กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ
Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO
กูเกิลเริ่มทดสอบ Passkeys มาแล้วระยะหนึ่งบน Android และ Chrome บริการออนไลน์หลายตัวก็เริ่มรองรับ Passkeys แล้วเช่นกัน
เนื่องจาก Passkeys เชื่อมต่อกับฮาร์ดแวร์ กูเกิลจึงไม่แนะนำให้สร้าง Passkeys บนอุปกรณ์ที่แชร์การใช้งานร่วมกับคนอื่น นอกจากนี้ยังสามารถถอนสิทธิ Passkeys ที่สร้างขึ้นหน้าการตั้งค่าของบัญชีกูเกิล
ที่มา: กูเกิล

on
Fantastic Passkeys and Where
kernelbase Thu, 04/05/2023 - 09:15
Fantastic Passkeys and Where to Find Them (in Thailand)
แบบนี้แหละดี ไม่ต้องจำรหัส
tom789 Thu, 04/05/2023 - 12:32
แบบนี้แหละดี ไม่ต้องจำรหัส บ้างครั้งมีหลายเว็บ จำไม่ไหว แต่ถ้าอุปกรณ์หายหรือเข้าไม่ได้นี้ ซวยแน่ๆ
การใช้ passkey
ninja741 Thu, 04/05/2023 - 13:28
การใช้ passkey อย่างเดียวมันปลอดภัยจริงเหรอ เหมือนกุจแจบ้าน ถ้าหายไปนี่ใครก็ไขเข้าประตูได้
passkey เองต้อง auth
hisoft Thu, 04/05/2023 - 14:07
In reply to การใช้ passkey by ninja741
passkey เองต้อง auth บนตัวอุปกรณ์ด้วยครับ
ถ้าบนโทรศัพท์ Android ผม มันจะให้สแกนนิ้ว
ถ้าบนคอม Windows ของผมมันให้สแกนหน้า
ถ้าบน Yubikey มันให้ใส่รหัสของ Yubikey
มันคือ MFA ครับ ถ้าหลุดหมดก็อาจจะไม่ต่างจากเดิมเท่าไหร่ แต่เพิ่มเติมคือน่าจะแทบ phishing ไม่ได้
อ่อ แต่ถ้าโดน session hijack แบบนี้ก็ช่วยไม่ได้เหมือนเดิม อันนี้น่าจะยากไป อย่างมากก็บังคับ auth ได้บ่อยขึ้น
password, biometric: user ส่ง
rattananen Thu, 04/05/2023 - 15:44
In reply to การใช้ passkey by ninja741
passkey มันปลอดภัยกว่าเพราะไม่ต้องส่ง key ไปไหน ไม่มีทางโดนขโมย key โดยการดักฟัง
มันปลอดภัยกว่าโดย mechanism/algorithm
เอาจริงๆอยากถามอย่างหนึ่ง
Bigkung Sat, 10/06/2023 - 12:34
เอาจริงๆอยากถามอย่างหนึ่ง คือถ้าไม่มี Password แบบนี้โจรก็ สแปม ปุ่มขึ้นรัวๆในมือถือเราเลยหรือครับ แบบ รับหน่อย รับหน่อย กดรับสักทีสิ อะไรแบบนี้ เพราะใส่แค่ email ก็ให้ระบบมันส่งการยืนยันตัวตนได้แล้ว ถ้ามีพลาดวันไหนไปกดอนุญาต นี่ไม่เสร็จโจรเลยหรือครับ
ไม่สามารถทำได้ เพราะ Passkeys
big50000 Sat, 10/06/2023 - 15:52
In reply to เอาจริงๆอยากถามอย่างหนึ่ง by Bigkung
ไม่สามารถทำได้ เพราะ Passkeys มี Challenge ด้วยว่าเราต้องอยู่ตรงนั้นจริง ๆ ไม่ว่าจะเป็นการตรวจสอบ Local Network ต่าง ๆ จาก Wi-Fi เอย จาก Bluetooth, NFC ไม่ใช่ว่าแค่อนุญาตเหมือน OTP, Email แล้วผ่านเลย
ดถ้าโจรจะขโมยบัญชีก็คือต้องอยู่กับเราด้วยแล้ว
อ๋อ ผิดตัวครับ ผมหมายถึง App
Bigkung Sat, 10/06/2023 - 16:51
In reply to ไม่สามารถทำได้ เพราะ Passkeys by big50000
อ๋อ ผิดตัวครับ ผมหมายถึง App ตัวนี้น่ะครับ https://www.blognone.com/node/124773 มันเด้งผ่านโนติสเลยนะ เลยกะว่าจะยังคง password ไว้ก่อนดีกว่า ตั้งไว้อยากอยู่ ปกติเปิดไว้คู่กันกับ 2FC