Passkeys เทคโนโลยีทดแทนรหัสผ่านที่ได้รับการสนับสนุนจากบริษัทเทคโนโลยีใหญ่ ๆ กำลังเผชิญกับการตรวจสอบอย่างเข้มข้นจากนักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยที่โต้แย้งว่าระบบนี้สร้างปัญหาใหม่ในขณะที่แก้ไขปัญหาเก่า เทคโนโลยีที่ใช้กุญแจเข้ารหัสแทนรหัสผ่านแบบดั้งเดิมนี้ได้จุดประกายการถกเถียงอย่างเดือดดาลเกี่ยวกับเสรีภาพของผู้ใช้ การควบคุมของผู้ให้บริการ และประโยชน์ด้านความปลอดภัยที่แท้จริงที่มันให้
ปัญหาการผูกมัด
คำวิจารณ์ที่สำคัญที่สุดมุ่งเน้นไปที่ความยากลำบากในการย้าย passkeys ระหว่างตัวจัดการรหัสผ่านต่าง ๆ ซึ่งแตกต่างจากรหัสผ่านแบบดั้งเดิมที่สามารถคัดลอกและวางได้ passkeys ถูกออกแบบให้เป็นสิ่งที่ผู้ใช้มองไม่เห็นและไม่สามารถถ่ายโอนได้อย่างง่ายดาย สิ่งนี้สร้างสถานการณ์ที่การเปลี่ยนจากตัวจัดการรหัสผ่านของ Google ไปยังของ Apple หรือไปยังบริการอิสระอย่าง Bitwarden กลายเป็นเรื่องที่ซับซ้อนโดยไม่จำเป็น
แม้ว่า FIDO Alliance จะสัญญาว่าจะมี Credential Exchange Protocol เพื่อแก้ไขปัญหานี้ แต่วิธีแก้ไขยังคงเป็นเพียงทฤษฎีในปี 2025 ปัจจุบันวิธีแก้ไขเดียวคือให้เว็บไซต์อนุญาตให้มี passkeys หลายตัวต่อบัญชี แต่บริการหลายแห่งไม่รองรับคุณสมบัตินี้ สิ่งนี้บังคับให้ผู้ใช้ต้องเลือกระหว่างความสะดวกและความยืดหยุ่น
การเปรียบเทียบตัวเลือกการจัดเก็บ Passkey
| วิธีการจัดเก็บ | ระดับความปลอดภัย | ความสามารถในการพกพา | ตัวเลือกการสำรองข้อมูล | ความเสี่ยงจากการผูกมัดกับผู้ให้บริการ |
|---|---|---|---|---|
| Hardware Keys ( YubiKey ) | สูง | ต้องถ่ายโอนด้วยตนเอง | ต้องมีสำเนาทางกายภาพ | ต่ำ |
| Cloud Sync ( Google / Apple ) | ปานกลาง | ซิงค์อัตโนมัติระหว่างอุปกรณ์ | ขึ้นอยู่กับการกู้คืนบัญชี | สูง |
| Local Password Managers | ปานกลาง-สูง | สามารถส่งออก/นำเข้าได้ | ผู้ใช้ควบคุมการสำรองข้อมูลเอง | ต่ำ-ปานกลาง |
| Browser Built-in | ปานกลาง | จำกัดอยู่ในระบบนิเวศของเบราว์เซอร์ | แตกต่างกันไปตามเบราว์เซอร์ | ปานกลาง-สูง |
ละครความปลอดภัยหรือการป้องกันที่แท้จริง?
ประโยชน์ด้านความปลอดภัยของ passkeys ยังอยู่ในการถกเถียง ผู้สนับสนุนโต้แย้งว่า passkeys ให้การป้องกันที่เหนือกว่าต่อการโจมตีแบบ phishing เพราะมันถูกผูกติดกับโดเมนเฉพาะและไม่สามารถถูกหลอกให้ทำงานบนเว็บไซต์ปลอมได้ เทคโนโลยีนี้ยังขจัดความเสี่ยงจากการรั่วไหลของฐานข้อมูลรหัสผ่านเนื่องจากกุญแจส่วนตัวไม่เคยออกจากอุปกรณ์ของผู้ใช้
อย่างไรก็ตาม นักวิจารณ์ชี้ให้เห็นว่า passkeys สามารถรีเซ็ตได้โดยใช้วิธีเดียวกันกับรหัสผ่านแบบดั้งเดิม - โดยทั่วไปผ่านการยืนยันทางอีเมล นี่หมายความว่าหากใครสามารถเจาะบัญชีอีเมลของคุณได้ พวกเขายังคงสามารถเข้าถึงบัญชีที่ป้องกันด้วย passkey ของคุณได้ กระบวนการรีเซ็ตทำให้ passkeys เป็นเพียงรหัสผ่านที่ต้องการตัวจัดการรหัสผ่าน ตามที่การวิเคราะห์หนึ่งกล่าวไว้
ข้อจำกัดสำคัญของ Passkey
- ความยากในการโอน: ไม่สามารถ copy/paste passkey ระหว่างตัวจัดการรหัสผ่านได้
- กระบวนการรีเซ็ต: มีช่องโหว่เหมือนกับรหัสผ่านแบบดั้งเดิมผ่านการรีเซ็ตทาง email
- การพึ่งพาผู้ให้บริการ: ความเสี่ยงที่บัญชีจะถูกล็อกหากผู้ให้บริการ cloud แบนผู้ใช้
- ตัวเลือกการสำรองข้อมูลที่จำกัด: ไม่มีวิธีการมาตรฐานสำหรับการสำรองข้อมูลรับรองความปลอดภัย
- ข้อกังวลเรื่อง Attestation: มีศักยภาพในการบล็อกการใช้งาน open-source implementations
- ประสบการณ์ผู้ใช้: พฤติกรรมที่ไม่สม่ำเสมอในเบราว์เซอร์และอุปกรณ์ที่แตกต่างกัน
การถกเถียงเรื่องการควบคุม
ความแตกแยกทางปรัชญาที่ลึกซึ้งได้เกิดขึ้นรอบ ๆ การควบคุมและเสรีภาพของผู้ใช้ Passkeys ถูกออกแบบด้วยสมมติฐานที่ว่าผู้ใช้ไม่สามารถไว้วางใจได้กับข้อมูลรับรองความปลอดภัยของตนเอง เทคโนโลยีนี้จงใจป้องกันไม่ให้ผู้ใช้ดูหรือจัดการกุญแจส่วนตัวของตนเองด้วยตนเอง ซึ่งบางคนมองว่าเป็นการป้องกันที่จำเป็นต่อการโจมตีแบบ social engineering
นี่คือ DRM สำหรับรหัสผ่าน ที่ปิดกั้นผู้โจมตีที่เป็นอันตรายจากการส่งออกข้อมูลรับรองอย่างมีประสิทธิภาพ โดยพื้นฐานแล้วไม่มีข้อยกเว้น
คนอื่น ๆ มองสิ่งนี้เป็นข้อจำกัดที่ยอมรับไม่ได้ต่อสิทธิของผู้ใช้ ตัวจัดการรหัสผ่านแบบโอเพ่นซอร์สอย่าง KeePassXC ที่อนุญาตให้ผู้ใช้ส่งออกข้อมูล passkey ของตนได้ เผชิญกับภัยคุกคามที่จะถูกปิดกั้นผ่านกลไกการรับรองที่อาจป้องกันการใช้งานกับบริการบางอย่าง
การจัดเก็บในฮาร์ดแวร์เทียบกับคลาวด์
การใช้งาน passkeys แตกต่างกันอย่างมากขึ้นอยู่กับวิธีการจัดเก็บ กุญแจความปลอดภัยฮาร์ดแวร์อย่าง YubiKeys ให้ประโยชน์ด้านความปลอดภัยที่แท้จริงโดยการจัดเก็บข้อมูลรับรองในอุปกรณ์ที่ต้านทานการงัดแงะ อย่างไรก็ตาม ผู้ใช้ส่วนใหญ่พึ่งพา passkeys ที่ซิงค์กับคลาวด์ที่จัดเก็บในบริการอย่าง iCloud Keychain หรือ Google Password Manager
แนวทางที่ใช้คลาวด์นี้นำมาซึ่งความเสี่ยงใหม่ ผู้ใช้ที่สูญเสียการเข้าถึงบัญชี Google หรือ Apple ของตนอาจพบว่าตนเองถูกล็อกออกจากบริการหลายสิบรายการพร้อมกัน ความสะดวกของการซิงโครไนซ์ข้ามอุปกรณ์มาพร้อมกับต้นทุนของการสร้างจุดล้มเหลวเดียวใหม่
ความต้านทานของอุตสาหกรรมและความท้าทายในการนำไปใช้
เทคโนโลยีนี้เผชิญกับความต้านทานจากทั้งผู้ใช้ด้านเทคนิคและผู้บริโภคทั่วไป นักพัฒนาหลายคนมอง passkeys ว่าเป็นเรื่องที่เร็วเกินไป โดยอธิบายว่าเป็นซอฟต์แวร์ alpha ที่ถูกส่งออกมาโดยบังเอิญ ประสบการณ์ผู้ใช้ยังคงไม่สอดคล้องกันข้ามเบราว์เซอร์และอุปกรณ์ต่าง ๆ โดยอัตราความสำเร็จสำหรับการยืนยันตัวตน passkey แตกต่างกันอย่างมาก
สถาบันการเงินและผู้ใช้องค์กรช้าในการนำเทคโนโลยีนี้มาใช้ บางส่วนเนื่องจากข้อกังวลเกี่ยวกับการพึ่งพาผู้ให้บริการและการขาดขั้นตอนการกู้คืนที่ชัดเจน ความซับซ้อนของการอธิบาย passkeys ให้ผู้ใช้ที่ไม่ใช่ด้านเทคนิคเข้าใจยังเป็นอุปสรรคต่อการนำไปใช้อย่างแพร่หลาย
การถกเถียงเรื่อง passkey สะท้อนความตึงเครียดที่กว้างขึ้นในอุตสาหกรรมเทคโนโลยีระหว่างความปลอดภัย ความสะดวก และความเป็นอิสระของผู้ใช้ ในขณะที่เทคโนโลยีนี้แก้ไขปัญหาจริงกับการยืนยันตัวตนที่ใช้รหัสผ่านแบบดั้งเดิม การใช้งานในปัจจุบันก่อให้เกิดข้อกังวลใหม่เกี่ยวกับการควบคุมของบริษัทต่ออัตลักษณ์ดิจิทัล ขณะที่เทคโนโลยีนี้ยังคงพัฒนาต่อไป การหาสมดุลที่เหมาะสมระหว่างความปลอดภัยและเสรีภาพของผู้ใช้ยังคงเป็นความท้าทายที่ต่อเนื่อง
อ้างอิง: Passkeys are just passwords that require a password manager