหลีกเลี่ยงจุดล้มเหลวเดียวก็ช่วยได้บ้าง
    • การจินตนาการถึงสถานการณ์เลวร้ายมีประโยชน์เมื่อมันนำไปสู่การลงมือทำ ในกรณีนี้ สิ่งที่เหมาะสมคือการไปทำความเข้าใจและใช้ ตัวเลือกการกู้คืนบัญชี Google
      ควรมีวิธีอิสระหลายวิธีที่ใช้ล็อกอินได้ เช่น พิมพ์รหัสสำรองออกมาแล้วเก็บไว้กับเอกสารสำคัญ
      แต่สิ่งนี้ก็ยังไม่ได้ป้องกันสถานการณ์ที่ถูกล็อกออกจากบัญชีเพราะ Google เปลี่ยนนโยบาย ดังนั้นในอุดมคติควรลองฝึกอยู่ให้ได้โดยไม่ต้องพึ่งบัญชี Google ด้วย
    • เห็นด้วย 100% ผมรอคอยอนาคตที่ไม่ต้องใช้รหัสผ่าน แต่การถูกบล็อกครั้งเดียวโดยไม่มีคำอธิบายก็คล้ายกับ การทำกระเป๋าสตางค์จริงๆ หาย
  • Lauren Weinstein กำลังเตือนว่า Passkey มีข้อบกพร่อง และโดยเฉพาะกับผู้ใช้ทั่วไป มันจะกลายเป็นเรื่องปวดหัวมหาศาล
    https://mastodon.laurenweinstein.org/@lauren/111103819626952...
    https://mastodon.laurenweinstein.org/@lauren/111211366080459...

    • ใช่ ผมเองก็มีความไม่พอใจคล้ายๆ กันมาหลายปีแล้ว
      ถ้าตัดประเด็นความเป็นส่วนตัวและการผูกติดกับผู้ให้บริการออกไปก่อน Passkey ก็ไม่ใช่ทางเลือกที่แย่มากสำหรับคนที่ใช้รหัสผ่านหลักอันเดียวกันซ้ำในทุกเว็บไซต์โดยไม่ใช้การยืนยันตัวตนสองขั้นตอน
      แต่พอเริ่มพึ่งมันเพื่อปกป้องอะไรจริงๆ มันจะกลายเป็นฝันร้ายขนาดใหญ่ทันที ยิ่งไปกว่านั้น มันแย่ลงเพราะถูกปฏิบัติเหมือนเป็น สิ่งที่เทียบเท่ารหัสผ่าน+การยืนยันตัวตนสองขั้นตอน
    • เขาอธิบายตรงไหนว่าข้อบกพร่องคืออะไร?
      บอกว่า “หาได้ง่าย” แต่ดูเหมือนจะหาไม่เจอจริงๆ
      https://mastodon.laurenweinstein.org/@lauren/111211489395997...
      ถ้าผู้ใช้น่าจะใช้รหัสผ่านบริการที่อ่อนแออยู่แล้ว ผมก็ไม่เข้าใจว่าทำไม รหัสผ่านอุปกรณ์ที่อ่อนแอ ถึงเป็นเหตุผลที่ควรหลีกเลี่ยง Passkey
    • ยังไม่ชัดเจนว่าอะไรคือเรื่องปวดหัว ถ้าประเด็นคือผลลัพธ์ที่ Passkey จะนำมาสู่ผู้ใช้ทั่วไปส่วนใหญ่ คนส่วนใหญ่ก็ล็อกอินบัญชี Google อยู่บนอุปกรณ์มือถือแล้ว
      ในกรณีนั้น ถ้าการยืนยันตัวตนของอุปกรณ์ถูกเจาะ บัญชีก็ถูกบุกรุกอยู่ดี
      โดยเฉพาะ Google ตอนนี้ไม่ได้เป็นโครงสร้างที่ต้องเลือกอย่างใดอย่างหนึ่งระหว่างรหัสผ่านกับ Passkey ถ้าไม่มี Passkey บนอุปกรณ์ ก็ยังกลับไปใช้ โฟลว์ล็อกอินด้วยรหัสผ่าน ได้
    • การถกเถียงนี้น่าหงุดหงิดเพราะไม่มีข้อมูล มีแต่ความคิดเห็นว่า ความเสี่ยงแบบไหนแย่กว่าความเสี่ยงอีกแบบ
      ถ้าจะเทียบความเสี่ยงกับประโยชน์ เราต้องรู้ว่าจริงๆ แล้วผู้คนใช้รหัสผ่านซ้ำมากแค่ไหน ใช้การยืนยันตัวตนสองขั้นตอนหรือไม่ พึ่งพาการล็อกหน้าจอโทรศัพท์เป็นทางเข้าถึงทุกบัญชีอย่างเดียวหรือเปล่า ใช้ไบโอเมตริกหรือไม่ จำเป็นต้องกู้คืนบัญชีบ่อยแค่ไหน ฯลฯ
      มีแต่ข้อมูลเหล่านี้เท่านั้นที่จะช่วยคลี่คลายข้อถกเถียง และยังทำให้แต่ละคนสรุปต่างกันได้ตามสถานการณ์ของตัวเอง
      Google มีข้อมูลเหล่านี้ส่วนใหญ่อยู่แล้ว ถ้าจะสนับสนุนข้ออ้างของตัวเอง ก็ควรเปิดเผยออกมา
    • “การยืนยันตัวตนอุปกรณ์ที่อ่อนแอ” นี่หมายถึงอะไร? ผมนึกว่าโทรศัพท์สมัยนี้มีกันหมดแล้วไม่ว่าจะเป็นสแกนลายนิ้วมือหรือสแกนใบหน้า
  • เมื่อไม่นานมานี้ 1Password เปิดการรองรับ Passkey แล้ว แต่พอรู้ว่า ไม่มีวิธีส่งออกออกจาก 1Password ก็ “ตกใจ”
    ไม่รวมอยู่ทั้งในการส่งออกแบบ 1PUX และใน CSV
    つまり หมายความตามตัวอักษรว่าไม่สามารถสำรองข้อมูลได้ ถ้า 1Password ล่ม บริษัทปิดตัว หรือเกิดเรื่องทำนองนั้น Passkey ก็จะหายไปเฉย ๆ ไม่มีวิธีกู้คืนเลย

    • ตอนนี้ไม่มีผู้เล่นรายใหญ่ในวงการ Passkey รายใดรองรับการส่งออกหรือนำเข้า Passkey เพราะยังไม่มีการตกลงกันเรื่องสเปกสำหรับทำสิ่งนี้อย่างปลอดภัย และไม่มีใครอยากอนุญาตให้ ส่งออก Passkey เป็นข้อความล้วน
      ดูโพสต์ 1Password Passkey AMA ล่าสุดเกี่ยวกับหัวข้อนี้:
      https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
      ถ้าพูดถึงกรณีที่ 1Password ใช้งานไม่ได้ รหัสผ่านและ Passkey จะถูกเก็บไว้ในเครื่องด้วยเมื่อซิงก์ไปยังอุปกรณ์ ต่อให้ด้วยเหตุผลใดก็ตามคุณเข้าถึง 1Password ไม่ได้ คุณก็ยังเข้าถึงรายการทั้งหมดใน vault ได้อยู่ เพียงแค่จะซิงก์ข้ามอุปกรณ์ไม่ได้
    • นั่นไม่ใช่จุดประสงค์ของ Passkey หรอกหรือ? คือทำให้ผู้ใช้จัดการมันเองไม่ได้ เพื่อไม่ให้ถูกขโมยผ่านการโจมตีแบบ social engineering
      แทนที่จะมองว่า Passkey ถูกย้ายไปมาระหว่างอุปกรณ์ ควรมองว่าเป็นโครงสร้างที่สร้าง Passkey แยกกันในแต่ละอุปกรณ์เหมือน SSH key แล้วลงทะเบียนทั้งหมดกับบริการที่เกี่ยวข้อง
      แน่นอนว่าผู้ใช้อาจถูกหลอกให้เพิ่ม Passkey ของผู้โจมตีเข้าไปในบัญชีของตัวเองได้
    • เคยคุยกับแม่ตอนแนะนำให้เปลี่ยน แม่กลัว การเปลี่ยนผู้ให้บริการอินเทอร์เน็ต เพราะอีเมลผูกอยู่กับผู้ให้บริการอินเทอร์เน็ต
      บนมือถือปัญหานี้ถูกแก้ไปหลายปีก่อนแล้ว แต่อีเมลยังเละเทะอยู่ บทเรียนคืออย่าไปผูกติดกับใครเด็ดขาด
    • มีตัวจัดการรหัสผ่านแบบ self-hosted ของบุคคลที่สามตัวไหนบ้างที่มี การใช้งาน Passkey ที่เข้ากันได้ ซึ่งส่งออกและสำรองอย่างปลอดภัยได้จริง?
    • การรองรับ Passkey ของ 1Password ให้ความรู้สึกเหมือน growth hacking ที่ค่อนข้างรุกหนัก
      มันดักการเรียก window.credentials และถ้าอยากใช้ 1Password ร่วมกับวิธียืนยันตัวตนอื่นอย่าง Yubikey ก็ต้องเข้าไปที่การตั้งค่าแล้วปิดฟีเจอร์ Passkey ทั้งหมด
      คล้ายกับวิธีที่มันดักพรอมป์ Google One Tap แล้วปิดใช้งานแบบทั่วระบบเพื่อแสดงพรอมป์ OAuth ของตัวเอง ผมใช้แค่ส่วนขยาย Chrome เลยไม่รู้ว่าประสบการณ์ในแอป native ต่างกันมากไหม
  • ในมุมผู้ใช้ก็ยังไม่เข้าใจอยู่ดี
    ถ้าบ้านไฟไหม้หรืออะไรทำนองนั้น แล้วอุปกรณ์ทั้งหมดที่ล็อกอิน Google ไว้พังหมด จะเกิดอะไรขึ้น? จะกลับเข้าบัญชีได้อย่างไร?

    • เรื่องแบบนั้นเกิดขึ้นกับครอบครัวฝ่ายคู่สมรสจริง ๆ โทรศัพท์ตกบันได หน้าจอแตกและไม่ตอบสนอง
      ผมให้โทรศัพท์เก่าไปเครื่องหนึ่ง ย้าย SIM ได้เรียบร้อย แต่ล็อกอินบัญชี Google ไม่ได้เลย เพราะ Google เอาแต่บอกอย่างดื้อดึงว่า “ให้ใช้โทรศัพท์” แล็ปท็อปก็ถูกล็อกเอาต์จากอีเมลอยู่
      โชคดีที่จากเหตุการณ์เก่าผมมี โทเคนสำรอง อยู่ เลยแก้ได้ ไม่รู้ว่าคนอื่นจะทำอย่างไร
    • ไม่รู้ว่า Google แก้เรื่องนี้ไว้อย่างไร แต่มีวิธีเก่าอยู่แล้ว คือ Shamir's Secret Sharing
      แบ่งคีย์ออกเป็น M ชิ้น และต้องมี N ชิ้นจากทั้งหมดจึงจะประกอบกลับได้ เช่น 3/8 หมายถึงมีแค่ 3 ชิ้นจาก 8 ชิ้นก็สามารถกู้คีย์ได้ ฝากแต่ละชิ้นไว้กับคนที่ไว้ใจ และตอนกู้คืนก็ขอชิ้นส่วนจากอย่างน้อย 3 คนในนั้นเพื่อนำคีย์กลับมา
      ตอนที่ผมทำเดโม YC ชื่อ multipasskey ผมให้เลือกผู้ติดต่อที่ไว้ใจ แล้วส่งชิ้นส่วนคีย์ไปให้พวกเขาในเบื้องหลัง ถ้าต้องกู้คืน ก็ส่งคำขอไปหาพวกเขา และเมื่อได้รับชิ้นส่วนเพียงพอก็ประกอบคีย์ของอุปกรณ์กลับมาได้ เมื่อมีคีย์ของอุปกรณ์แล้ว ก็ดาวน์โหลดแบ็กอัปคีย์ที่เข้ารหัสจากเซิร์ฟเวอร์ระยะไกลและกู้คืนได้เหมือนเครื่องใหม่
      ในปี 2017/2018 ผมเรียกโปรเจกต์นี้ว่า multipasskey และสมัคร YC ด้วยเดโมที่ใช้งานได้ แต่ถูกปฏิเสธ คิดว่าคงเป็นเพราะผมอธิบายไม่ดีพอ
    • เพิ่มเติมคือ การที่บทความนี้ไม่ลิงก์ไปยัง FAQ ที่ตอบคำถามพื้นฐานสำหรับคนไม่เชิงเทคนิค ถือว่าค่อนข้างแย่
      ในมุมคนสายเทคนิค ผมเดาว่าหมายถึงต้องฝากอุปกรณ์สำรองไว้กับเพื่อน หรือบันทึก Passkey ไว้ในบัญชี Apple/Microsoft/ตัวจัดการรหัสผ่านด้วย
      แต่ Google ควรอธิบายให้ละเอียดกว่านี้
    • เคยเจอไฟไหม้จริง เจ้าของบ้านช่วยหยิบโทรศัพท์ให้ผมไว้ได้ ทำให้เหลือแค่นั้นและเสียทรัพย์สินทั้งหมด ไม่อย่างนั้นคงติดอยู่ข้างนอกโดยสมบูรณ์ เพราะแอป TOTP ทั้งหมดอยู่ในนั้น
      และห้ามทำเบอร์โทรศัพท์หายเด็ดขาด ต่อให้มีชื่อผู้ใช้ รหัสผ่าน และอีเมลกู้คืน ถ้ารับรหัส SMS ไม่ได้ ก็กลับเข้าบัญชี Google ไม่ได้
    • Passkey เป็นเทคโนโลยีใหม่ และผู้ใช้ ผู้ให้บริการ และองค์กรต่าง ๆ ล้วนต้องใช้เวลาเรียนรู้และปรับตัว
      ในช่วงเปลี่ยนผ่านนี้ แนวทางที่แนะนำคือให้เสนอ Passkey เป็นทางเลือกควบคู่กับวิธีที่มีอยู่เดิม Google และผู้ให้บริการจำนวนมากก็ทำแบบนั้น
      อย่างไรก็ตาม คำถามที่ยกมานี้เป็นปัญหาเรื่อง การกู้คืนบัญชี ที่ทุกคนควรถามแม้ไม่มี Passkey ก็ตาม ต้องมีแผนว่าจะล็อกอินอย่างไรถ้าลืมรหัสผ่าน เข้าถึงตัวจัดการรหัสผ่านไม่ได้ หรือทำอุปกรณ์ยืนยันตัวตนชิ้นที่สองหาย การนำ Passkey มาใช้ไม่ได้ทำให้ไม่ต้องคิดเรื่องการกู้คืนบัญชีโดยสิ้นเชิง
      ถึงอย่างนั้นก็มีบางกรณีเฉพาะที่ Passkey ช่วยให้การกู้คืนบัญชีดีขึ้นได้ ถ้าสร้าง Passkey สำหรับบัญชี Google บนอุปกรณ์ Apple ที่ใช้ iCloud Keychain ตัว Passkey นั้นจะซิงก์กับ iCloud ดังนั้นแม้บ้านไฟไหม้และเสียอุปกรณ์ทั้งหมดไป ตราบใดที่ยังเข้าถึงบัญชี iCloud ได้ ก็สามารถกู้ Passkey ของบัญชี Google และเว็บไซต์อื่น ๆ กลับมาได้
      แน่นอนว่าคำถามว่า “ถ้าเสียสิทธิ์เข้าถึงบัญชี Apple iCloud ล่ะ?” เป็นคำถามที่สมเหตุสมผล ดังนั้นปัญหาการกู้คืนบัญชีไม่ได้หายไปโดยสิ้นเชิง แต่ในหลายกรณี Passkey สามารถลดปัญหานี้ลงได้มาก
  • ตรงนี้มี Simpson's paradox อยู่
    โดยเฉลี่ยแล้วอาจเพิ่มความปลอดภัยได้ เพราะผู้ใช้ส่วนใหญ่ใช้รหัสผ่านได้แย่มาก
    แต่สำหรับผู้ใช้ที่เชี่ยวชาญซึ่งใช้รหัสผ่านอย่างปลอดภัย ถ้าถูกบังคับใช้ ความปลอดภัยจะลดลงอย่างฮวบฮาบ
    การบังคับยืนยันตัวตนสองขั้นตอนด้วยเบอร์โทรศัพท์ก็มีผลแบบเดียวกัน ในกรณีของ Big G การบังคับยืนยันตัวตนสองขั้นตอนด้วยเบอร์โทรศัพท์คือนโยบายลดความนิรนามที่ห่อหุ้มด้วยคำว่าความปลอดภัย ส่วนกรณีนี้ดูเหมือนเป็นความพยายามเก็บข้อมูลชีวมิติ

    • คำว่า “การบังคับยืนยันตัวตนสองขั้นตอนด้วยเบอร์โทรศัพท์คือนโยบายลดความนิรนามที่ห่อหุ้มด้วยคำว่าความปลอดภัย” อาจเป็นได้ทั้งสองอย่าง จริง ๆ แล้วมีโอกาสสูงมากที่จะเป็นเช่นนั้น
      สำหรับคนส่วนใหญ่ เบอร์โทรศัพท์คืออัตลักษณ์ระยะยาวที่ดีที่สุดที่มี และ Google ต้องรองรับการกู้คืนบัญชีของผู้ใช้หลายพันล้านคนในสเกลที่เหลือเชื่อ
      หลายคนทำรหัสผ่านและอุปกรณ์หาย แต่มีคนน้อยมากที่ทำเบอร์โทรศัพท์หาย
      ดังนั้นการที่ Google ใช้เบอร์โทรศัพท์เพื่อมอบและมอบหมายอัตลักษณ์บนแพลตฟอร์มของตนจึงสมเหตุสมผล แย่ต่อความเป็นส่วนตัว แต่ดีมากต่อความปลอดภัย เพราะทำให้ควบคุมข้อมูลได้ด้วย “ข้อมูลรับรอง” สำหรับยืนยันตัวตนจากบุคคลที่สามที่ผู้ใช้ไม่ต้องจัดการเอง
    • ทำไมผู้ใช้ที่เชี่ยวชาญซึ่งใช้รหัสผ่านอย่างปลอดภัยถึงมีความปลอดภัยลดลงฮวบฮาบ? เพราะอุปกรณ์ถูกขโมยและ PIN อาจถูกเดาได้หรือ? ถ้าต้องการก็ใช้รหัสผ่านยาวแทน PIN ได้ไม่ใช่หรือ?
      อีกอย่าง ผมไม่แน่ใจส่วนนี้ ถ้ามีคนรู้จริงช่วยแก้ให้ได้ ผมเข้าใจว่าแม้จะสมมติว่าเป็นผู้ใช้เชี่ยวชาญที่มีภูมิคุ้มกันต่อรหัสผ่านอ่อน การใช้ซ้ำ และฟิชชิง ก็ยังมีข้อดีด้านความปลอดภัยอย่างหนึ่ง คือแม้ Google Passkey จะรั่ว สิ่งที่รั่วก็มีแค่ public key และ public key ใช้ล็อกอินไม่ได้ การรั่วไหลจึงแทบไม่มีประโยชน์
    • ข้อมูลชีวมิติใช้ปลดล็อกที่เก็บกุญแจในอุปกรณ์ local ซึ่งข้างในมี private key อยู่ จากตรงนั้นสามารถอนุมาน public key ได้ และแก่นของ Passkey ก็คือ คู่ public key/private key ที่ใช้ยืนยันการล็อกอินเว็บไซต์
      ถ้า Google เก็บข้อมูลชีวมิติอยู่จริง ก็คงทำอยู่แล้ว และไม่เกี่ยวกับฟีเจอร์นี้
      รายละเอียดพื้นฐานมาก ๆ ของโมเดลความปลอดภัยนี้เป็นความจริงมานานแล้ว ตั้งแต่ยุคที่ iPhone เริ่มใช้ Secure Enclave ผมไม่รู้ว่าทำไมคนในเว็บนี้ถึงพูดอย่างมั่นใจขนาดนั้นเกี่ยวกับสิ่งที่ตัวเองไม่เข้าใจเลย และพูดตรง ๆ คือผมตกใจ
      Passkey เทียบในเชิงหลักการแล้วเหมือนกับการใช้ SSH key แทนรหัสผ่าน SSH เมื่อล็อกอินเข้าเซิร์ฟเวอร์ เพียงแต่นำมาใช้กับเว็บไซต์ นอกจากนี้ยังมีข้อเท็จจริงง่าย ๆ ที่เป็นวัตถุวิสัยและไม่สามารถแทนที่ได้ด้วยความคิดว่า “ใช้รหัสผ่านอย่างปลอดภัย” คือ Passkey นั้นทนต่อฟิชชิงอย่างแท้จริง
    • Passkey ไม่ได้พึ่งพา Google หรือ Apple สามารถมีผู้เก็บรักษาหรือผู้จัดการที่เป็นของตัวเองได้ เหมือนที่องค์กรและรัฐบาลต้องการ
  • แปลกใจที่เขาผลักดันสิ่งนี้เร็วขนาดนี้ แม้จนถึงสัปดาห์ที่แล้ว การ implement ยังมีจุดหยาบ ๆ เหลืออยู่พอสมควร จนผมปิดไว้ใน Workspace tenant ของผม
    สองเรื่องที่น่าหงุดหงิดที่สุดคือ Advanced Protection ยังไม่รองรับ Passkey จึงต้องใช้ U2F ต่อไปสักพัก และถ้ามี U2F key ตั้งค่าไว้ในบัญชี Google จะบอกให้ใช้มันเป็น Passkey ก่อน จากนั้นก็บอกว่ามันไม่ใช่ Passkey ให้ล็อกอินด้วยรหัสผ่าน
    ผลคือคนที่ใช้การยืนยันตัวตนหลายปัจจัยที่ต้านฟิชชิงจะเสียความสามารถในการให้เครื่อง “จดจำ” ขั้นตอน MFA เพราะ Google จะขอปัจจัย U2F ก่อนรหัสผ่านเสมอ
    แยกจากเรื่องนี้ ผมได้ทดสอบ FIDO2 flow ที่ใช้ security key และ Passkey ข้ามประเภทอุปกรณ์และแพลตฟอร์มหลายแบบ ขณะเตรียม deploy การล็อกอินไร้รหัสผ่านบน Okta ให้ลูกค้ารายเล็ก ๆ บางราย โดยรวมแล้วชอบ flow การยืนยันตัวตนเอง แต่มีหลุมพรางที่ต้องระวังเยอะ
    ใช้เวลาค่อนข้างมากกับการทำ happy path ให้ชัดเจน ทำเอกสาร onboarding และบันทึกสถานการณ์ business continuity กรณีใช้งานส่วนบุคคลบางแง่อาจยากกว่า เพราะต้องคิดถึงแต่ละบริการ ไม่ใช่ IdP เดียว
    ถ้าต้องรองรับหลายสภาพแวดล้อม ทางง่ายในตอนนี้คือลงทุนกับ 1Password หรือ password manager อื่นที่รองรับ Passkey ให้ประสบการณ์ผู้ใช้ที่สม่ำเสมอที่สุดและใช้ได้บนแพลตฟอร์มส่วนใหญ่ แต่บน Android 14 ยังมีปัญหาอยู่
    สำหรับบัญชีสิทธิ์สูงจะยังใช้ hardware key ต่อไป ดังนั้นผู้ดูแลระบบจะได้รับ FIDO2 key หนึ่งคู่ ส่วนคนอื่น ๆ จะได้ Yubikey หนึ่งอัน เพื่อเป็นตัวสำรองเวลาสูญเสียการเข้าถึงอุปกรณ์หรือต้องล็อกอินจากอุปกรณ์ที่ไม่น่าเชื่อถือ Android ก็เป็นปัญหาตรงนี้ด้วย แม้ในเวอร์ชัน 14 ก็ดูเหมือนยังไม่รองรับ flow FIDO2 แบบไร้รหัสผ่าน

    • ทำไม Android จะต้องรองรับด้วยล่ะ? Passkey เป็นอีกโอกาสหนึ่งให้ Google ผูกลูกค้าไว้ด้วย lock-in
  • เป็นทิศทางที่น่าสนใจ แต่ควรชี้ว่า ข้อมูลชีวมิติ อย่างลายนิ้วมือหรือการจดจำใบหน้า จริง ๆ แล้วไม่ใช่ “ความลับ”
    มันอาจถูกสังเกตหรือใช้ได้โดยที่ผู้ใช้ไม่รับรู้หรือไม่ยินยอม และในหลายแง่มุมมันทำงานเหมือนชื่อผู้ใช้มากกว่ารหัสผ่าน

    • รหัสผ่านเองตามนิยามก็ถูกแชร์ จึงไม่ใช่ความลับโดยสมบูรณ์เช่นกัน Passkey ใช้ public-key cryptography และปลอดภัยกว่าในทุกด้าน
    • ไม่ใช่ว่าต้องเข้าถึงอุปกรณ์ทางกายภาพ และต้องมีลายนิ้วมือหรือใบหน้าด้วยหรือ?
    • Passkey ไม่ใช่การยืนยันตัวตนด้วยชีวมิติในตัวมันเอง ตัวอย่างเช่น การใช้ TouchID ไม่ได้หมายความว่า Google ยืนยันตัวตนผู้ใช้ด้วยลายนิ้วมือ
      ลายนิ้วมือเพียงแค่ปลดล็อกคู่กุญแจเข้ารหัสที่จะใช้ในการยืนยันตัวตน
      ผมใช้ Yubico Security Key เป็น Passkey และมันถูกป้องกันด้วย PIN 6 หลัก PIN นั้นอยู่เฉพาะในอุปกรณ์ local และมีไว้เพื่อกันไม่ให้คนที่มีตัวอุปกรณ์อยู่จริงล็อกอินได้ทันที ถ้าใส่ PIN ผิดติดต่อกัน 10 ครั้ง key จะถูกลบทิ้ง
      เมื่อใส่ PIN แล้ว key จะถูกปลดล็อก และสิ่งที่ทำให้เข้า Google account ได้ก็คือ key นั้นเอง
  • บัญชีส่วนใหญ่ที่มีรหัสผ่านมีมาตรการสำรองว่า “ถ้าพิสูจน์ตัวตนกับบริษัทได้ เขาจะรีเซ็ตให้” เช่น ถ้าจำรหัสผ่านธนาคารไม่ได้ ธนาคารก็มีช่องทางรีเซ็ตให้
    สิ่งที่ Google ควบคุมไม่มีวิธีติดต่อเพื่อแก้ปัญหาเลย นี่เป็นปัญหาอยู่แล้วในทุกผลิตภัณฑ์ของ Google
    การล็อกการเข้าถึงทั้งหมดไว้หลัง ประตูที่ Google ควบคุม คือการเตรียมฝันร้ายในอนาคตให้ตัวเอง

  • เสียดายที่ยังเก็บ Passkey ใน Bitwarden ไม่ได้ แต่จากข้อความด้านบนของหน้านี้ ดูเหมือนว่าจะมาในเดือนตุลาคม
    https://bitwarden.com/blog/bitwarden-passkey-management/