Google เตือนผู้ใช้ 2 พันล้านคน - ยุคของรหัสผ่านสิ้นสุดลงแล้ว "ปกป้องโลกด้วย Passkey"

Google เตือนผู้ใช้ 2 พันล้านคน - ยุคของรหัสผ่านสิ้นสุดลงแล้ว "ปกป้องโลกด้วย Passkey"

2025年06月22日 14:41

สารบัญ

  1. พาสคีย์คืออะไร - ความแตกต่างที่ชัดเจนกับรหัสผ่าน

  2. เหตุการณ์ข้อมูลรั่วไหล 16 พันล้านครั้งที่เผยความเป็นจริง

  3. กลยุทธ์ "พาสคีย์โดยค่าเริ่มต้น" ของ Google

  4. การอธิบายทางเทคนิค: กลไกของ FIDO2/WebAuthn

  5. สถานการณ์การนำไปใช้ทั่วโลก - การเคลื่อนไหวของ Apple, Microsoft และเว็บไซต์หลัก

  6. มุมมองของผู้ใช้: ขั้นตอนการตั้งค่าและการแก้ไขปัญหา

  7. สำหรับองค์กรและนักพัฒนา: แนวปฏิบัติที่ดีที่สุดในการนำไปใช้และการดำเนินงาน

  8. ความเป็นส่วนตัวและความปลอดภัยของข้อมูลชีวมิติ

  9. ปัญหาระดับโลกและการขยายตัวในประเทศกำลังพัฒนา

  10. สรุป: ภาพอนาคตหลังรหัสผ่าน


1. พาสคีย์คืออะไร - ความแตกต่างที่ชัดเจนกับรหัสผ่าน

พาสคีย์เป็นข้อมูลรับรองการยืนยันตัวตนแบบอสมมาตรที่ใช้การเข้ารหัสกุญแจสาธารณะ โดยที่ฝั่งผู้ใช้ถือกุญแจลับและฝั่งเซิร์ฟเวอร์ถือกุญแจสาธารณะ 【กุญแจลับจะไม่รั่วไหลออกนอกอุปกรณ์】ทำให้มีความแข็งแกร่งต่อการโจมตีแบบฟิชชิ่งและรีเพลย์

นอกจากนี้ยังสามารถลงนามด้วยวิธีการปลดล็อกที่มีอยู่ในระบบปฏิบัติการ เช่น ลายนิ้วมือ การจดจำใบหน้า หรือ PIN ทำให้ไม่ต้องจำและมีประสบการณ์ผู้ใช้ที่รวดเร็วขึ้น ตามข้อมูลของ Google ความเร็วในการเข้าสู่ระบบเพิ่มขึ้นประมาณ 40% เมื่อเทียบกับรหัสผ่านblog.google



2. เหตุการณ์ข้อมูลรั่วไหล 16 พันล้านครั้งที่เผยความเป็นจริง

ในเดือนมิถุนายน 2025 การสำรวจของ Cybernews พบว่ามีชุดข้อมูลขนาดใหญ่ 30 ชุดที่ถูกเปิดเผย โดยมีข้อมูล ID และรหัสผ่านรวม 16 พันล้านรายการที่ถูกนำไปขายในตลาดมืด ข้อมูลรับรองที่ใช้ซ้ำในบริการหลายแห่งเช่น Google, Apple, Meta ถูกพบรวมอยู่ด้วย ผู้เชี่ยวชาญเตือนว่า "คำนวณแล้วข้อมูลรับรองการยืนยันตัวตนรั่วไหลเฉลี่ย 2 รายการต่อคน"cbsnews.comm.economictimes.com



3. กลยุทธ์ "พาสคีย์โดยค่าเริ่มต้น" ของ Google

ตั้งแต่เดือนตุลาคม 2023 Google ได้ตั้งค่าให้พาสคีย์เป็นค่าเริ่มต้นสำหรับบัญชีส่วนบุคคล และในเดือนมิถุนายน 2025 จะขยายเป้าหมายจาก 2 ร้อยล้านคน เป็น 2 พันล้านคน ฟีเจอร์ "ข้ามรหัสผ่านเมื่อเป็นไปได้" จะเปิดใช้งานเป็นค่าเริ่มต้น และสามารถใช้ได้ในบริการต่างๆ เช่น Gmail, YouTube, Maps

Google ได้กำหนดว่า "ต่อไปนี้พาสคีย์จะเป็นการยืนยันตัวตนหลัก รหัสผ่านจะเป็นสิ่งที่ล้าสมัย"blog.googlefidoalliance.org



4. การอธิบายทางเทคนิค: กลไกของ FIDO2/WebAuthn

  • FIDO2: การแลกเปลี่ยนการเข้ารหัสคีย์สาธารณะระหว่างไคลเอนต์ (อุปกรณ์ที่รองรับ CTAP2) และแพลตฟอร์ม (เบราว์เซอร์)

  • WebAuthn API: มาตรฐานเบราว์เซอร์ที่เรียกใช้ด้วย JavaScript ส่งคีย์สาธารณะไปยังเซิร์ฟเวอร์เมื่อทำการลงทะเบียน และส่งคืนลายเซ็นการท้าทายเมื่อทำการยืนยันตัวตน

  • หลายปัจจัย vs หลายขั้นตอน: คีย์ผ่านคือ "การครอบครอง + ชีวภาพ" = MFA ในขั้นตอนเดียว



5. สถานะการนำไปใช้ทั่วโลก──การเคลื่อนไหวของ Apple, Microsoft และเว็บไซต์หลัก

Apple ร่วมมือกับ iCloud Keychain ตั้งแต่ iOS 17 ขึ้นไป, Microsoft ให้บริการ Windows Hello เป็นตัวรับรอง FIDO2 eBay, Uber, WhatsApp จะรองรับคีย์ผ่านภายในปี 2025 การทดลองในพอร์ทัลรัฐบาลและสถาบันการเงินในหลายประเทศกำลังดำเนินการ



6. มุมมองของผู้ใช้: ขั้นตอนการตั้งค่าและการแก้ไขปัญหา

  1. บัญชี Google → ความปลอดภัย → คีย์ผ่าน เพื่อสร้าง

  2. ถ้าเป็น Android 14 ขึ้นไป หรือ iOS 17 ขึ้นไป จะซิงค์อัตโนมัติ

  3. อุปกรณ์รุ่นเก่าให้ใช้ FIDO Security Key (USB / NFC) เป็นการสำรองข้อมูล

  4. เมื่อเปลี่ยนเครื่องให้โอนย้ายอย่างปลอดภัยด้วย iCloud หรือ Google Password Manager

  5. เมื่อเกิดข้อผิดพลาดให้ตรวจสอบการตั้งค่า WebAuthn ของเบราว์เซอร์และการลงทะเบียนการยืนยันตัวตนทางชีวภาพของระบบปฏิบัติการ



7. สำหรับองค์กรและนักพัฒนา: แนวปฏิบัติที่ดีที่สุดในการใช้งานและการดำเนินงาน

  • คำนึงถึงร่าง WebAuthn Level 3 โดยบังคับใช้ resident key

  • ใช้ Provisioning API เพื่อให้ผู้ใช้สามารถกู้คืนได้แม้สูญเสียอุปกรณ์

  • ออกแบบการย้ายแบบเป็นขั้นตอน เช่น "คีย์ผ่านเท่านั้น" หรือ "คีย์ผ่าน + OTP"

  • รวม "webauthn-signature-counter" ในการตรวจสอบบันทึกเพื่อตรวจจับคีย์ที่ใช้ซ้ำ



8. ความเป็นส่วนตัวและความปลอดภัยของข้อมูลชีวภาพ

คีย์ผ่านไม่ส่งข้อมูลชีวภาพไปยังเซิร์ฟเวอร์ ระบบปฏิบัติการจะจับคู่ในเครื่องและส่งคืนเฉพาะธงผลลัพธ์เท่านั้น ดังนั้นลายนิ้วมือหรือภาพใบหน้าจะไม่ถูกเก็บไว้ในคลาวด์การออกแบบนี้สอดคล้องกับกฎระเบียบการคุ้มครองข้อมูลส่วนบุคคล (GDPR, CCPA, กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แก้ไข) ได้ง่าย



9. ความท้าทายระดับโลกและการขยายตัวในประเทศกำลังพัฒนา

ในอุปกรณ์ Android Go ราคาถูกและ PC สาธารณะหลายกรณีไม่มีเซ็นเซอร์ชีวภาพ ในกรณีนี้จำเป็นต้องใช้ PIN ร่วมกับกุญแจความปลอดภัยหรือการสำรองข้อมูลด้วย SMS OTP มีรายงานว่า FIDO Alliance มีแผนจะเผยแพร่สเปค “Passkey Lite” ภายในปี 2025 (การใช้งานเบาสำหรับอุปกรณ์ที่มีประสิทธิภาพต่ำ)



10. สรุป: ภาพอนาคตหลังรหัสผ่าน

  • ระยะสั้น: บริการเว็บหลักจะบังคับใช้การใช้พาสคีย์ และรหัสผ่านจะเป็นวิธีสำรอง

  • ระยะกลาง: อุปกรณ์ที่มีโมดูลความปลอดภัยฮาร์ดแวร์ (TPM) จะกลายเป็นมาตรฐาน

  • ระยะยาว: พัฒนาไปสู่แพลตฟอร์มการยืนยันตัวตนแบบ “Self-Sovereign” โดยรวมกับ ID แบบกระจาย (DID)


    คำเตือนของ Google เป็นสัญญาณสิ้นสุดของการใช้รหัสผ่านที่ยาวนานถึง 30 ปี ผู้ใช้อินเทอร์เน็ตทั่วโลกควรเริ่มดำเนินการในขณะนี้


รายการบทความอ้างอิง

  • CBS News「16 billion login credentials from Google and other sites leaked online」(2025-06-20) cbsnews.com

  • The Economic Times「How to secure your Google account after the 16 billion passwords leaked」(2025-06-20) m.economictimes.com

  • Google Official Blog「Passwordless by default: Make the switch to passkeys」(2023-10-10) blog.google

  • MSN/FIDO Alliance「Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords」(2025-06-17) fidoalliance.org

← กลับไปที่รายการบทความ