Google Account รองรับการล็อกอินด้วย Passkeys ที่ไม่ต้องใช้รหัสผ่านแล้ว

By: arjin
WriteriPhoneWindows
on 3 May 2023 - 21:23 Tags:
Topics: 
Google
Authentication
Passkey
FIDO
Security
Password
Node Thumbnail

กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ

Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO

กูเกิลเริ่มทดสอบ Passkeys มาแล้วระยะหนึ่งบน Android และ Chrome บริการออนไลน์หลายตัวก็เริ่มรองรับ Passkeys แล้วเช่นกัน

เนื่องจาก Passkeys เชื่อมต่อกับฮาร์ดแวร์ กูเกิลจึงไม่แนะนำให้สร้าง Passkeys บนอุปกรณ์ที่แชร์การใช้งานร่วมกับคนอื่น นอกจากนี้ยังสามารถถอนสิทธิ Passkeys ที่สร้างขึ้นหน้าการตั้งค่าของบัญชีกูเกิล

ที่มา: กูเกิล

No Description

Get latest news from Blognone

Comments

By: kernelbase on 4 May 2023 - 09:15 #1283964

Fantastic Passkeys and Where to Find Them (in Thailand)

By: tom789
Windows Phone
on 4 May 2023 - 12:32 #1283982

แบบนี้แหละดี ไม่ต้องจำรหัส บ้างครั้งมีหลายเว็บ จำไม่ไหว แต่ถ้าอุปกรณ์หายหรือเข้าไม่ได้นี้ ซวยแน่ๆ

By: ninja741 on 4 May 2023 - 13:28 #1283989

การใช้ passkey อย่างเดียวมันปลอดภัยจริงเหรอ เหมือนกุจแจบ้าน ถ้าหายไปนี่ใครก็ไขเข้าประตูได้

By: hisoft
ContributorWindows PhoneWindows
on 4 May 2023 - 14:07 #1283995 Reply to:1283989
hisoft's picture

passkey เองต้อง auth บนตัวอุปกรณ์ด้วยครับ

ถ้าบนโทรศัพท์ Android ผม มันจะให้สแกนนิ้ว
ถ้าบนคอม Windows ของผมมันให้สแกนหน้า
ถ้าบน Yubikey มันให้ใส่รหัสของ Yubikey

มันคือ MFA ครับ ถ้าหลุดหมดก็อาจจะไม่ต่างจากเดิมเท่าไหร่ แต่เพิ่มเติมคือน่าจะแทบ phishing ไม่ได้
อ่อ แต่ถ้าโดน session hijack แบบนี้ก็ช่วยไม่ได้เหมือนเดิม อันนี้น่าจะยากไป อย่างมากก็บังคับ auth ได้บ่อยขึ้น

By: rattananen
AndroidWindows
on 4 May 2023 - 15:44 #1284005 Reply to:1283989
  • password, biometric: user ส่ง key ไปที่ server >> hash >> verify
  • passkey: server ส่ง code ไปให้ user hash แล้วส่งกลับ server >> verify

passkey มันปลอดภัยกว่าเพราะไม่ต้องส่ง key ไปไหน ไม่มีทางโดนขโมย key โดยการดักฟัง
มันปลอดภัยกว่าโดย mechanism/algorithm

By: Bigkung
iPhoneWindows Phone
on 10 June 2023 - 12:34 #1286723
Bigkung's picture

เอาจริงๆอยากถามอย่างหนึ่ง คือถ้าไม่มี Password แบบนี้โจรก็ สแปม ปุ่มขึ้นรัวๆในมือถือเราเลยหรือครับ แบบ รับหน่อย รับหน่อย กดรับสักทีสิ อะไรแบบนี้ เพราะใส่แค่ email ก็ให้ระบบมันส่งการยืนยันตัวตนได้แล้ว ถ้ามีพลาดวันไหนไปกดอนุญาต นี่ไม่เสร็จโจรเลยหรือครับ

By: big50000
AndroidSUSEUbuntu
on 10 June 2023 - 15:52 #1286728 Reply to:1286723
big50000's picture

ไม่สามารถทำได้ เพราะ Passkeys มี Challenge ด้วยว่าเราต้องอยู่ตรงนั้นจริง ๆ ไม่ว่าจะเป็นการตรวจสอบ Local Network ต่าง ๆ จาก Wi-Fi เอย จาก Bluetooth, NFC ไม่ใช่ว่าแค่อนุญาตเหมือน OTP, Email แล้วผ่านเลย

ดถ้าโจรจะขโมยบัญชีก็คือต้องอยู่กับเราด้วยแล้ว

By: Bigkung
iPhoneWindows Phone
on 10 June 2023 - 16:51 #1286730 Reply to:1286728
Bigkung's picture

อ๋อ ผิดตัวครับ ผมหมายถึง App ตัวนี้น่ะครับ https://www.blognone.com/node/124773 มันเด้งผ่านโนติสเลยนะ เลยกะว่าจะยังคง password ไว้ก่อนดีกว่า ตั้งไว้อยากอยู่ ปกติเปิดไว้คู่กันกับ 2FC