กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ
Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO
กูเกิลเริ่มทดสอบ Passkeys มาแล้วระยะหนึ่งบน Android และ Chrome บริการออนไลน์หลายตัวก็เริ่มรองรับ Passkeys แล้วเช่นกัน
เนื่องจาก Passkeys เชื่อมต่อกับฮาร์ดแวร์ กูเกิลจึงไม่แนะนำให้สร้าง Passkeys บนอุปกรณ์ที่แชร์การใช้งานร่วมกับคนอื่น นอกจากนี้ยังสามารถถอนสิทธิ Passkeys ที่สร้างขึ้นหน้าการตั้งค่าของบัญชีกูเกิล
ที่มา: กูเกิล
Get latest news from Blognone
Follow @twitterapi
Comments
Fantastic Passkeys and Where to Find Them (in Thailand)
แบบนี้แหละดี ไม่ต้องจำรหัส บ้างครั้งมีหลายเว็บ จำไม่ไหว แต่ถ้าอุปกรณ์หายหรือเข้าไม่ได้นี้ ซวยแน่ๆ
การใช้ passkey อย่างเดียวมันปลอดภัยจริงเหรอ เหมือนกุจแจบ้าน ถ้าหายไปนี่ใครก็ไขเข้าประตูได้
passkey เองต้อง auth บนตัวอุปกรณ์ด้วยครับ
ถ้าบนโทรศัพท์ Android ผม มันจะให้สแกนนิ้ว
ถ้าบนคอม Windows ของผมมันให้สแกนหน้า
ถ้าบน Yubikey มันให้ใส่รหัสของ Yubikey
มันคือ MFA ครับ ถ้าหลุดหมดก็อาจจะไม่ต่างจากเดิมเท่าไหร่ แต่เพิ่มเติมคือน่าจะแทบ phishing ไม่ได้
อ่อ แต่ถ้าโดน session hijack แบบนี้ก็ช่วยไม่ได้เหมือนเดิม อันนี้น่าจะยากไป อย่างมากก็บังคับ auth ได้บ่อยขึ้น
passkey มันปลอดภัยกว่าเพราะไม่ต้องส่ง key ไปไหน ไม่มีทางโดนขโมย key โดยการดักฟัง
มันปลอดภัยกว่าโดย mechanism/algorithm