- Google เปิดให้ พาสคีย์ เป็นตัวเลือกเริ่มต้นใน Google Account สำหรับผู้ใช้ทั่วไป เพื่อให้เปลี่ยนไปสู่การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านได้ง่ายขึ้น
- ตั้งแต่การเข้าสู่ระบบครั้งถัดไป จะมี ข้อความแจ้งให้สร้างและใช้พาสคีย์ แสดงขึ้น และในหน้าการตั้งค่าบัญชีจะเห็นว่าเปิดตัวเลือก “Skip password when possible” ไว้อยู่
- พาสคีย์ใช้ ลายนิ้วมือ การสแกนใบหน้า และ PIN ที่ใช้ปลดล็อกอุปกรณ์ในการเข้าสู่ระบบ โดย Google มองว่าเร็วกว่ารหัสผ่าน 40% และปลอดภัยกว่าด้วยวิธีการเข้ารหัส
- การเข้าสู่ระบบด้วยรหัสผ่านจะยังคงมีต่อไปอีกระยะหนึ่ง และผู้ใช้ที่ไม่ต้องการสามารถปิด “Skip password when possible” เพื่อ ปฏิเสธการใช้พาสคีย์ ได้
- ตอนนี้มีการใช้พาสคีย์แล้วใน YouTube, Search และ Maps ขณะที่ Uber และ eBay ก็รองรับแล้วเช่นกัน และจะมี ความเข้ากันได้กับ WhatsApp ตามมาในเร็ว ๆ นี้
การเปลี่ยนค่าเริ่มต้นของการเข้าสู่ระบบใน Google Account สำหรับผู้ใช้ทั่วไป
- Google ระบุว่าหลังเปิดรองรับ พาสคีย์ เมื่อต้นปีที่ผ่านมา ก็ได้รับเสียงตอบรับเชิงบวกจากผู้ใช้
- ตอนนี้ได้เปิดให้ Google Account โดยรวมสำหรับผู้ใช้ทั่วไปใช้พาสคีย์เป็นตัวเลือกการเข้าสู่ระบบเริ่มต้นแล้ว
- ในการเข้าสู่ระบบบัญชีครั้งถัดไป จะมีข้อความแจ้งให้สร้างและใช้พาสคีย์แสดงขึ้น
- ในการตั้งค่า Google Account จะเห็นว่าเปิดตัวเลือก “Skip password when possible” ไว้อยู่
วิธีใช้พาสคีย์และคุณสมบัติด้านความปลอดภัย
- พาสคีย์ ใช้ ลายนิ้วมือ การสแกนใบหน้า และ PIN แบบเดียวกับที่ใช้ปลดล็อกอุปกรณ์เมื่อเข้าสู่ระบบบัญชี
- ตามข้อมูลของ Google การเข้าสู่ระบบด้วยพาสคีย์ เร็วกว่า 40% เมื่อเทียบกับรหัสผ่าน
- มีความปลอดภัยมากกว่าเพราะอาศัยวิธีการเข้ารหัส และยัง ต้านทานฟิชชิง ได้
- ผู้ใช้จึงลดภาระในการต้องจำตัวเลขและอักขระพิเศษของรหัสผ่าน
รหัสผ่านและสิทธิ์ในการเลือกของผู้ใช้ยังคงอยู่
- Google มองว่าการที่เทคโนโลยีใหม่จะตั้งหลักได้นั้นต้องใช้เวลา และรหัสผ่านอาจยังคงอยู่ต่อไปอีกระยะหนึ่ง
- ผู้ใช้ยังคงสามารถ เข้าสู่ระบบด้วยรหัสผ่าน ได้
- ผู้ใช้ที่ไม่ต้องการพาสคีย์สามารถปิดตัวเลือก “Skip password when possible” ได้
การรองรับพาสคีย์ที่ขยายออกไปนอก Google
- หลังจากเปิดตัวพาสคีย์ ผู้ใช้ก็ใช้พาสคีย์ในแอปของ Google อย่าง YouTube, Search และ Maps กันมาแล้ว
- Google มองแนวโน้มที่ทั้งอุตสาหกรรมหันมานำพาสคีย์ไปใช้เพิ่มขึ้นในทางบวก
- Uber และ eBay มอบทางเลือกในการเข้าสู่ระบบแพลตฟอร์มโดยไม่ใช้รหัสผ่าน
- จะมี ความเข้ากันได้กับ WhatsApp เพิ่มเข้ามาในเร็ว ๆ นี้
ก้าวถัดไปสู่การเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน
- Google จะยังคงบอกผู้ใช้ต่อไปว่าสามารถใช้ พาสคีย์ กับบัญชีออนไลน์อื่น ๆ ได้ที่ไหนบ้าง
- พร้อมผลักดันให้อุตสาหกรรมเปลี่ยนผ่านไปสู่พาสคีย์เพื่อลดการใช้ รหัสผ่าน และทำให้กลายเป็นสิ่งที่พบได้น้อยลงในท้ายที่สุด
- ดูข้อมูลเกี่ยวกับความปลอดภัยของบัญชี Google ได้ที่ myaccount.google.com/safer
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
อย่างที่หลายคนพูดกัน ถ้าคุณทำอุปกรณ์หาย การเริ่มต้น การยืนยันตัวตนด้วยคริปโตกราฟี ใหม่อีกครั้งนั้นยากมาก
เดือนที่แล้วภรรยาผมทำกระจก iPhone แตกและส่งซ่อมผ่าน AppleCare แต่ Apple ไม่ได้บอกว่า “การซ่อมกระจก” แท้จริงแล้วรวมถึงการเปลี่ยนชิ้นส่วนภายในและการรีเซ็ตเครื่องด้วย
ข้อมูลสำรองของ Apple iPhone ไม่ได้มีค่าลับเชิงคริปโตกราฟีอย่าง eSIM อยู่ด้วย
สุดท้ายพอจะเปิดใช้งาน eSIM ก็ต้องใช้อีเมล, อีเมลต้องใช้ MS Authenticator และ MS Authenticator ก็เปิดใช้งานไม่ได้ถ้าไม่มี SMS กลายเป็นลูป
ต้องหอบบัตรประจำตัวที่มีรูปถ่ายหลายใบไปถึงร้านของผู้ให้บริการเครือข่ายเพื่อออก eSIM ใหม่ และแม้รหัสผ่านจะถูกต้อง บัญชีธนาคารก็ถูกล็อกเพราะการล็อกฮาร์ดแวร์บางอย่างของโทรศัพท์
ใช้เวลาหลายวันกว่าจะแก้ได้ และต้องไปหลายหน่วยงานด้วยตัวเอง ถ้าเป็นตอนเดินทางต่างประเทศคงติดแหง็กโดยสมบูรณ์
ยุคสมัยเปลี่ยนไปแล้ว และตอนนี้ตัวตนดิจิทัลทั้งหมดกลายเป็น สมาร์ตการ์ด ที่อยู่ในโทรศัพท์ ไม่ว่าสมาร์ตการ์ดนั้นจะเป็น SIM หรือชิป TPM บนบอร์ด ถ้าทำหาย สำหรับคนอื่น ๆ คุณก็แทบไม่ต่างจากคนตาย
Passkey ทำให้ปัญหานี้แย่ลงมาก ถ้ายังเป็น SIM จริง อย่างน้อยก็ย้ายจากโทรศัพท์เครื่องหนึ่งไปอีกเครื่องได้ แต่ Passkey ไม่สามารถย้ายข้ามผู้ให้บริการได้
ควรวิ่งหนีไปพร้อมกรีดร้อง อย่าเชื่อโฆษณาเกินจริง และควรรอจนกว่าผู้ให้บริการจะมีวิธีโอนย้ายและกู้คืนที่เหมาะสมเสียก่อน
ผู้คนไม่ชอบรหัสผ่าน แต่ในความเป็นจริง สำหรับหลายสถานการณ์และโมเดลภัยคุกคาม รหัสผ่านคือจุดประนีประนอมที่ดีที่สุด หากดึงข้อมูลอย่างน้อย 32 ไบต์จาก
/dev/randomแล้วเข้ารหัสในรูปแบบที่ต้องการ ในจักรวาลนี้ก็ไม่มีใคร brute force ได้ และตัวจัดการรหัสผ่านก็แก้ปัญหาการใช้รหัสผ่านซ้ำให้ด้วยแถมยังมีข้อดีที่ผมควบคุมวิธีจัดเก็บเองได้ และทำแบ็กอัปซ้ำซ้อนได้มากพอจนสบายใจ
ข้อมูลสำรองของ iPhone รวมถึงข้อมูลสำรองของรายการที่เก็บใน iCloud Keychain และถ้ามีอุปกรณ์ Apple เครื่องอื่นหรือคีย์กู้คืน ก็กลับเข้าใช้งานได้อีกครั้ง ขอแค่มีรหัสผ่านอุปกรณ์หรือคีย์กู้คืน ก็สามารถ bootstrap ทุกอย่างกลับมาได้
eSIM เป็นของผู้ให้บริการเครือข่ายจึงเป็นกรณีพิเศษ และของพวกนี้ก็เป็นเรื่องชวนปวดหัวที่ผูกกับหน้าร้านและโทรศัพท์มาแต่ไหนแต่ไร และจะยังเป็นแบบนั้นต่อไป
ผมใช้เกือบ 3 ตัว ได้แก่ Yubikey ที่เวิร์กสเตชัน, Yubikey แบบพกพา และโทรศัพท์ ทั้ง 3 ตัวนี้สามารถเริ่มต้นใหม่ได้ทั้ง Google สำหรับอีเมลและ Apple สำหรับโทรศัพท์ ส่วนที่เหลืออยู่ใน 1Password และเข้าถึงได้ผ่านวิธีเหล่านี้
แม้ในสถานการณ์ฉุกเฉินสุดเลวร้ายที่สุด ผมคิดว่าคงกู้คืนอีเมลได้ไม่ทางใดก็ทางหนึ่ง หากยืนยันตัวตนกับผู้ให้บริการ DNS แล้วเปลี่ยนระเบียน MX ก็กลับมาจัดการงานต่อได้ ถึงอย่างนั้นก็ยังไม่ถึงขั้นมองว่าเป็นสิ่งจำเป็นต่อชีวิตประจำวัน ถ้าเสียการเข้าถึงไปคงลำบากมาก แต่ไม่น่าถึงขั้นเป็นโทษประหาร
SMS และรายชื่อใน Signal ก็มีอยู่ที่อื่นด้วย และเงินในบัญชีธนาคารก็ยังใช้ได้ด้วยการเขียนเช็ค บัญชีที่เกี่ยวกับบริษัทก็เข้าได้ถ้าไปโผล่ที่ออฟฟิศด้วยตัวเอง
แต่ผมคิดว่า Passkey มีแนวโน้มจะซับซ้อนเกินไปสำหรับผู้ใช้คอมพิวเตอร์ทั่วไป น่าเสียดายที่วิธี “เราจะส่งลิงก์ทางอีเมลให้ทุกครั้งที่เข้าสู่ระบบ” ดูเหมือนจะเป็นการยืนยันตัวตนแบบไม่ใช้รหัสผ่านที่เป็นมิตรกับผู้ใช้ที่สุด
นิสัยการใส่ Passkey ไว้ใน 1Password ก็ไม่ได้ทำให้สบายใจนัก เพราะรู้ว่ามันเท่ากับถูกผูกไว้ตลอดไป แต่ผมก็ชอบบริการนี้ และถ้าวันหนึ่งอยากย้าย อย่างน้อยก็ยังมีรายชื่อบัญชีที่ต้องสร้างใหม่
สิ่งที่กลัวที่สุดคือสถานการณ์ที่ลืมรหัสผ่านโทรศัพท์ ครั้งหนึ่งผมตื่นขึ้นมา แล้วสมาธิหลุดในจังหวะที่แย่มาก จนจำรหัส 6 หลักไม่ได้เลย ผมใช้รหัสเดียวกันนั้นปลดล็อกเวิร์กสเตชันด้วย พอหันไปสนใจอย่างอื่นสักพัก จึงนึกออกด้วยความจำของกล้ามเนื้ออย่างหวุดหวิด
เป็นช่วงเวลาที่คิดจริง ๆ ว่า “เมื่อกี้ฉันเพิ่งเป็นสโตรกหรือเปล่า” ตอนนี้ผมเก็บรหัสนั้นไว้ใน 1Password แล้ว ถ้ามีอุปกรณ์ที่ปลดล็อกอยู่สักเครื่อง ก็ช่วยรื้อฟื้นความจำได้ เรื่องนี้เกิดขึ้นนานพอสมควรแล้ว และไม่น่าจะใช่ภาวะสมองเสื่อม แค่เป็นปรากฏการณ์ชั่ววูบแปลก ๆ
ในทางกลับกัน รหัสผ่านที่ใช้ในที่ทำงานซึ่งมีอายุสูงสุด 1 ปี ผมจำได้หมดอย่างสมบูรณ์แบบ แม้มันจะไม่ค่อยมีประโยชน์ถ้านึกเลข 6 หลักนั้นไม่ออกก็ตาม
ดังนั้นอีกไม่นานรหัสผ่านก็น่าจะไปอยู่ใน “Killed by Google” และบัญชีของผมก็คงไปด้วย ผมไม่เหลืออุปกรณ์ที่ล็อกอินค้างไว้เลยสักเครื่อง
ถึงเวลาย้ายกรณีใช้งานไม่กี่อย่างที่เหลืออยู่นานแล้ว สงสัยเหมือนกันว่าถ้าสถานการณ์ที่เลี่ยงไม่ได้มาถึง บริษัทจะรีเซ็ต Passkey บัญชีงาน ของผมได้ไหม
ผมมองว่านี่เป็นทิศทางที่ถูกต้อง แต่ก็เคยเห็น กรณีสยองขวัญ มากเกินไปที่คนถูกล็อกออกจากบัญชี Google หรือ iCloud แล้วไม่มีวิธีกู้คืนได้จริงๆ
คงไม่ใช่แค่ผมที่คิดแบบนี้ แต่สักวันหนึ่ง ผมคงถูก Google ล็อกออกเพราะความผิดพลาดของตัวเอง แล้วชีวิตดิจิทัลของผมก็จบเห่
ถ้ามีบริษัทเอกชนให้บริการล็อกอินแบบ login.gov และเวลาถูกล็อกออกยังสามารถคุยกับมนุษย์จริงๆ ได้เหมือน USPS ผมยินดีจ่ายเงินเลย
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
ไม่ใช่เรื่องว่า if แต่เป็น when สำหรับคนที่ให้ความสำคัญกับข้อมูล การสำรองข้อมูลและแผนกู้คืนจากภัยพิบัติที่รัดกุม เป็นสิ่งจำเป็น บริษัทสักแห่งจะทำอะไรพังโดยที่เราไม่ได้ผิด และหลีกเลี่ยงไม่ได้
น่าเสียดายที่บางแง่มุมของบัญชีที่หายไปไม่มีตัวเลือกกู้คืนจากภัยพิบัติที่ดี แต่การมีหลายบัญชีและหลีกเลี่ยงจุดล้มเหลวเดียวก็ช่วยได้บ้าง
ควรมีวิธีอิสระหลายวิธีที่ใช้ล็อกอินได้ เช่น พิมพ์รหัสสำรองออกมาแล้วเก็บไว้กับเอกสารสำคัญ
แต่สิ่งนี้ก็ยังไม่ได้ป้องกันสถานการณ์ที่ถูกล็อกออกจากบัญชีเพราะ Google เปลี่ยนนโยบาย ดังนั้นในอุดมคติควรลองฝึกอยู่ให้ได้โดยไม่ต้องพึ่งบัญชี Google ด้วย
Lauren Weinstein กำลังเตือนว่า Passkey มีข้อบกพร่อง และโดยเฉพาะกับผู้ใช้ทั่วไป มันจะกลายเป็นเรื่องปวดหัวมหาศาล
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
ถ้าตัดประเด็นความเป็นส่วนตัวและการผูกติดกับผู้ให้บริการออกไปก่อน Passkey ก็ไม่ใช่ทางเลือกที่แย่มากสำหรับคนที่ใช้รหัสผ่านหลักอันเดียวกันซ้ำในทุกเว็บไซต์โดยไม่ใช้การยืนยันตัวตนสองขั้นตอน
แต่พอเริ่มพึ่งมันเพื่อปกป้องอะไรจริงๆ มันจะกลายเป็นฝันร้ายขนาดใหญ่ทันที ยิ่งไปกว่านั้น มันแย่ลงเพราะถูกปฏิบัติเหมือนเป็น สิ่งที่เทียบเท่ารหัสผ่าน+การยืนยันตัวตนสองขั้นตอน
บอกว่า “หาได้ง่าย” แต่ดูเหมือนจะหาไม่เจอจริงๆ
https://mastodon.laurenweinstein.org/@lauren/111211489395997...
ถ้าผู้ใช้น่าจะใช้รหัสผ่านบริการที่อ่อนแออยู่แล้ว ผมก็ไม่เข้าใจว่าทำไม รหัสผ่านอุปกรณ์ที่อ่อนแอ ถึงเป็นเหตุผลที่ควรหลีกเลี่ยง Passkey
ในกรณีนั้น ถ้าการยืนยันตัวตนของอุปกรณ์ถูกเจาะ บัญชีก็ถูกบุกรุกอยู่ดี
โดยเฉพาะ Google ตอนนี้ไม่ได้เป็นโครงสร้างที่ต้องเลือกอย่างใดอย่างหนึ่งระหว่างรหัสผ่านกับ Passkey ถ้าไม่มี Passkey บนอุปกรณ์ ก็ยังกลับไปใช้ โฟลว์ล็อกอินด้วยรหัสผ่าน ได้
ถ้าจะเทียบความเสี่ยงกับประโยชน์ เราต้องรู้ว่าจริงๆ แล้วผู้คนใช้รหัสผ่านซ้ำมากแค่ไหน ใช้การยืนยันตัวตนสองขั้นตอนหรือไม่ พึ่งพาการล็อกหน้าจอโทรศัพท์เป็นทางเข้าถึงทุกบัญชีอย่างเดียวหรือเปล่า ใช้ไบโอเมตริกหรือไม่ จำเป็นต้องกู้คืนบัญชีบ่อยแค่ไหน ฯลฯ
มีแต่ข้อมูลเหล่านี้เท่านั้นที่จะช่วยคลี่คลายข้อถกเถียง และยังทำให้แต่ละคนสรุปต่างกันได้ตามสถานการณ์ของตัวเอง
Google มีข้อมูลเหล่านี้ส่วนใหญ่อยู่แล้ว ถ้าจะสนับสนุนข้ออ้างของตัวเอง ก็ควรเปิดเผยออกมา
เมื่อไม่นานมานี้ 1Password เปิดการรองรับ Passkey แล้ว แต่พอรู้ว่า ไม่มีวิธีส่งออกออกจาก 1Password ก็ “ตกใจ”
ไม่รวมอยู่ทั้งในการส่งออกแบบ 1PUX และใน CSV
つまり หมายความตามตัวอักษรว่าไม่สามารถสำรองข้อมูลได้ ถ้า 1Password ล่ม บริษัทปิดตัว หรือเกิดเรื่องทำนองนั้น Passkey ก็จะหายไปเฉย ๆ ไม่มีวิธีกู้คืนเลย
ดูโพสต์ 1Password Passkey AMA ล่าสุดเกี่ยวกับหัวข้อนี้:
https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
ถ้าพูดถึงกรณีที่ 1Password ใช้งานไม่ได้ รหัสผ่านและ Passkey จะถูกเก็บไว้ในเครื่องด้วยเมื่อซิงก์ไปยังอุปกรณ์ ต่อให้ด้วยเหตุผลใดก็ตามคุณเข้าถึง 1Password ไม่ได้ คุณก็ยังเข้าถึงรายการทั้งหมดใน vault ได้อยู่ เพียงแค่จะซิงก์ข้ามอุปกรณ์ไม่ได้
แทนที่จะมองว่า Passkey ถูกย้ายไปมาระหว่างอุปกรณ์ ควรมองว่าเป็นโครงสร้างที่สร้าง Passkey แยกกันในแต่ละอุปกรณ์เหมือน SSH key แล้วลงทะเบียนทั้งหมดกับบริการที่เกี่ยวข้อง
แน่นอนว่าผู้ใช้อาจถูกหลอกให้เพิ่ม Passkey ของผู้โจมตีเข้าไปในบัญชีของตัวเองได้
บนมือถือปัญหานี้ถูกแก้ไปหลายปีก่อนแล้ว แต่อีเมลยังเละเทะอยู่ บทเรียนคืออย่าไปผูกติดกับใครเด็ดขาด
มันดักการเรียก
window.credentialsและถ้าอยากใช้ 1Password ร่วมกับวิธียืนยันตัวตนอื่นอย่าง Yubikey ก็ต้องเข้าไปที่การตั้งค่าแล้วปิดฟีเจอร์ Passkey ทั้งหมดคล้ายกับวิธีที่มันดักพรอมป์ Google One Tap แล้วปิดใช้งานแบบทั่วระบบเพื่อแสดงพรอมป์ OAuth ของตัวเอง ผมใช้แค่ส่วนขยาย Chrome เลยไม่รู้ว่าประสบการณ์ในแอป native ต่างกันมากไหม
ในมุมผู้ใช้ก็ยังไม่เข้าใจอยู่ดี
ถ้าบ้านไฟไหม้หรืออะไรทำนองนั้น แล้วอุปกรณ์ทั้งหมดที่ล็อกอิน Google ไว้พังหมด จะเกิดอะไรขึ้น? จะกลับเข้าบัญชีได้อย่างไร?
ผมให้โทรศัพท์เก่าไปเครื่องหนึ่ง ย้าย SIM ได้เรียบร้อย แต่ล็อกอินบัญชี Google ไม่ได้เลย เพราะ Google เอาแต่บอกอย่างดื้อดึงว่า “ให้ใช้โทรศัพท์” แล็ปท็อปก็ถูกล็อกเอาต์จากอีเมลอยู่
โชคดีที่จากเหตุการณ์เก่าผมมี โทเคนสำรอง อยู่ เลยแก้ได้ ไม่รู้ว่าคนอื่นจะทำอย่างไร
แบ่งคีย์ออกเป็น M ชิ้น และต้องมี N ชิ้นจากทั้งหมดจึงจะประกอบกลับได้ เช่น 3/8 หมายถึงมีแค่ 3 ชิ้นจาก 8 ชิ้นก็สามารถกู้คีย์ได้ ฝากแต่ละชิ้นไว้กับคนที่ไว้ใจ และตอนกู้คืนก็ขอชิ้นส่วนจากอย่างน้อย 3 คนในนั้นเพื่อนำคีย์กลับมา
ตอนที่ผมทำเดโม YC ชื่อ multipasskey ผมให้เลือกผู้ติดต่อที่ไว้ใจ แล้วส่งชิ้นส่วนคีย์ไปให้พวกเขาในเบื้องหลัง ถ้าต้องกู้คืน ก็ส่งคำขอไปหาพวกเขา และเมื่อได้รับชิ้นส่วนเพียงพอก็ประกอบคีย์ของอุปกรณ์กลับมาได้ เมื่อมีคีย์ของอุปกรณ์แล้ว ก็ดาวน์โหลดแบ็กอัปคีย์ที่เข้ารหัสจากเซิร์ฟเวอร์ระยะไกลและกู้คืนได้เหมือนเครื่องใหม่
ในปี 2017/2018 ผมเรียกโปรเจกต์นี้ว่า multipasskey และสมัคร YC ด้วยเดโมที่ใช้งานได้ แต่ถูกปฏิเสธ คิดว่าคงเป็นเพราะผมอธิบายไม่ดีพอ
ในมุมคนสายเทคนิค ผมเดาว่าหมายถึงต้องฝากอุปกรณ์สำรองไว้กับเพื่อน หรือบันทึก Passkey ไว้ในบัญชี Apple/Microsoft/ตัวจัดการรหัสผ่านด้วย
แต่ Google ควรอธิบายให้ละเอียดกว่านี้
และห้ามทำเบอร์โทรศัพท์หายเด็ดขาด ต่อให้มีชื่อผู้ใช้ รหัสผ่าน และอีเมลกู้คืน ถ้ารับรหัส SMS ไม่ได้ ก็กลับเข้าบัญชี Google ไม่ได้
ในช่วงเปลี่ยนผ่านนี้ แนวทางที่แนะนำคือให้เสนอ Passkey เป็นทางเลือกควบคู่กับวิธีที่มีอยู่เดิม Google และผู้ให้บริการจำนวนมากก็ทำแบบนั้น
อย่างไรก็ตาม คำถามที่ยกมานี้เป็นปัญหาเรื่อง การกู้คืนบัญชี ที่ทุกคนควรถามแม้ไม่มี Passkey ก็ตาม ต้องมีแผนว่าจะล็อกอินอย่างไรถ้าลืมรหัสผ่าน เข้าถึงตัวจัดการรหัสผ่านไม่ได้ หรือทำอุปกรณ์ยืนยันตัวตนชิ้นที่สองหาย การนำ Passkey มาใช้ไม่ได้ทำให้ไม่ต้องคิดเรื่องการกู้คืนบัญชีโดยสิ้นเชิง
ถึงอย่างนั้นก็มีบางกรณีเฉพาะที่ Passkey ช่วยให้การกู้คืนบัญชีดีขึ้นได้ ถ้าสร้าง Passkey สำหรับบัญชี Google บนอุปกรณ์ Apple ที่ใช้ iCloud Keychain ตัว Passkey นั้นจะซิงก์กับ iCloud ดังนั้นแม้บ้านไฟไหม้และเสียอุปกรณ์ทั้งหมดไป ตราบใดที่ยังเข้าถึงบัญชี iCloud ได้ ก็สามารถกู้ Passkey ของบัญชี Google และเว็บไซต์อื่น ๆ กลับมาได้
แน่นอนว่าคำถามว่า “ถ้าเสียสิทธิ์เข้าถึงบัญชี Apple iCloud ล่ะ?” เป็นคำถามที่สมเหตุสมผล ดังนั้นปัญหาการกู้คืนบัญชีไม่ได้หายไปโดยสิ้นเชิง แต่ในหลายกรณี Passkey สามารถลดปัญหานี้ลงได้มาก
ตรงนี้มี Simpson's paradox อยู่
โดยเฉลี่ยแล้วอาจเพิ่มความปลอดภัยได้ เพราะผู้ใช้ส่วนใหญ่ใช้รหัสผ่านได้แย่มาก
แต่สำหรับผู้ใช้ที่เชี่ยวชาญซึ่งใช้รหัสผ่านอย่างปลอดภัย ถ้าถูกบังคับใช้ ความปลอดภัยจะลดลงอย่างฮวบฮาบ
การบังคับยืนยันตัวตนสองขั้นตอนด้วยเบอร์โทรศัพท์ก็มีผลแบบเดียวกัน ในกรณีของ Big G การบังคับยืนยันตัวตนสองขั้นตอนด้วยเบอร์โทรศัพท์คือนโยบายลดความนิรนามที่ห่อหุ้มด้วยคำว่าความปลอดภัย ส่วนกรณีนี้ดูเหมือนเป็นความพยายามเก็บข้อมูลชีวมิติ
สำหรับคนส่วนใหญ่ เบอร์โทรศัพท์คืออัตลักษณ์ระยะยาวที่ดีที่สุดที่มี และ Google ต้องรองรับการกู้คืนบัญชีของผู้ใช้หลายพันล้านคนในสเกลที่เหลือเชื่อ
หลายคนทำรหัสผ่านและอุปกรณ์หาย แต่มีคนน้อยมากที่ทำเบอร์โทรศัพท์หาย
ดังนั้นการที่ Google ใช้เบอร์โทรศัพท์เพื่อมอบและมอบหมายอัตลักษณ์บนแพลตฟอร์มของตนจึงสมเหตุสมผล แย่ต่อความเป็นส่วนตัว แต่ดีมากต่อความปลอดภัย เพราะทำให้ควบคุมข้อมูลได้ด้วย “ข้อมูลรับรอง” สำหรับยืนยันตัวตนจากบุคคลที่สามที่ผู้ใช้ไม่ต้องจัดการเอง
อีกอย่าง ผมไม่แน่ใจส่วนนี้ ถ้ามีคนรู้จริงช่วยแก้ให้ได้ ผมเข้าใจว่าแม้จะสมมติว่าเป็นผู้ใช้เชี่ยวชาญที่มีภูมิคุ้มกันต่อรหัสผ่านอ่อน การใช้ซ้ำ และฟิชชิง ก็ยังมีข้อดีด้านความปลอดภัยอย่างหนึ่ง คือแม้ Google Passkey จะรั่ว สิ่งที่รั่วก็มีแค่ public key และ public key ใช้ล็อกอินไม่ได้ การรั่วไหลจึงแทบไม่มีประโยชน์
ถ้า Google เก็บข้อมูลชีวมิติอยู่จริง ก็คงทำอยู่แล้ว และไม่เกี่ยวกับฟีเจอร์นี้
รายละเอียดพื้นฐานมาก ๆ ของโมเดลความปลอดภัยนี้เป็นความจริงมานานแล้ว ตั้งแต่ยุคที่ iPhone เริ่มใช้ Secure Enclave ผมไม่รู้ว่าทำไมคนในเว็บนี้ถึงพูดอย่างมั่นใจขนาดนั้นเกี่ยวกับสิ่งที่ตัวเองไม่เข้าใจเลย และพูดตรง ๆ คือผมตกใจ
Passkey เทียบในเชิงหลักการแล้วเหมือนกับการใช้ SSH key แทนรหัสผ่าน SSH เมื่อล็อกอินเข้าเซิร์ฟเวอร์ เพียงแต่นำมาใช้กับเว็บไซต์ นอกจากนี้ยังมีข้อเท็จจริงง่าย ๆ ที่เป็นวัตถุวิสัยและไม่สามารถแทนที่ได้ด้วยความคิดว่า “ใช้รหัสผ่านอย่างปลอดภัย” คือ Passkey นั้นทนต่อฟิชชิงอย่างแท้จริง
แปลกใจที่เขาผลักดันสิ่งนี้เร็วขนาดนี้ แม้จนถึงสัปดาห์ที่แล้ว การ implement ยังมีจุดหยาบ ๆ เหลืออยู่พอสมควร จนผมปิดไว้ใน Workspace tenant ของผม
สองเรื่องที่น่าหงุดหงิดที่สุดคือ Advanced Protection ยังไม่รองรับ Passkey จึงต้องใช้ U2F ต่อไปสักพัก และถ้ามี U2F key ตั้งค่าไว้ในบัญชี Google จะบอกให้ใช้มันเป็น Passkey ก่อน จากนั้นก็บอกว่ามันไม่ใช่ Passkey ให้ล็อกอินด้วยรหัสผ่าน
ผลคือคนที่ใช้การยืนยันตัวตนหลายปัจจัยที่ต้านฟิชชิงจะเสียความสามารถในการให้เครื่อง “จดจำ” ขั้นตอน MFA เพราะ Google จะขอปัจจัย U2F ก่อนรหัสผ่านเสมอ
แยกจากเรื่องนี้ ผมได้ทดสอบ FIDO2 flow ที่ใช้ security key และ Passkey ข้ามประเภทอุปกรณ์และแพลตฟอร์มหลายแบบ ขณะเตรียม deploy การล็อกอินไร้รหัสผ่านบน Okta ให้ลูกค้ารายเล็ก ๆ บางราย โดยรวมแล้วชอบ flow การยืนยันตัวตนเอง แต่มีหลุมพรางที่ต้องระวังเยอะ
ใช้เวลาค่อนข้างมากกับการทำ happy path ให้ชัดเจน ทำเอกสาร onboarding และบันทึกสถานการณ์ business continuity กรณีใช้งานส่วนบุคคลบางแง่อาจยากกว่า เพราะต้องคิดถึงแต่ละบริการ ไม่ใช่ IdP เดียว
ถ้าต้องรองรับหลายสภาพแวดล้อม ทางง่ายในตอนนี้คือลงทุนกับ 1Password หรือ password manager อื่นที่รองรับ Passkey ให้ประสบการณ์ผู้ใช้ที่สม่ำเสมอที่สุดและใช้ได้บนแพลตฟอร์มส่วนใหญ่ แต่บน Android 14 ยังมีปัญหาอยู่
สำหรับบัญชีสิทธิ์สูงจะยังใช้ hardware key ต่อไป ดังนั้นผู้ดูแลระบบจะได้รับ FIDO2 key หนึ่งคู่ ส่วนคนอื่น ๆ จะได้ Yubikey หนึ่งอัน เพื่อเป็นตัวสำรองเวลาสูญเสียการเข้าถึงอุปกรณ์หรือต้องล็อกอินจากอุปกรณ์ที่ไม่น่าเชื่อถือ Android ก็เป็นปัญหาตรงนี้ด้วย แม้ในเวอร์ชัน 14 ก็ดูเหมือนยังไม่รองรับ flow FIDO2 แบบไร้รหัสผ่าน
เป็นทิศทางที่น่าสนใจ แต่ควรชี้ว่า ข้อมูลชีวมิติ อย่างลายนิ้วมือหรือการจดจำใบหน้า จริง ๆ แล้วไม่ใช่ “ความลับ”
มันอาจถูกสังเกตหรือใช้ได้โดยที่ผู้ใช้ไม่รับรู้หรือไม่ยินยอม และในหลายแง่มุมมันทำงานเหมือนชื่อผู้ใช้มากกว่ารหัสผ่าน
ลายนิ้วมือเพียงแค่ปลดล็อกคู่กุญแจเข้ารหัสที่จะใช้ในการยืนยันตัวตน
ผมใช้ Yubico Security Key เป็น Passkey และมันถูกป้องกันด้วย PIN 6 หลัก PIN นั้นอยู่เฉพาะในอุปกรณ์ local และมีไว้เพื่อกันไม่ให้คนที่มีตัวอุปกรณ์อยู่จริงล็อกอินได้ทันที ถ้าใส่ PIN ผิดติดต่อกัน 10 ครั้ง key จะถูกลบทิ้ง
เมื่อใส่ PIN แล้ว key จะถูกปลดล็อก และสิ่งที่ทำให้เข้า Google account ได้ก็คือ key นั้นเอง
บัญชีส่วนใหญ่ที่มีรหัสผ่านมีมาตรการสำรองว่า “ถ้าพิสูจน์ตัวตนกับบริษัทได้ เขาจะรีเซ็ตให้” เช่น ถ้าจำรหัสผ่านธนาคารไม่ได้ ธนาคารก็มีช่องทางรีเซ็ตให้
สิ่งที่ Google ควบคุมไม่มีวิธีติดต่อเพื่อแก้ปัญหาเลย นี่เป็นปัญหาอยู่แล้วในทุกผลิตภัณฑ์ของ Google
การล็อกการเข้าถึงทั้งหมดไว้หลัง ประตูที่ Google ควบคุม คือการเตรียมฝันร้ายในอนาคตให้ตัวเอง
เสียดายที่ยังเก็บ Passkey ใน Bitwarden ไม่ได้ แต่จากข้อความด้านบนของหน้านี้ ดูเหมือนว่าจะมาในเดือนตุลาคม
https://bitwarden.com/blog/bitwarden-passkey-management/