- เทคโนโลยีที่ยังไม่พร้อมสำหรับการใช้งานในวงกว้าง: เทคโนโลยี Passkey ดูสง่างาม แต่ในแง่การใช้งานจริงยังมีความปลอดภัยไม่เพียงพอ
- กำลังได้รับความสนใจในฐานะทางเลือกแทนรหัสผ่าน และถูกมองว่าเป็นแนวป้องกันที่แข็งแกร่งต่อฟิชชิงและการแฮ็กฐานข้อมูล
- สเปก FIDO2 และ WebAuthn นั้นออกแบบได้อย่างสวยงาม แต่ประสบการณ์ผู้ใช้ยังคงซับซ้อน
- แม้จะมีเว็บไซต์หลายร้อยแห่ง รวมถึงระบบปฏิบัติการและเบราว์เซอร์หลักรองรับ Passkey แต่รูปแบบการติดตั้งใช้งานของแต่ละแพลตฟอร์มและเวิร์กโฟลว์ที่ไม่สอดคล้องกันกลับลดทอนการใช้งานจริง
- ตัวอย่างเช่น แม้จะเป็นเว็บไซต์เดียวกัน ประสบการณ์การเข้าสู่ระบบบน iOS และ Android ก็แตกต่างกัน และบางเบราว์เซอร์ก็ยังไม่รองรับเลย
- แต่ละแพลตฟอร์มพยายามบังคับให้ใช้ตัวเลือกซิงก์ Passkey ของตนเอง ทำให้ผู้ใช้เลือกตัวเลือกอื่นได้ยาก
- การติดตั้งใช้งาน Passkey ควรทำให้ผู้ใช้ใช้งานได้อย่างง่ายดาย แต่ในตอนนี้ยังไม่เป็นเช่นนั้น
- การซิงก์ Passkey ผ่านตัวจัดการความปลอดภัยอย่าง 1Password อาจช่วยแก้ปัญหาได้ แต่ก็ทำให้เจตนารมณ์หลักของ Passkey ซึ่งคือการยืนยันตัวตนแบบไม่ใช้รหัสผ่านอ่อนลง
- อีกทั้งผู้ใช้ส่วนใหญ่ก็ยังไม่ได้ใช้ตัวจัดการรหัสผ่าน
- ในบรรดาเว็บไซต์ที่รองรับ Passkey ยังไม่มีที่ใดลบรหัสผ่านออกไปได้อย่างสมบูรณ์
- การยืนยันตัวตนหลายปัจจัยแบบอิง SMS ยังคงมีความเปราะบาง และบั่นทอนความปลอดภัยของ Passkey
- ในสภาพแวดล้อมองค์กร Passkey อาจเป็นทางเลือกแทนรหัสผ่านและแอปยืนยันตัวตนได้
ข้อเสนอ
- ใช้ตัวจัดการความปลอดภัย: ซิงก์ Passkey ผ่านเครื่องมืออย่าง 1Password และเปิดใช้ MFA เพื่อเสริมความปลอดภัย
- ให้ความสำคัญกับ MFA ก่อน: หากทำได้ ให้ใช้ security key หรือแอปยืนยันตัวตนเพื่อเปิดใช้การยืนยันตัวตนหลายปัจจัย
- พิจารณาการนำ Passkey มาใช้: Passkey มีอนาคตที่น่าสนใจในระยะยาว แต่ในตอนนี้รหัสผ่านและตัวจัดการความปลอดภัยก็ยังจำเป็นอยู่
บทสรุป
- Passkey มีแนวโน้มสูงที่จะช่วยแก้ปัญหาด้านความปลอดภัยของรหัสผ่านได้ แต่ ณ เวลานี้ยังไม่ใช่ทางเลือกที่สมบูรณ์แบบ เพราะยังมีข้อจำกัดทางเทคนิคและปัญหาด้านการใช้งาน
- มีโอกาสสูงที่จะพัฒนาให้ดีขึ้นในอนาคต แต่ในตอนนี้ การใช้ร่วมกับวิธีการยืนยันตัวตนแบบเดิมยังเป็นทางเลือกที่สมเหตุสมผลที่สุด.
2 ความคิดเห็น
ฉันเองก็เก็บ passkey ไว้ใน Bitwarden แล้วใช้งานอยู่เหมือนกัน
พอดูจากที่เขาเปิดให้ลงทะเบียนชื่อได้ทีละอัน ก็ดูเหมือนว่าจะไม่ใช่เทคโนโลยีที่ออกแบบมาให้สร้าง passkey แค่อันเดียวแล้วซิงก์ใช้ร่วมกันเสียทีเดียว ดูเหมือนเจตนาจะให้สร้างแยกเครื่องละอันมากกว่า แต่พูดตามตรงก็น่ารำคาญนะ
ความคิดเห็นจาก Hacker News
ในจักรวาลคู่ขนานแห่งหนึ่ง มีกฎหมายกำหนดให้ผู้ผลิตอุปกรณ์คอมพิวเตอร์ทุกรายต้องมีที่เก็บข้อมูลสำหรับให้ผู้ใช้เสียบข้อมูลรับรองความปลอดภัยของตนได้ แนวทาง passkey ในปัจจุบันถูกออกแบบบนโมเดลในจินตนาการที่ผู้ใช้จมอยู่กับระบบนิเวศเดียวอย่างสมบูรณ์
เดิมที passkey ควรเป็นการยืนยันตัวตนด้วย hardware key ในแบบที่ Yubico ต้องการ แต่ Apple, Google และ Microsoft กลับชอบการยืนยันตัวตนแบบเหมือนมีเวทมนตร์ผ่าน OS มากกว่า
ผู้จำหน่าย OS ต้องการให้ผู้ใช้ไม่ไปใช้ซอฟต์แวร์หรือฮาร์ดแวร์นอก OS และชักจูงให้ใช้ passkey บนคลาวด์
สภาพอนาคตที่อุดมคติคือควรเลือกผู้ให้บริการของข้อมูลรับรองที่ลงทะเบียนใหม่ได้จากการตั้งค่าเบราว์เซอร์
TOTP ก็ประสบปัญหาคล้ายกัน และที่เก็บ passkey หลายแห่งไม่อนุญาตให้ส่งออก โดย Bitwarden เป็นข้อยกเว้นที่สามารถส่งออก passkey ได้
การเปลี่ยนผ่านจาก password ไปสู่ passkey เป็นความเปลี่ยนแปลงครั้งใหญ่ของโมเดลความปลอดภัยอินเทอร์เน็ตยุคใหม่ จึงเป็นเรื่องธรรมดาที่ผู้คนจะระมัดระวังและมีความเห็นแตกต่างกัน
ในฐานะผู้ใช้ส่วนน้อยที่ชอบ passkey ฉันสร้าง passkey ไว้ทั้งใน iCloud Keychain และ 1Password และคิดว่าควรมีความสามารถส่งออก/นำเข้าที่ดีกว่านี้
passkey เป็นกล่องดำที่มองไม่เห็น และผู้ใช้ทั่วไปไม่สามารถสำรองข้อมูลได้ การนำไปใช้ยังไม่สมบูรณ์และมีพื้นผิวการโจมตีมากกว่า
Fido ยังขาดการรองรับจากเว็บไซต์/เฟรมเวิร์ก/ไลบรารี และคิดว่า passkey เป็นผลิตภัณฑ์ที่ล้มเหลว ไม่สามารถเชื่อถือ passkey ได้เพราะปัญหาด้านการใช้งาน
ในฐานะผู้ใช้สายเทคนิค ฉันเลิกใช้ Google เพราะเซสชันการยืนยันตัวตนด้วย passkey สั้นเกินไป และมีความไม่สะดวกที่ต้องยืนยันตัวตนซ้ำบ่อยครั้ง