Passkey ยังมีปัญหาอยู่

 (fy.blackhats.net.au)
7 คะแนน โดย GN⁺ 2025-12-19 | 4 ความคิดเห็น | แชร์ทาง WhatsApp
  • ณ ปี 2025 Passkey ยังคงมี ปัญหาด้านประสบการณ์ผู้ใช้และการผูกติดกับผู้ให้บริการ ท่ามกลางการถกเถียงเรื่องความปลอดภัยและความสะดวก
  • FIDO Credential Exchange ที่เพิ่งถูกนำมาใช้ใหม่ช่วยให้ย้ายข้อมูลระหว่างผู้ให้บริการได้ แต่ปัญหา ความฝืดข้ามแพลตฟอร์มและความกระจัดกระจาย ก็ยังคงอยู่
  • ความเสี่ยงเรื่อง ไม่สามารถสำรองข้อมูลได้และอาจถูกล็อกออกจากระบบ โดยผู้ดูแลแพลตฟอร์มอย่าง Apple, Google, Microsoft ยังคงมีอยู่ และการออกแบบ UI ที่จำกัดทางเลือกของผู้ใช้ก็ถูกวิจารณ์
  • ความเข้าใจยากของแนวคิด Passkey และ การสื่อสารของบริการที่ชวนให้เข้าใจผิด ทำให้ความเชื่อมั่นของผู้ใช้ทั่วไปลดลง
  • เพื่อปกป้องบัญชีสำคัญ ควรใช้ Credential Manager ที่ควบคุมได้ด้วยตนเอง และ ฮาร์ดแวร์คีย์อย่าง Yubikey

สรุปย่อ TL;DR

  • Passkey ยังมีข้อบกพร่องอยู่ และผู้ใช้ควรทำความเข้าใจแล้ว นำไปใช้ให้เหมาะกับเงื่อนไขของตนเอง
    • การใช้เฉพาะ Credential Manager ของผู้ให้บริการแพลตฟอร์ม (Apple, Google, Microsoft) มี ความเสี่ยงเรื่องสำรองข้อมูลไม่ได้และอาจถูกล็อกออก
    • แนะนำให้ใช้ Credential Manager ที่สำรองข้อมูลได้ เช่น Bitwarden, Vaultwarden
    • ควรซิงก์กับ Credential Manager ภายนอกเป็นประจำผ่าน FIDO Credential Exchange
    • สำหรับบัญชีสำคัญอย่างอีเมล ควรใช้ Yubikey เป็นที่เก็บ Passkey และคง รหัสผ่านที่รัดกุม + TOTP ไว้เป็นทางเลือกเสริม
    • หากไม่สามารถเข้าถึง Credential Manager ได้ ควร ตรวจสอบเส้นทางกู้คืนล่วงหน้า

การเปลี่ยนแปลงในช่วง 1 ปีที่ผ่านมา

  • การเปลี่ยนแปลงสำคัญคือการนำสเปก FIDO Credential Exchange มาใช้
    • ทำให้สามารถ ย้ายข้อมูลรับรอง ระหว่างผู้ให้บริการ Passkey ได้
  • อย่างไรก็ตาม ความฝืดระหว่างแพลตฟอร์มและการแยกขาดของระบบนิเวศ ยังคงมีอยู่
    • Passkey ระหว่างอุปกรณ์ต่างชนิดกันอาจ กระจัดกระจาย และผู้ใช้อาจไม่รู้ตัว
    • Passkey บนอุปกรณ์ Apple ไม่สามารถซิงก์ไปยังอุปกรณ์ที่ไม่ใช่ Apple ได้ ขณะที่ Google และ Microsoft ทำได้บางส่วน
    • ผู้ใช้ Apple อาจรู้สึกถึง การผูกติดที่รุนแรงกว่า

แนวคิด Passkey ที่เข้าใจยาก

  • รหัสผ่านคือ “สิ่งที่ฉันรู้” และ SMS 2FA คือ “สิ่งที่ฉันรับได้” ซึ่ง เข้าใจได้ตรงไปตรงมา
  • แต่ Passkey เป็น องค์ประกอบการยืนยันตัวตนที่มองไม่เห็น ผู้ใช้ไม่สามารถตรวจสอบหรือพิมพ์ออกมาได้โดยตรง
  • จึงต้องอาศัยกระบวนการไว้วางใจ Credential Manager แต่ Passkey กลับทำให้ข้ามขั้นตอนสร้างความไว้วางใจนั้นไป
  • อุปสรรคด้านความเข้าใจนั้นสูงมากถึงขั้นที่แม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยก็ยังสับสนกับหลักการทำงานของ Passkey

ปัญหาเรื่อง ‘thought leadership’ และการให้ความรู้ผู้ใช้

  • บุคคลบางส่วนในอุตสาหกรรมอ้างว่า “การต้องเรียนรู้การจัดการรหัสผ่านคือความล้มเหลวของอุตสาหกรรม” แต่
    ในความเป็นจริง Passkey เองก็จำเป็นต้องเข้าใจ Credential Manager
  • ผู้ใช้ที่ชอบรหัสผ่านหรือ TOTP อาจไม่ได้ หยิ่งผยอง แต่เป็นเพราะปัญหาด้านการใช้งาน
  • ความเชื่อที่ว่า Passkey ใช้งานได้โดยไม่ต้องให้ความรู้ผู้ใช้นั้น ห่างไกลจากความเป็นจริง
  • หากผู้ใช้เข้าใจเพียงพอแล้วแต่ยังเลือกวิธีอื่นแทน Passkey ก็แปลว่า Passkey ล้มเหลวสำหรับผู้ใช้นั้น

การผูกติดกับผู้ให้บริการที่ยังคงอยู่

  • แม้จะมี FIDO Credential Exchange แต่ ความฝืดในขั้นตอนใช้งานจริงและการออกแบบ UI ที่ชี้นำ ก็ยังทำให้ต้นทุนการย้ายสูง
  • หน้าต่างสร้าง Passkey ของ Apple โดยค่าเริ่มต้นจะ ชี้นำให้ใช้ Apple Keychain
    ขณะที่ตัวเลือกอื่น (security key, Android ฯลฯ) ถูกซ่อนไว้ใน ‘Other Options’
  • ทางเลือกของผู้ใช้ ไม่ถูกจดจำ และจะกลับไปเป็นค่าเริ่มต้นทุกครั้ง
  • Google Chrome ก็มีโครงสร้างคล้ายกันและ ชี้นำให้คงอยู่ในระบบนิเวศของแพลตฟอร์ม
  • นี่ไม่ใช่แค่ปัญหาเรื่องตำแหน่งจัดเก็บ แต่ลามไปสู่ การผูกติดตลอดประสบการณ์ผู้ใช้โดยรวม

ข้อมูลในคีย์เชนบนคลาวด์สูญหาย

  • ยังคงมีกรณีที่ Passkey หายไปจาก Apple Keychain หรือ ไม่สามารถสร้าง/ใช้งานได้บนอุปกรณ์ Android
  • บางกรณี แม้รีเซ็ตอุปกรณ์ก็ยังกู้คืนไม่ได้ ทำให้การเข้าถึงบัญชีของผู้ใช้ถูกตัดขาดโดยสิ้นเชิง
  • ปัญหาเหล่านี้ทำให้ ความน่าเชื่อถือของ Passkey ลดลง

การถูกล็อกบัญชีโดยผู้ให้บริการ

  • ในกรณี Apple ล็อกบัญชี Passkey ทั้งหมดอาจหายไปในสภาพที่กู้คืนไม่ได้
  • มีกรณีคล้ายกันใน Google และ Microsoft เช่นกัน
  • การดำเนินการกับบัญชีเพียงบัญชีเดียวอาจทำให้เกิด ความเสี่ยงที่ข้อมูลรับรองทั้งหมดจะถูกทำลาย

การสื่อสารของบริการยืนยันตัวตนที่ก่อให้เกิดความเข้าใจผิด

  • บางบริการอธิบายว่า “Passkey ส่งข้อมูลใบหน้าหรือลายนิ้วมือ”
  • ในความเป็นจริง ข้อมูลชีวมิติไม่ได้ออกจากอุปกรณ์
    แต่ผู้ใช้ทั่วไปอาจเข้าใจผิดว่า ‘ใบหน้า/ลายนิ้วมือถูกส่งผ่านอินเทอร์เน็ต’
  • คำอธิบายลักษณะนี้ก่อให้เกิด ความไม่ไว้วางใจและแรงต้านต่อ Passkey
  • UI ของผู้ให้บริการแพลตฟอร์มก็ ไม่สามารถแก้ความเข้าใจผิดเหล่านี้ได้

บริการยืนยันตัวตนที่จำกัดทางเลือกของผู้ใช้

  • บางเว็บไซต์ยังคง อนุญาตให้ใช้ Passkey ได้เพียงรายการเดียว หรือ
    ใช้ตัวเลือก authenticatorAttachment เพื่อ บังคับใช้ Passkey ที่ผูกกับแพลตฟอร์มเท่านั้น
  • สิ่งนี้ ขัดขวางการใช้ security key หรือ Credential Manager ที่ไม่ใช่ของแพลตฟอร์ม
  • บางเว็บไซต์ถึงขั้นพยายาม ลงทะเบียน Passkey อัตโนมัติโดยไม่ขอความยินยอมล่วงหน้า ระหว่างเข้าสู่ระบบ ซึ่งถือเป็น พฤติกรรมที่ไร้จริยธรรม

บทสรุปและข้อเสนอแนะ

  • ปัญหาส่วนใหญ่เกิดจาก โครงสร้างการจัดการ Passkey ที่มีผู้ให้บริการแพลตฟอร์มเป็นศูนย์กลาง
  • ผู้ใช้ควรลดความเสี่ยงจากการถูกล็อกบัญชีและข้อมูลสูญหาย พร้อมทำ การสำรองข้อมูลอย่างสม่ำเสมอ ผ่าน Credential Manager ที่ควบคุมได้ด้วยตนเอง
  • Yubikey (เฟิร์มแวร์ 5.7 ขึ้นไป) สามารถเก็บ Passkey ได้สูงสุด 150 รายการ
    • สำหรับบางบัญชีอาจ ใช้แทนซอฟต์แวร์ Credential Manager ได้
  • บัญชีอีเมลเป็น หัวใจของเส้นทางการกู้คืน
    จึงควรใช้ ฮาร์ดแวร์คีย์ + รหัสผ่านที่รัดกุม + TOTP ควบคู่กัน และเก็บข้อมูลสำรองแบบออฟไลน์ไว้
  • แพลตฟอร์มอย่าง Apple และ Google ควรจดจำทางเลือกของผู้ใช้ และ
    แสดงตัวเลือก security key และผู้ให้บริการรายอื่นใน UI อย่างเท่าเทียมกัน
  • นักพัฒนา ควรหลีกเลี่ยงการกรองล่วงหน้าด้วย WebAuthn API และ
    ควรแจ้งผู้ใช้อย่างชัดเจนก่อนดำเนินการลงทะเบียน Passkey
  • หลักการสำคัญคือการรักษา อำนาจควบคุมของผู้ใช้และความยินยอม (consent)

บทความที่เกี่ยวข้อง

4 ความคิดเห็น

 
roxie 2025-12-19

ฉันชอบพาสคีย์นะ,,
 
yeobi222 2025-12-19

ถ้าผู้ใช้ไม่เข้าใจโครงสร้างของระบบความปลอดภัย ก็มีแต่จะยิ่งเพิ่มความไม่ไว้วางใจเท่านั้น
จะบอกว่าใช้งานง่ายในตัวมันเองก็คงไม่เชิง
 
koxel 2025-12-19

ผมเคยลบ Google Password Manager ไปครั้งหนึ่งแล้วข้อมูลหายหมด พอออกใหม่มาอีกครั้งหลังจากนั้นก็ย้ายไปใช้ Bitwarden ครับ..
 
GN⁺ 2025-12-19
ความคิดเห็นจาก Hacker News

  • ผู้เขียนยังคงเข้าใจ passkey ผิดอยู่ หลายคนคิดว่าถ้าทำ passkey หายจะกู้คืนไม่ได้ แต่จริงๆ แล้วก็เหมือนทำรหัสผ่านหาย บริการส่วนใหญ่สามารถ รีเซ็ตรหัสผ่าน ผ่านอีเมลหรือ SMS ได้ เพียงแต่บัญชีอย่าง Apple, Google, Facebook มีกระบวนการกู้คืนที่ซับซ้อน จึงควรพิมพ์ รหัสสำรอง เก็บไว้อย่างปลอดภัย นอกจากนี้ยังจำเป็นต้องมีรหัสผ่านสุดท้ายสำหรับล็อกอินเข้า password manager หรือวิธีภายนอกอย่าง YubiKey ด้วย

    • สงสัยว่าก่อนมี passkey บัญชี Apple และ Google ก็มีปัญหา ถูกล็อกออกจากระบบ อยู่แล้วหรือไม่ ตอนนี้ passkey ยังไม่ให้ผู้ใช้สำรองหรือส่งออกได้เอง และเพราะวิศวกรความปลอดภัยมัวแต่สนใจเรื่อง ป้องกันการคัดลอกกุญแจ เลยทำให้ผู้ใช้หลายพันล้านคนเสี่ยงถูกล็อกออก แนวทางแบบนี้อาจสร้างความเสี่ยงด้านกฎระเบียบได้
    • การรีเซ็ต passkey ได้หรือไม่นั้นขึ้นอยู่กับ การติดตั้งใช้งานของผู้ให้บริการ บางที่ก็มีคนบ่นว่ากู้คืนได้แค่ทางโทรศัพท์เท่านั้น
    • บัญชี Apple และ Google เก็บรหัสผ่านและ passkey อื่นๆ ส่วนใหญ่ไว้ด้วย ดังนั้นการเสียบัญชีเหล่านี้ไปจึงเป็นปัญหาที่ร้ายแรงกว่ามาก
    • passkey มีอยู่แยกกันในแต่ละอุปกรณ์ และไม่จำเป็นต้องตั้งค่าในทุกอุปกรณ์ บนอุปกรณ์อื่นก็แค่ล็อกอินด้วยรหัสผ่านธรรมดาได้

  • มีสองอย่างที่อยากให้ปรับปรุงใน passkey

    1. ทั้งที่มีอุปกรณ์ที่ลงทะเบียนไว้แค่อันเดียว แต่ UI กลับแสดงตัวเลือกที่ไม่จำเป็น
    2. ถ้าตั้งแต่แรกมันมี ความพกพาและความยืดหยุ่นแบบ SSH key ก็คงดี ตอนนี้ผูกติดกับผู้ขายมากเกินไป
    • บน Mac สามารถกดปุ่ม security key ก่อนเพื่อข้ามขั้นตอนการเลือกได้
    • ไม่ควรซ่อนตัวเลือก แต่ควรแสดงเป็นสีเทาพร้อมข้อความว่า “ไม่มีคีย์ที่ลงทะเบียนไว้” แบบนี้ผู้ใช้จะได้รู้สาเหตุของปัญหา
    • ระบบ passkey ถูกออกแบบมาโดยตั้งเป้าให้ ฟิชชิงไม่ได้ จึงไม่ยอมให้ผู้ใช้ส่งออกข้อมูลรับรองเอง สุดท้ายเลยลงเอยเป็นโครงสร้างแบบ vendor lock-in เช่น ถ้าจะใช้ passkey ใน Safari ก็จำเป็นต้องใช้ iCloud Keychain ทำให้ใช้งานแบบ local-only ไม่ได้
    • สำหรับผู้ใช้ที่ไม่คุ้นเคยกับเทคโนโลยี passkey อาจเป็นตัวเลือกที่ดี เพียงแต่ควรช่วยให้เขาจด รหัสกู้คืน ลงกระดาษและเก็บไว้อย่างปลอดภัย

  • พอดูประเด็นที่เกี่ยวกับ KeePass แล้ว เหมือนอุตสาหกรรมกำลังกดดันมากขึ้นเรื่อยๆ เพื่อไม่ให้ผู้ใช้ ส่งออก private key ของตัวเอง เรื่องนี้น่ากังวล
    GitHub issue ที่เกี่ยวข้อง

    • ฉันเป็นคนเขียนคอมเมนต์ใน issue นั้นเอง การบังคับให้ใช้ แบ็กอัปแบบเข้ารหัส เป็นค่าเริ่มต้น ไม่ใช่การขัดขวางการส่งออก แต่กลับเป็นการทำให้ผู้ใช้ควบคุมคีย์ของตัวเองได้มากขึ้น

  • ตราบใดที่ผู้ให้บริการยังบังคับวิธีเก็บ passkey (ฮาร์ดแวร์/ซอฟต์แวร์) หรือบังคับใช้ MFA แบบ Touch ID ฉันก็ยังชอบแบบ รหัสผ่าน + TOTP มากกว่า

    • (1) ทำแบบนั้นไม่ได้อยู่แล้ว ผู้ให้บริการไม่สามารถบังคับวิธีเก็บ passkey ได้
    • (2) มัน ไม่ใช่ MFA แต่ใกล้เคียงกับการยืนยันชีวภาพว่ามีตัวตนอยู่จริง (liveness check) มากกว่า เป็นแค่ขั้นตอนยืนยันว่ามนุษย์กำลังล็อกอินอยู่ด้วยตัวเอง
    • ในสถานการณ์ฉุกเฉินก็ยังต้องมีวิธีสำรองแบบกรอกเองด้วยมือ สุดท้ายก็วนกลับไปคล้ายรหัสผ่านอยู่ดี

  • ฉันไม่ใช้ passkey เด็ดขาดเพราะ “ผู้ขายสามารถล็อกผู้ใช้ออกได้” โดยเฉพาะตอนผู้ใช้เสียชีวิตแล้วทายาทไม่สามารถเข้าถึงได้เป็นปัญหาใหญ่

    • มีกรณีตัวอย่างอยู่: กรณีกู้ Apple ID ไม่สำเร็จ, HN discussion
    • password manager บางตัวมี ระบบความเชื่อถือรากฐานแบบออฟไลน์ เช่น Emergency Kit ของ 1Password ที่ให้ทายาทหรือคนในครอบครัวเข้าถึงได้ผ่านรหัสกู้คืนที่พิมพ์เก็บไว้
    • ไม่ว่าจะเป็นรหัสผ่านหรือ passkey ถ้า นโยบายของผู้ขาย เหมือนกัน ข้อจำกัดการเข้าถึงก็เหมือนกัน
    • ถ้าสามารถเปลี่ยนข้อตกลงแบบนี้ให้เป็น ทรัสต์ทางกฎหมาย (trust) ได้ก็คงดี แต่บริษัทต่างๆ คงไม่ชอบ
    • UI แบบ dark pattern ที่พยายามบังคับให้ลงทะเบียน passkey น่าหงุดหงิดมาก ใช้แค่กับบัญชีบริษัทเท่านั้นแต่ก็ยังเด้งมาบังคับให้ลงทะเบียน ทั้งที่ก็ใช้ SSO กับ 2FA อยู่แล้ว ไม่เข้าใจว่าทำไมยังต้องการ passkey อีก

  • UX ของ passkey แย่มาก ไม่รู้เลยว่าเปิดใช้งานอยู่กี่อันแล้ว และบางครั้งแอปยืนยันตัวตนก็ลืม passkey ไปเฉยๆ ทุกอย่างดูสับสนไปหมด

  • ชุด Password + TOTP ยังใช้งานได้จริงที่สุด ย้ายข้ามอุปกรณ์ก็แค่ล็อกอิน Bitwarden แต่ฝั่ง passkey นั้น ขั้นตอนกู้คืนเมื่อทำอุปกรณ์หาย ไม่ชัดเจนเลย แม้แต่เหตุผลว่าทำไม passkey ที่ตั้งจาก iPhone ถึงใช้บน Linux เดสก์ท็อปได้ก็ยังไม่ชัด มันเหมาะกับคนที่ใช้แพลตฟอร์มเดียวมากกว่า

    • ถ้าลงทะเบียนไว้หลายอุปกรณ์หรือซิงก์ไว้แล้วก็กู้คืนได้ แต่ถ้าไม่ใช่ก็ไม่มีทางอื่นนอกจากขั้นตอนกู้คืนบัญชี สุดท้ายแล้ว ไม่ได้ดีกว่ารหัสผ่านเลย

  • สุดท้าย passkey ก็เป็น การออกแบบที่ซับซ้อนเกินไป ถ้ายอมรับการ lock-in ปัญหาบางอย่างอาจลดลง แต่ก็มีข้อจำกัดใหม่ตามมา TOTP เป็นทางเลือกที่สมเหตุสมผลกว่า

    • TOTP น่ารำคาญก็จริง แต่ผู้ใช้ยังมี อำนาจควบคุมเอง นั่นจึงเป็นเหตุผลที่ฉันทำ ส่วนขยาย Chrome ชื่อ LazyOTP ขึ้นมาเพื่อให้ใช้เป็นการยืนยันตัวตนแบบครั้งเดียวได้

  • passkey เป็น โซลูชันที่ยอดเยี่ยมสำหรับผู้ใช้ทั่วไปส่วนใหญ่ มันตัดปัญหาการจัดการรหัสผ่านซับซ้อนและการใช้รหัสผ่านซ้ำ อีกทั้งขั้นตอนล็อกอินก็ง่ายขึ้น
    แม้ในมุมคนที่เข้าใจเทคนิค ก็ยังรู้สึกว่า ประสบการณ์ล็อกอินที่รวดเร็วและลื่นไหล ดีกว่ามาก

    • แต่ถ้าทำอุปกรณ์หายหรือพังก็จะเข้าไม่ถึงทุกบัญชีทันที รหัสผ่านบนกระดาษ ไม่มีปัญหาแบบนั้น
    • ข้อดีใหญ่ที่สุดของ passkey คือ ป้องกันฟิชชิงได้ จะไม่สามารถส่งข้อมูลรับรองไปยังโดเมนผิดได้
    • แต่กระบวนการ ซิงก์กุญแจลับระหว่าง PC กับโทรศัพท์ ยังไม่ชัดเจน สุดท้ายเลยดูเหมือนเป็นโครงสร้างที่ถูกผูกกับระบบนิเวศของ Apple อย่างสมบูรณ์
    • ในความเป็นจริงยังไม่เคยเห็น implementation ที่ทำงานได้ลื่นไหลสมบูรณ์แบบข้ามหลายแพลตฟอร์มเลย

  • ฉันอุตส่าห์เตรียม password manager และระบบ 2FA ไว้ล่วงหน้าแล้ว แต่ตอนนี้กระแสกลับบอกให้ย้ายไปใช้ passkey เลยรู้สึกว่าความพยายามทั้งหมดนั้นไร้ความหมาย ฉันไม่ชอบ สภาพแวดล้อมทางเทคโนโลยีที่คนเตรียมตัวล่วงหน้ากลับเสียเปรียบ