Passkeys คืออะไร?

การใช้ Password เพื่อยืนยันตัวตนในปัจจุบันถือเป็นสิ่งที่มีความเปราะบางและไม่อาจการันตีได้ว่าผู้ใช้งานเป็นตัวจริง จากปัญหาต่างๆที่เกี่ยวข้อง เช่น รหัสผ่านถูกขโมยไปได้และนำไปเร่ขายในโลกออนไลน์ ใช้รหัสผ่านที่ไม่แข็งแรงคาดเดาได้ง่ายหรือถูก Brute-forced รวมถึงการใช้รหัสผ่านซ้ำในหลายบริการร่วมกัน หรือแม้กระทั่งบริการออนไลน์เหล่านั้นถูกแฮ็กเสียเอง ประกอบกับไม่ได้ทำการเข้ารหัสข้อมูลเอาไว้

แต่ไม่ว่าจะด้วยอาการใดก็ตามแต่ การใช้รหัสผ่านเพียงอย่างเดียวกำลังอ่อนแอลงทุกวัน ด้วยเหตุนี้เองผู้นำด้านเทคโนโลยีจึงรวมตัวกันเพื่อสร้างความเปลี่ยนแปลงในด้านความปลอดภัย ซึ่งเทคโนโลยีล่าสุดที่กำลังถูกประกาศใช้งานในบริการต่างๆก็คือ Passkeys

Passkeys คืออะไร?

Passkey คือวิธีการหนึ่งของการยืนยันตัวตนที่ไม่ต้องจดจำรหัสผ่าน (Passwordless) ที่ง่าย ปลอดภัย และสะดวกกว่าการใช้รหัสผ่านหรือ 2FA/MFA เพราะโดยทั่วไปทั้งสองมักอาศัย รหัสผ่านในชั้นแรก แล้วค่อยเพิ่มความยากด้วยการป้องกันเพิ่มเติมอีกชั้นหนึ่งผ่านช่องทางอื่น เช่น Authenticator Application, Hardware Token และอื่นๆ

วิธีการของ Passkeys

โดยกลไกภายในที่ทำให้ Passkeys ประสบความสำเร็จคือกลไกของ Public Key Infrastructure(PKI) ซึ่งส่วนแรก ณ ขณะลงทะเบียนจะมีการสร้างคู่กุญแจ Private Key ให้กับผู้ใช้ และ Public Key ให้กับบริการ

อีกส่วนหนึ่งหลังจากลงทะเบียนแล้วเมื่อผู้ใช้ขอใช้งาน เซิร์ฟเวอร์จะส่งสิ่งที่เรียกว่า Challenge ไปหาผู้ร้องขอ ซึ่งต้องอาศัย Private Key ที่เก็บรักษาอยู่ในอุปกรณ์เพื่อทำ Digital Signature กลับไปให้ แต่นั่นหมายความว่าปลายทางเช่น สมาร์ทโฟนก็ต้องมีการปลดล็อกอุปกรณ์ด้วยวิธีที่เราคุ้นเคยกันก่อนด้วยการ การสแกนลายนิ้วมือหรือใบหน้า หรือการใช้ Hardware Token แล้วแต่กรณีการใช้งาน เพื่อจะเข้าถึง Private Key ที่เก็บอยู่ให้ได้

ต้องขอบคุณ FIDO(Fast IDentity Online) ซึ่งถูกตั้งขึ้นเพื่อแก้ปัญหาของรหัสผ่าน ที่นำโดยหัวเรือใหญ่อย่าง Google, Microsoft และ Apple ทั้งนี้จากกลไกข้างต้นมี 2 เทคโนโลยีที่เกี่ยวข้องคือ Web Authentication (WebAuthn) และ Client to Authenticator Protocol (CTAP)

WebAuthn เป็นคำแนะนำของ W3C ที่ให้เว็บเพจสามารถใช้ JavaScipt API คุยกับ Authenticator ได้ ในขณะที่ CTAP คือการพูดคุยผ่านหลายช่องทางทำต้องมีรองรับอุปกรณ์เช่น NFC, Bluetooth และ USB เป็นต้น ซึ่งถูกใช้เพื่อนำคำร้องขอจาก WebAuth ไปยัง Authenticator

รูปแบบของ Passkey

รูปแบบของ Passkey มี 2 ประเภทคือ

• Synced – เป็นความสามารถของอุปกรณ์ที่จะ Synced Passkey ตามบัญชีใช้งานได้เช่น iCloud หรือ การล็อกอินบัญชี Google Chrome ที่อยู่ได้บนอุปกรณ์ต่างๆ หรือพวก Password Manager
• Device Bound – ยึดติดกับตัวอุปกรณ์ไปเลย แต่จะไม่ค่อยสะดวกนัก อาจจะเสริมวิธีการทำ Backup Key ในกรณีที่อุปกรณ์สูญหายหรือเสียหาย เป็นทางสำรอง

Passkeys เกิดขึ้นจากกลุ่ม Fido Alliance แต่ริเริ่มอิมพลีเม้นต์จริงปี 2019 โดย Google ซึ่งปัจจุบันได้มีการประกาศรองรับมากมายหลายอุปกรณ์เช่น Windows Hello, Apple และ Android เป็นต้น โดยมีผลสถิติชี้ว่า Passkey นั้นให้ความสะดวกและทำให้การเข้าถึงนั้นรวดเร็วขึ้นอย่างมีนัยสำคัญถึง 2 เท่า

ที่มา : https://www.zdnet.com/article/passkeys-what-are-they-and-how-to-get-started/  และ https://security.googleblog.com/2023/05/making-authentication-faster-than-ever.html  และ https://www.pcworld.com/article/2319566/web-login-without-a-password-how-passkeys-work.html และ https://auth0.com/blog/webauthn-and-passkeys-for-developers/ และ https://en.wikipedia.org/wiki/Passwordless_authentication