พาสคีย์ที่ปลอดภัยและใช้งานได้อย่างราบรื่น: เช็กลิสต์สำหรับการใช้งาน

Eiji Kitamura

เผยแพร่: 5 มิถุนายน 2025

พาสคีย์ออกแบบมาเพื่อปฏิวัติประสบการณ์การลงชื่อเข้าใช้ โดยเป็นทางเลือกแทนรหัสผ่านที่ง่ายขึ้น เร็วขึ้น และปลอดภัยยิ่งขึ้น รายการตรวจสอบนี้จะ แนะนําคุณเกี่ยวกับแง่มุมสําคัญของการใช้พาสคีย์เพื่อให้ได้ผลลัพธ์ด้าน ประสบการณ์ของผู้ใช้ (UX) ที่ดีที่สุด

วิธีใช้เช็กลิสต์นี้

รายการตรวจสอบนี้มีไว้สำหรับนักพัฒนาซอฟต์แวร์และทีมผลิตภัณฑ์ที่ใช้ พาสคีย์ในขั้นตอนการตรวจสอบสิทธิ์ เครื่องมือนี้ช่วยให้คุณทำสิ่งต่อไปนี้ได้

  • ตรวจสอบว่าการติดตั้งใช้งานเป็นไปตามแนวทางปฏิบัติแนะนำด้าน UX ของพาสคีย์สมัยใหม่ที่อธิบายไว้ในบทความต่อไปนี้
  • ระบุองค์ประกอบที่จำเป็นและไม่บังคับซึ่งช่วยปรับปรุงความสามารถในการใช้งาน ความปลอดภัย และความเข้ากันได้
  • ตรวจสอบการติดตั้งใช้งานระหว่างการพัฒนาและก่อนการติดตั้งใช้งาน
  • สอดคล้องกับแนวทางปฏิบัติแนะนำที่สนับสนุนการยอมรับของผู้ใช้และความสามารถในการทำงานร่วมกันของระบบ

ซึ่งจะช่วยให้คุณมอบประสบการณ์การใช้งานที่ราบรื่นและปลอดภัยแก่ผู้ใช้ปลายทาง

การลงทะเบียนพาสคีย์

การมีความสามารถในการลงทะเบียนพาสคีย์ที่ซับซ้อนเป็นกุญแจสำคัญในการเปลี่ยนจากรหัสผ่านเป็นพาสคีย์ในเว็บไซต์ของคุณได้อย่างราบรื่น ทําตามวิธีการที่อธิบายไว้ในสร้างพาสคีย์สําหรับการเข้าสู่ระบบแบบไม่ใช้รหัสผ่าน เพื่อสร้างฟีเจอร์การลงทะเบียนพาสคีย์ในเว็บไซต์ สิ่งที่คุณควรตรวจสอบเพิ่มเติมจากฟีเจอร์การลงทะเบียนพาสคีย์พื้นฐานมีดังนี้

✅ ระบุ "platform" เป็นค่าการแนบเครื่องมือตรวจสอบสิทธิ์เพื่อส่งไปยัง navigator.credentials.create() สำหรับการสร้างพาสคีย์ที่ได้รับการโปรโมต

  • มอบขั้นตอนการสร้างพาสคีย์ที่ได้รับการเพิ่มประสิทธิภาพและราบรื่นสำหรับผู้ที่ สร้างพาสคีย์แบบรีแอกทีฟ

✅ ยืนยันตัวตนผู้ใช้ด้วยวิธีการตรวจสอบสิทธิ์ที่ปลอดภัยที่สุดที่มีอยู่เพื่อให้ผู้ใช้สามารถใช้ได้ก่อนอนุญาตให้สร้างพาสคีย์

  • ซึ่งเป็นสิ่งสำคัญในการป้องกันไม่ให้ผู้โจมตีสร้างพาสคีย์ในบัญชีที่ถูกลักลอบใช้งาน

✅ ป้องกันการสร้างพาสคีย์ที่ซ้ำกันสำหรับผู้ให้บริการพาสคีย์รายเดียวกันโดยใช้ excludeCredentials

  • ผู้ให้บริการพาสคีย์หลายรายรองรับพาสคีย์เพียง 1 รายการต่อบัญชีและ RP ID หลีกเลี่ยงการสร้างรายการที่ซ้ำกัน

ใช้ AAGUID เพื่อระบุผู้ให้บริการพาสคีย์ และตั้งชื่อข้อมูลเข้าสู่ระบบสำหรับผู้ใช้

  • การเชื่อมโยงพาสคีย์กับผู้ให้บริการพาสคีย์เป็นวิธีที่ใช้งานง่ายในการแสดงข้อมูลเข้าสู่ระบบเมื่อทำได้

✅ ส่งสัญญาณหากการพยายามลงทะเบียนพาสคีย์ล้มเหลวด้วย PublicKeyCredential.signalUnknownCredential()

  • พาสคีย์ที่ไม่ได้ใช้แล้วอาจทำให้เกิดความสับสน แจ้งให้ผู้ให้บริการพาสคีย์ทราบหาก เซิร์ฟเวอร์ลงทะเบียนพาสคีย์ไม่สำเร็จ

ส่งการแจ้งเตือนไปยัง ผู้ใช้หลังจาก สร้างและลงทะเบียนพาสคีย์สำหรับบัญชี

  • ตรวจสอบว่าผู้ใช้ทราบว่ามีการสร้างพาสคีย์ โดยเฉพาะอย่างยิ่งเมื่อมีผู้อื่นเป็นผู้สร้าง

การตรวจสอบสิทธิ์ด้วยพาสคีย์

การรองรับทั้งผู้ใช้รหัสผ่านและผู้ใช้พาสคีย์โดยไม่ก่อให้เกิดความยุ่งยากมากนักอาจเป็นเรื่องท้าทาย ทําตามวิธีการที่อธิบายไว้ใน ลงชื่อเข้าใช้ด้วยพาสคีย์ผ่านการป้อนข้อความอัตโนมัติในแบบฟอร์ม เพื่อสร้างฟีเจอร์ป้อนข้อความอัตโนมัติในแบบฟอร์มด้วยพาสคีย์บนเว็บไซต์ สิ่งที่คุณควรตรวจสอบเพิ่มเติมจากฟีเจอร์การตรวจสอบสิทธิ์ด้วยพาสคีย์พื้นฐานมีดังนี้

✅ อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ด้วยพาสคีย์ผ่านการป้อนข้อความอัตโนมัติในแบบฟอร์ม

  • หากเว็บไซต์ของคุณกำลังเปลี่ยนจากรหัสผ่านเป็นพาสคีย์ วิธีที่ดีที่สุดในการรองรับทั้งผู้ใช้รหัสผ่านและพาสคีย์คือการใช้ฟีเจอร์ป้อนข้อความอัตโนมัติในแบบฟอร์มของเบราว์เซอร์

✅ ส่งสัญญาณเมื่อไม่พบข้อมูลเข้าสู่ระบบที่ตรงกันของพาสคีย์ในแบ็กเอนด์ด้วย PublicKeyCredential.signalUnknownCredential()

  • พาสคีย์ที่ไม่ได้ใช้แล้วอาจทำให้เกิดความสับสนได้ แจ้งให้ผู้ให้บริการพาสคีย์ทราบว่าพาสคีย์ใดใช้ไม่ได้ เพื่อให้ผู้ให้บริการลบพาสคีย์นั้นได้

✅ แจ้งให้ผู้ใช้สร้างพาสคีย์ด้วยตนเองหากผู้ใช้ยังไม่ได้สร้างหลังจาก ลงชื่อเข้าใช้

  • หากผู้ใช้ยังไม่ได้สร้างพาสคีย์ ให้แนะนำให้ผู้ใช้สร้าง

สร้างพาสคีย์โดยอัตโนมัติ (สร้างแบบมีเงื่อนไข) หลังจากที่ผู้ใช้ลงชื่อเข้าใช้ด้วยรหัสผ่าน (และปัจจัยที่สอง)

  • เร่งการนำพาสคีย์ไปใช้ของผู้ใช้

✅ แจ้งให้สร้างพาสคีย์ในเครื่องหากผู้ใช้ลงชื่อเข้าใช้ด้วยพาสคีย์ ข้ามอุปกรณ์

  • การสร้างพาสคีย์ในเครื่องจะช่วยให้ผู้ใช้ลงชื่อเข้าใช้ได้โดยไม่ต้องสแกนคิวอาร์โค้ด ตั้งแต่ครั้งถัดไป

ส่งสัญญาณรายการพาสคีย์ที่ใช้ได้ และรายละเอียดผู้ใช้ที่อัปเดตแล้ว (ชื่อผู้ใช้ ชื่อที่แสดง) ไปยังผู้ให้บริการหลังจากลงชื่อเข้าใช้

  • การซิงค์รายการพาสคีย์และรายละเอียดผู้ใช้ระหว่างเซิร์ฟเวอร์กับผู้ให้บริการพาสคีย์จะช่วยปรับปรุงประสบการณ์ของผู้ใช้

การจัดการพาสคีย์

การให้ความรู้เกี่ยวกับพาสคีย์แก่ผู้ใช้จะช่วยให้ผู้ใช้เข้าใจภาพรวมและควบคุมพาสคีย์ได้ดียิ่งขึ้น ทำตามวิธีการที่อธิบายไว้ในช่วยให้ผู้ใช้จัดการพาสคีย์ได้อย่างมีประสิทธิภาพ เพื่อสร้างฟีเจอร์การจัดการพาสคีย์ในเว็บไซต์ สิ่งที่คุณควรตรวจสอบมีดังนี้

✅ อนุญาตให้ผู้ใช้จัดการพาสคีย์ในหน้าการจัดการพาสคีย์

  • สร้างที่เก็บส่วนกลางที่ผู้ใช้สามารถจัดการพาสคีย์ได้

✅ รองรับการลงทะเบียนพาสคีย์หลายรายการ

  • ความสามารถในการลงทะเบียนพาสคีย์หลายรายการช่วยให้ผู้ใช้ป้องกัน ไม่ให้ระบบล็อกไม่ให้เข้าถึงบัญชีโดยไม่ต้องกลับไปใช้วิธีการ ตรวจสอบสิทธิ์ที่อ่อนแอกว่า

✅ อนุญาตให้ผู้ใช้เพิ่มพาสคีย์ประเภทใหม่และยืดหยุ่น ในหน้าการจัดการ

✅ แสดงชื่อพาสคีย์

  • ตั้งชื่อพาสคีย์ตาม AAGUID และแสดงภาพที่จับต้องได้ของพาสคีย์ของผู้ใช้

✅ ระบุว่าพาสคีย์ซิงค์ได้หรือซิงค์ไม่ได้

  • แจ้งให้ผู้ใช้ทราบเมื่อระบบไม่ได้ซิงค์พาสคีย์

✅ อนุญาตให้ผู้ใช้นำคีย์สาธารณะ ออกจากเซิร์ฟเวอร์

✅ ส่งสัญญาณรายการพาสคีย์เมื่อนำคีย์สาธารณะที่เชื่อมโยงออกจากเซิร์ฟเวอร์

  • การซิงค์รายการพาสคีย์ระหว่างเซิร์ฟเวอร์และผู้ให้บริการพาสคีย์ จะช่วยปรับปรุงประสบการณ์ของผู้ใช้
ตัวอย่างหน้าการจัดการพาสคีย์ที่แสดงแนวทางปฏิบัติแนะนำ
ตัวอย่างหน้าการจัดการพาสคีย์ที่แสดงแนวทางปฏิบัติแนะนำ

ข้อควรพิจารณาเพิ่มเติม

ส่งสัญญาณรายละเอียดผู้ใช้ที่อัปเดตแล้ว (ชื่อผู้ใช้ ชื่อที่แสดง) เมื่อผู้ใช้อัปเดต

สร้างพาสคีย์แทนรหัสผ่านใหม่เมื่อผู้ใช้ "ลืมรหัสผ่าน"

แหล่งข้อมูล