Passkeys คือเทรนด์ความปลอดภัยด้านไบโอเมตริกที่น่าจับตามองในปี 2025จัดงานสัมมนา FIDO Tokyo ประจำปีครั้งที่ 11 เกี่ยวกับการเร่งการยอมรับรหัสผ่าน โดยมีการนำเสนอจาก Google, Sony Interactive Entertainment, Mastercard และองค์กรอื่นๆ ที่เข้าร่วมการเดินทางสู่การใช้ชีวิตแบบไร้รหัสผ่าน Microsoft ได้ยืนยันคำแนะนำเกี่ยวกับวิธีทำให้ผู้คนชอบรหัสผ่าน เนื่องจาก Microsoft กำจัดช่องโหว่สำคัญที่เปิดเผยต่อผู้ใช้ Outlook 365 จำนวน 400 ล้านคน
แบรนด์เทคโนโลยีรายใหญ่ผลักดันกระแสหลักในการเข้าสู่ระบบบัญชีรหัสผ่าน
ข่าวประชาสัมพันธ์จาก FIDO สรุปเรื่องราวความสำเร็จของรหัสผ่านในปีที่ผ่านมา
ในปี 2567ทำให้ผู้ใช้สามารถเข้าถึงรหัสผ่านได้ 100 เปอร์เซ็นต์ และมีรหัสผ่านที่สร้างขึ้นเพื่อการลงชื่อเข้าใช้ amazon.com ทั่วโลกถึง 175 ล้านรหัส Google กล่าวว่าขณะนี้บัญชี Google 800 ล้านบัญชีใช้รหัสผ่าน โดยมีการลงชื่อเข้าใช้รหัสผ่านมากกว่า 2.5 พันล้านครั้งในช่วงสองปีที่ผ่านมา และอัตราความสำเร็จในการลงชื่อเข้าใช้เพิ่มขึ้น 30 เปอร์เซ็นต์ โซนี่สำหรับชุมชนเกม Playstation ทั่วโลก และพบว่าเวลาในการลงชื่อเข้าใช้บนเว็บแอปพลิเคชันลดลง 24 เปอร์เซ็นต์
Hyatt, IBM, Target และ TikTok เป็นหนึ่งในบริษัทที่เพิ่มเข้ามาไปยังตัวเลือกการรับรองความถูกต้องของพนักงาน ผลิตภัณฑ์การจัดการข้อมูลรับรองที่มีตัวเลือกรหัสผ่านมากขึ้นหมายถึงความยืดหยุ่นที่มากขึ้นสำหรับผู้บริโภค
ญี่ปุ่นร่วมพรรคพาสคีย์ภาคเอกชน นักวิชาการ
ตลาดญี่ปุ่นเริ่มหันมาใช้พาสคีย์อย่างเห็นได้ชัด โดยมี Nikkei, Nulab และ Tokyu Corporation อยู่ในกลุ่มบริษัทต่างๆ ที่หันมาใช้พาสคีย์เทคโนโลยี. Nikkei จะนำรหัสผ่านสำหรับ Nikkei ID มาใช้โดยเร็วที่สุดในเดือนกุมภาพันธ์ 2568 บริษัท Tokyu Corporation กล่าวว่า 45 เปอร์เซ็นต์ของผู้ใช้ TOKYU ID มีรหัสผ่าน และ Nulab ได้ประกาศ “การปรับปรุงอย่างมากในการใช้รหัสผ่าน”
Academia กำลังช่วยขับเคลื่อนนวัตกรรม โดยทีมงานจาก Keio University และ Waseda University ได้รับรางวัลจากการวิจัยและต้นแบบในงานแฮ็กกาธอนและเวิร์คช็อปต่างๆ
และแน่นอนว่า FIDO ก็พร้อมให้การสนับสนุน โดยขณะนี้นำเสนอทรัพยากรเว็บไซต์ Passkey Central บนเว็บไซต์การใช้รหัสผ่านในภาษาญี่ปุ่น เพื่อให้บริษัทญี่ปุ่นสามารถใช้ประโยชน์จากสื่อแนะนำ กลยุทธ์การใช้งาน UX และแนวทางการออกแบบ และคำแนะนำการเปิดตัวโดยละเอียดได้ดียิ่งขึ้น
คณะทำงาน FIDO Japan ซึ่งประกอบด้วยบริษัทสมาชิกของ FIDO Alliance 66 แห่ง กำลังอยู่ในปีที่ 9 ของการทำงานเพื่อสร้างความตระหนักรู้เกี่ยวกับรหัสผ่านในประเทศ
โปรแกรมรหัสผ่านที่สร้างขึ้นจะแสดงผลลัพธ์ที่เป็นบวก
ความตระหนักโดยทั่วไปเกี่ยวกับรหัสผ่านกำลังดีขึ้น โดยการวิจัยของ FIDO เมื่อเร็วๆ นี้แสดงให้เห็นว่าในช่วงสองปีนับตั้งแต่มีการเผยแพร่รหัสผ่าน ความตระหนักรู้ของผู้บริโภคก็เพิ่มขึ้นถึง 50 เปอร์เซ็นต์ ส่วนหนึ่งสามารถกล่าวถึงความพยายามของผู้ที่ใช้รหัสผ่านในช่วงแรกๆ เพื่อแสดงให้เห็นว่าทำอย่างไรได้ปรับปรุงธุรกิจของพวกเขา
การใช้รหัสผ่าน FIDO หมายความว่าผู้ให้บริการโทรคมนาคมของญี่ปุ่น KDDI พบว่าการโทรไปยังศูนย์สนับสนุนลูกค้าลดลงเกือบ 35 เปอร์เซ็นต์ บริษัทอีคอมเมิร์ซ Mercari มีผู้ใช้ 7 ล้านคนที่ลงทะเบียนด้วยรหัสผ่าน ยาฮู! JAPAN ID ซึ่งเป็นทรัพย์สินของ LY Corporation ขณะนี้มีผู้ใช้รหัสผ่านที่ใช้งานอยู่ 27 ล้านราย และกล่าวว่า 50 เปอร์เซ็นต์ของการตรวจสอบสิทธิ์ผู้ใช้บนสมาร์ทโฟนเป็นรหัสผ่านแล้ว
ใช้ภาษาที่อ่อนโยนเพื่อใช้ความมั่นใจในการปรับใช้รหัสผ่าน
ในการตอบแทนของมันที่ Authenticate 2024 Microsoft ได้เผยแพร่ aบล็อกเรื่อง “การโน้มน้าวผู้ใช้พันล้านให้รักพาสคีย์: ข้อมูลเชิงลึกด้านการออกแบบ UX จาก Microsoft เพื่อเพิ่มการยอมรับและความปลอดภัย”
เริ่มต้นด้วยการประกาศที่คุ้นเคยกันดีเกี่ยวกับการตายของรหัสผ่านที่ใกล้จะเกิดขึ้น “ไม่ต้องสงสัยเลย” กล่าว: “ยุครหัสผ่านกำลังจะสิ้นสุดลง”
Microsoft วางกรอบข้อมูลเชิงลึกเกี่ยวกับอารมณ์ความรู้สึกที่รุนแรงซึ่งหลายคนอาจไม่เชื่อมโยงในทันที- จะทำให้ลูกค้ารักรหัสผ่านเหมือนที่พวกเขารักได้อย่างไร? “อย่างไรก็ตาม เราต้องโน้มน้าวประชากรจำนวนมากและหลากหลายให้เปลี่ยนพฤติกรรมที่คุ้นเคยอย่างถาวร และรู้สึกตื่นเต้นกับมัน” บล็อกกล่าว
ไม่ว่าใครก็ตามจะรู้สึกตื่นเต้นกับรหัสผ่านจริงๆ หรือไม่ ผลลัพธ์ที่ได้ก็พิสูจน์ให้เห็นแล้ว: Microsoft กล่าวว่าผลลัพธ์ที่ได้แสดงให้เห็นว่าการลงชื่อเข้าใช้ด้วยรหัสผ่านนั้นเร็วกว่าการใช้รหัสผ่านแบบเดิมถึงสามเท่า และเร็วกว่ารหัสผ่านและการรับรองความถูกต้องแบบหลายปัจจัยแบบดั้งเดิมถึงแปดเท่า ผู้ใช้ประสบความสำเร็จมากขึ้นสามเท่ากว่าการใช้รหัสผ่าน (98 เปอร์เซ็นต์ เทียบกับที่น่าหดหู่ 32 เปอร์เซ็นต์) และผู้ใช้ 99 รายที่เริ่มขั้นตอนการลงทะเบียนรหัสผ่านก็ดำเนินการให้เสร็จสิ้น
กลยุทธ์ของ Microsoft แบ่งออกเป็นสามขั้นตอน: เริ่มต้นจากเล็กๆ ทดลอง และ "ขยายขนาดอย่างบ้าคลั่ง" เพิ่มตัวเลือกการลงชื่อเข้าใช้รหัสผ่านที่จุดสำคัญ และตรวจสอบให้แน่ใจว่าผู้คนเข้าใจ– กล่าวคือ พวกเขากำลังนำเสนออะไรกันแน่ Microsoft กล่าวว่า "ในขณะที่คำว่า 'รหัสผ่าน' บางครั้งอาจไม่คุ้นเคย แต่วลี 'ใบหน้า ลายนิ้วมือ หรือ PIN' โดยทั่วไปเป็นที่เข้าใจกันดี ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเชื่อมโยงแนวคิดทั้งสองนี้เข้ากับประสบการณ์ผู้ใช้ (UX) ของเรา”
ทั้งสองไม่สามารถมีชีวิตอยู่ได้ในขณะที่อีกคนหนึ่งยังมีชีวิตอยู่ รหัสผ่านจะต้องถูกฆ่าและฝังไว้
ในท้ายที่สุด สองขั้นตอนหลังถือเป็นคำแนะนำในการหลีกเลี่ยงรหัสผ่านไม่ได้ แม้ว่าตัวเลือกแบบพาสซีฟจะให้ผลลัพธ์ที่น่าผิดหวัง แต่ตัวเลขที่ดีกว่ามากนั้นมาจากการตั้งค่าการลงชื่อเข้าใช้รหัสผ่านเป็นค่าเริ่มต้น และการออกแบบ "การกระตุ้น" เชิงกลยุทธ์สำหรับผู้ที่ยังไม่ได้ลงทะเบียน- (พวกเขายังมีทางเลือกในการใช้ข้อมูลรับรองอื่นได้ เพียงแต่ไม่ต้องการ) ขอย้ำอีกครั้งว่าทั้งหมดนี้เกี่ยวข้องกับความรู้สึกอบอุ่น: “เราต้องการให้ผู้ใช้รู้สึกสบายใจกับแนวคิดที่ว่ารหัสผ่านจะกลายเป็นเรื่องปกติใหม่”
กล่าวคือ มีการบีบบังคับที่เป็นมิตรเล็กน้อยอยู่เบื้องหลังความรู้สึกดีๆ “อย่าอายที่จะเชิญผู้ใช้ให้ลงทะเบียนพาสคีย์” Microsoft กล่าว “ทำให้การลงทะเบียนและใช้รหัสผ่านเป็นเรื่องง่ายที่สุด” และ “เริ่มวางแผนล่วงหน้าตั้งแต่ตอนนี้เพื่อใช้เท่านั้น-
เพราะแม้ว่าผู้ใช้ใหม่หลายล้านคนจะสร้างบัญชีรหัสผ่านในอีกไม่กี่เดือนข้างหน้าตามที่ Microsoft คาดการณ์ไว้ แต่ก็ยังมีเรื่องศพเน่าเปื่อยอยู่ที่มุมห้อง ตราบใดที่บัญชียังคงผูกอยู่กับรหัสผ่าน Microsoft กล่าว ก็ยังคงสามารถฟิชชิ่งได้ “เป้าหมายสูงสุดของเราคือการสมบูรณ์และมีบัญชีที่รองรับเฉพาะข้อมูลประจำตัวที่ป้องกันการฟิชชิ่งเท่านั้น”
AuthQuake หาประโยชน์จากการไม่มีอัตราที่จำกัดในการเปิดเผยลูกค้า Microsoft 400 ล้านคน
ความเร่งด่วนส่วนหนึ่งของ Microsoft เกี่ยวกับรหัสผ่านอาจเกิดจากความรู้สึกจู้จี้จุกจิกที่วิธีการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ในปัจจุบันกำลังล่มสลาย หมายเหตุในบล็อก Redmond Microsoft ระบุว่าบริษัทรักษาความปลอดภัยทางไซเบอร์ Oasis Security ได้เปิดเผยช่องโหว่ในการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ของ Microsoft ที่อนุญาตให้บัญชีข้ามมาตรการรักษาความปลอดภัยโดยไม่ทำให้เกิดการแจ้งเตือน
ในนั้นรายงานฉบับเต็มOasis กล่าวว่าการบายพาสที่เรียกว่า AuthQuake นั้น “ใช้เวลาประมาณหนึ่งชั่วโมงในการดำเนินการ โดยไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ และไม่สร้างการแจ้งเตือนใดๆ” และช่องโหว่ดังกล่าวอาจส่งผลกระทบต่อลูกค้ามากกว่า 400 ล้านรายที่ใช้ Microsoft Office 365 รวมถึง Outlook, OneDrive, Teams และสีฟ้า ไม่มีการจำกัดอัตราและความถูกต้องของโค้ดที่ขยายเวลาหมดอายุ(OTP) คือต้นเหตุหลัก ซึ่งทั้งสองอย่างนี้ทำให้ผู้โจมตีสามารถเพิ่มจำนวนการโจมตีที่พวกเขาสามารถนำมาใช้ได้ในเวลาที่กำหนด
Oasis รายงานข้อบกพร่องดังกล่าวต่อ Microsoft ในเดือนมิถุนายน และบริษัทได้ดำเนินการแก้ไขแบบถาวรในวันที่ 9 ตุลาคม
หัวข้อบทความ
------
