เผยแพร่เมื่อวันที่ 9 กันยายน 2024
ในเดือนมิถุนายน 2024 Google ได้ร่วมมือกับ FIDO Alliance เพื่อจัดแฮ็กแฮตทสำหรับพาสคีย์ในโตเกียว โดยมีวัตถุประสงค์เพื่อให้ผู้เข้าร่วมได้สัมผัสประสบการณ์จริงเกี่ยวกับการพัฒนาพาสคีย์และการสร้างต้นแบบพาสคีย์สำหรับผลิตภัณฑ์ในชีวิตจริง โดยมีเจ้าหน้าที่จาก Google และ FIDO Alliance คอยให้คำแนะนำ
ทีมฮackathon 9 ทีมได้เข้าร่วมการแฮ็กคอลครั้งนี้ และกรรมการได้เลือก 4 โปรเจ็กต์ที่สร้างสรรค์และมีประสิทธิภาพมากที่สุด
ผู้ชนะเลิศ: ทีม pkLock ของ SFC-RG จากมหาวิทยาลัยเคียว (มหาวิทยาลัยเคียว)
ทีม pkLock จาก SFC-RG ของมหาวิทยาลัยเคียวโอเป็นทีมเดียวในการแข่งขันนี้ที่รับความท้าทายในการรวมอุปกรณ์ IoT เข้ากับพาสคีย์ และนำเครื่องพิมพ์ 3 มิติมาด้วย
pkLock (ออกเสียงว่า "พิคล็อก") มีเป้าหมายเพื่อแก้ปัญหาที่พบบ่อยเกี่ยวกับการส่งมอบกุญแจที่ยุ่งยากสำหรับ Airbnb และที่พักส่วนตัวอื่นๆ โดยใช้พาสคีย์เพื่อตรวจสอบสิทธิ์ข้ามอุปกรณ์
อุปกรณ์ที่สร้างขึ้นประกอบด้วยอุปกรณ์แสดงผลคิวอาร์โค้ดที่ติดตั้งไว้ด้านนอกประตูและอุปกรณ์ปลดล็อกที่ติดตั้งไว้ด้านใน นอกจากอุปกรณ์แล้ว ยังมีเว็บแอปพลิเคชันที่ผู้ใช้ใช้สำหรับการจองและการปลดล็อก ผู้มาเยือนสามารถปลดล็อกประตูได้โดยถือมือใต้อุปกรณ์แสดงคิวอาร์โค้ดหน้าประตู อ่านคิวอาร์โค้ดที่แสดงด้วยโทรศัพท์มือถือ และทำการรับรองผ่านพาสคีย์ (การรับรองข้ามอุปกรณ์)
นอกจากนี้ ยังให้ความสำคัญกับการออกแบบอุปกรณ์ที่ซับซ้อนซึ่งเจ้าของที่พักต้องการติดตั้งในบ้าน แนวทางที่ครอบคลุมซึ่งคำนึงถึงการนำอุปกรณ์เหล่านี้ไปใช้อย่างแพร่หลายในอนาคตได้โดนใจกรรมการอย่างมาก
ในระหว่างการนำเสนอ ทีมสร้างความตื่นเต้นให้กับผู้ชมด้วยการปลดล็อกประตูจำลองที่สร้างขึ้นระหว่างแฮ็กแฮทอน ในการสาธิตนี้ อุปกรณ์แสดงคิวอาร์โค้ดที่มี URL พร้อมโทเค็นแบบครั้งเดียวซึ่งนำผู้ใช้ไปยังหน้าการตรวจสอบสิทธิ์ ในอนาคต Google มีแผนที่จะใช้การขนส่งแบบผสมในอุปกรณ์เพื่อปลดล็อกโดยตรง ทีมนี้ชนะแฮ็กกาธอนจากการพยายามบุกเบิกในการสำรวจความเป็นไปได้ในการใช้พาสคีย์ในอุปกรณ์ IoT
รางวัล FIDO 1: SKKN (มหาวิทยาลัยวาเซดะ)
SKKN เป็นกลุ่มวิจัยจากมหาวิทยาลัยวาเซดะ ซึ่งเชี่ยวชาญด้านการศึกษาความเป็นส่วนตัว ทีมได้นำเสนอ Use Case ขั้นสูงมากของพาสคีย์ ซึ่งรวมเข้ากับเทคโนโลยีที่กำลังพัฒนา เช่น ข้อมูลเข้าสู่ระบบที่ตรวจสอบได้ (VC) และหลักฐานแบบไม่รู้ข้อมูล เนื่องจากข้อมูลเข้าสู่ระบบที่ตรวจสอบได้และการพิสูจน์แบบไม่รู้ข้อมูลของผู้ตรวจสอบกำลังเป็นที่สนใจของข้อมูลประจำตัวที่ควบคุมได้เองและข้อมูลประจำตัวแบบกระจายอำนาจ (SSI/DID) การนำเสนอของทีมนี้จึงดึงดูดความสนใจจากทั้งกรรมการฮackathon และผู้ที่เข้าร่วมคนอื่นๆ เป็นอย่างมาก
ข้อมูลเข้าสู่ระบบที่ตรวจสอบได้ (VC) คือใบรับรองดิจิทัลที่พิสูจน์ข้อมูลผู้ใช้ เช่น ชื่อ ความเกี่ยวข้อง และที่อยู่ หากผู้ถือครอง (กระเป๋าสตางค์) ที่เก็บและจัดการ VC มีช่องโหว่ ผู้อื่นอาจขโมย VC ได้ และผู้อื่นอาจแอบอ้างเป็นผู้ใช้ได้โดยแสดง VC นอกเหนือจากการเปิดใช้เฉพาะผู้ใช้ที่มีข้อมูลเข้าสู่ระบบ FIDO เพื่อแสดง VC แล้ว ทางบริษัทยังได้พัฒนาวิธีการที่อนุญาตให้เฉพาะบริการกระเป๋าเงินที่เชื่อถือได้เท่านั้นที่จะจัดการ VC ได้
การใช้งานแสดงให้เห็นถึงข้อดีหลายประการ ดังนี้
- การลิงก์และออก VC และข้อมูลเข้าสู่ระบบ FIDO จะทำให้มีเพียงเจ้าของ FIDO เท่านั้นที่ใช้ VC ได้
- ใช้ได้เฉพาะกับกระเป๋าสตางค์ที่ผู้ออกบัตรและผู้ตรวจสอบเชื่อถือเท่านั้น
- เมื่อใช้พาสคีย์ คุณจะสำรองข้อมูลและกู้คืน VC และกระเป๋าสตางค์ได้ รวมถึงผู้ใช้จะกู้คืนได้แม้ว่าจะสูญเสียอุปกรณ์ก็ตาม
FIDO Award 2: TOKYU ID (Tokyu)
ทีม URBAN HACKS หรือที่รู้จักกันในชื่อทีม TOKYU ID จากบริษัท Tokyu Corporation ได้รับรางวัล FIDO จากการนําพาสคีย์ที่ล้ำสมัยมาใช้กับ TOKYU ID กลุ่ม Tokyu เป็นกลุ่มบริษัทขนาดใหญ่ของญี่ปุ่นที่มีธุรกิจหลากหลายซึ่งมุ่งเน้นที่การขนส่งและการพัฒนาเมือง
TOKYU ID ออกแบบมาเพื่อลดความซับซ้อนของการโต้ตอบในชีวิตประจำวัน เช่น การเดินทางด้วยรถไฟ ทีมตระหนักดีว่าประสบการณ์ของผู้ใช้มีความสำคัญอย่างยิ่ง จึงติดตั้งใช้งานการลงชื่อเข้าใช้ด้วยพาสคีย์ในเดือนกุมภาพันธ์ 2024 เพื่อแก้ไขปัญหาที่อาจเกิดขึ้น เช่น การพลาดรถไฟเนื่องจากการตรวจสอบสิทธิ์แบบ 2 ปัจจัยในบริการตั๋วดิจิทัลที่ให้บริการโดยเว็บแอปพลิเคชันเกิดความล่าช้า
พวกเขาเข้าร่วมแฮ็กแฮตทอนนี้เพื่อพิสูจน์วิสัยทัศน์สำหรับ TOKYU ID สถานการณ์ในอุดมคติคือผู้ใช้ทุกคนลงทะเบียนและเข้าสู่ระบบด้วยพาสคีย์ รวมถึงมีการกู้คืนบัญชีที่ราบรื่น ในการทำให้แนวคิดนี้เกิดขึ้นได้ ทีมจึงมุ่งเน้นที่การใช้งาน 2 รายการสำคัญในแฮ็กกาธอน ได้แก่ การเปิดใช้การลงทะเบียนพาสคีย์ในระหว่างขั้นตอนการลงชื่อสมัครเป็นสมาชิกครั้งแรก และเปิดตัวการเข้าสู่ระบบด้วยบัญชีโซเชียลสำหรับการกู้คืนบัญชี สิ่งหนึ่งที่ไม่เหมือนใครคือหลังจากการกู้คืนผ่านฟีเจอร์การเข้าสู่ระบบด้วยบัญชีโซเชียล ผู้ใช้จะได้รับอนุญาตให้ลงทะเบียนพาสคีย์เท่านั้น ซึ่งเน้นย้ำถึงความมุ่งมั่นของทีมในการออกแบบที่เน้นพาสคีย์เป็นหลัก นอกจากนี้ ยังผสานรวม FedCM เพื่อปรับปรุงประสบการณ์ของผู้ใช้ในกระบวนการลิงก์บัญชีด้วย
แนวทางที่เน้นพาสคีย์ของทีม TOKYU ID แสดงให้เห็นถึงความเข้าใจที่ลึกซึ้งเกี่ยวกับความต้องการของผู้ใช้และข้อกำหนดของผลิตภัณฑ์ ในงานแฮ็กอะตัน พวกเขาติดตั้งใช้งานโซลูชันและนำเสนออย่างน่าสนใจจนได้รับรางวัล FIDO สิ่งที่น่าสนใจคือพวกเขาผสานรวม Google Sign-In โดยไม่ใช้ GIS SDK โดยใช้ JavaScript ธรรมดาๆ กับ FedCM
รางวัล Google: ทีม Nulab (Nulab)
Nulab เป็นบริษัทซอฟต์แวร์ที่ให้บริการต่างๆ เช่น Backlog, Cacoo และ Nulab Pass โดยให้บริการโซลูชันการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (คีย์ความปลอดภัย, OTP ทาง SMS, OTP ทางอีเมล, TOTP) และ WebAuthn หลายรายการในบริการต่างๆ Nulab เป็นผู้ใช้ WebAuthn ตั้งแต่เนิ่นๆ และรองรับพาสคีย์อย่างเต็มรูปแบบตั้งแต่เดือนตุลาคม 2023
โดยได้ติดตั้งใช้งานฟีเจอร์ใหม่ 8 รายการ ดังนี้
- การ์ดพาสคีย์
- เนื้อหาแนะนำเกี่ยวกับพาสคีย์
- รางวัลสำหรับผู้ที่ใช้พาสคีย์
- ความช่วยเหลือในการกู้คืนบัญชีอย่างราบรื่น
- ปุ่มลงชื่อเข้าใช้ด้วยพาสคีย์
- 2FA ที่ต้องใช้ในการรับพาสคีย์
- การนำรหัสผ่านออกและการโปรโมตพาสคีย์เกี่ยวกับการรั่วไหลของข้อมูลเข้าสู่ระบบ
- โปรโมตพาสคีย์เมื่อรีเซ็ตรหัสผ่าน
ทีมได้สาธิตความช่วยเหลือในการกู้คืนบัญชีที่ราบรื่นในงานแฮ็กแฮทแค็ต โดยแนวคิดคือกระตุ้นให้ผู้ใช้ดำเนินการเพิ่มเติมเมื่อเพิ่มพาสคีย์ หากพาสคีย์ที่เพิ่มไว้เชื่อมโยงกับอุปกรณ์ ให้แนะนำให้ผู้ใช้เพิ่มพาสคีย์อื่นจากโปรแกรมจัดการรหัสผ่านอื่น หากมีการซิงค์พาสคีย์ที่เพิ่มแล้ว ให้แนะนำให้ผู้ใช้นำรหัสผ่านออก
นอกจากนี้ ยังมอบรางวัลให้ผู้ใช้ที่ใช้พาสคีย์ด้วยการไฮไลต์ไอคอนบัญชีผู้ใช้ เมื่อผู้ใช้ใช้พาสคีย์ที่เชื่อมโยงกับอุปกรณ์ ไอคอนจะเริ่มหมุน เมื่อผู้ใช้ใช้พาสคีย์ที่ซิงค์ไว้ ไอคอนจะเริ่มกะพริบ เนื่องจากเป็นเครื่องมือสำหรับองค์กร ฟีเจอร์นี้จึงกระตุ้นให้ผู้ใช้โดดเด่นภายในบริษัทด้วยการใช้พาสคีย์
ผู้ตัดสินประทับใจในไอเดียที่สร้างสรรค์เพื่อปรับปรุงการใช้งานพาสคีย์ และโดยเฉพาะอย่างยิ่งวิธีที่ผู้ใช้กู้คืนบัญชีได้
โปรเจ็กต์ที่น่าสนใจเพิ่มเติม
ทีมทั้งหมดที่เข้าร่วมแฮ็กกาธอนมีไอเดียที่น่าสนใจ ต่อไปนี้เป็นตัวอย่างโปรเจ็กต์ของทีม
- Nikkei ID (Nikkei): ใช้พาสคีย์ร่วมกับ OpenID Connect เพื่อลดความยุ่งยากของผู้ใช้
- Dentsu Soken (Dentsu Soken): ใช้พาสคีย์ร่วมกับ Google Sign-In เพื่อเริ่มต้นใช้งานที่ราบรื่น
- SST-Tech (Secure Sky Technology): สำรวจการจําลองพาสคีย์สําหรับการประเมินความปลอดภัย
- Ajitei Nekomaru (มหาวิทยาลัยเคียวโอ): เปิดตัวการตรวจสอบสิทธิ์ด้วยพาสคีย์ใน LMS แบบโอเพนซอร์ส
- MyLIXIL (LIXIL): ติดตั้งใช้งานพาสคีย์เป็นวิธีการตรวจสอบสิทธิ์สําหรับ MyLIXIL แล้ว
ดูรายละเอียดเพิ่มเติมเกี่ยวกับแต่ละโปรเจ็กต์ได้ในรายงานฮackathon เกี่ยวกับพาสคีย์ในโตเกียวฉบับเต็ม
สรุปและอนาคต
ตลอดระยะเวลาของฮackathon ผู้เข้าร่วมได้แชร์ความคิดเห็นและคำถามที่มีคุณค่า ซึ่งแสดงให้เห็นทั้งความกระตือรือร้นในการใช้พาสคีย์และจุดที่ควรปรับปรุง บทสรุปสำคัญบางส่วนจากแฮ็กอะแท็กมีดังนี้
- ผู้คนเริ่มให้ความสนใจมากขึ้นในการใช้พาสคีย์ร่วมกับเทคโนโลยีอื่นๆ เช่น ข้อมูลเข้าสู่ระบบที่ตรวจสอบได้และการพิสูจน์แบบไม่รู้ข้อมูล
- ประสบการณ์ของผู้ใช้ยังคงเป็นสิ่งที่เราให้ความสำคัญสูงสุด โดยทีมจะมุ่งเน้นที่การทำให้พาสคีย์ใช้งานได้ง่ายขึ้น
- แฮ็กอะทันใดนี้แสดงให้เห็นถึงศักยภาพของพาสคีย์ที่จะช่วยขยายการใช้งานได้นอกเหนือจากการลงชื่อเข้าใช้แบบดั้งเดิม ไปสู่พื้นที่ต่างๆ เช่น IoT และข้อมูลประจำตัวดิจิทัล
กิจกรรมนี้ประสบความสำเร็จอย่างมาก ก่อให้เกิดไอเดียใหม่ๆ และการร่วมมือกัน เมื่อพาสคีย์ได้รับการนำไปใช้งานในวงกว้างมากขึ้น กิจกรรมเช่นนี้จึงเป็นกุญแจสำคัญในการขับเคลื่อนนวัตกรรมและรับมือกับปัญหา
นี่เป็นช่วงเวลาที่น่าตื่นเต้นสำหรับพาสคีย์ และการแฮ็กแฮคโทนในโตเกียวเป็นหลักฐานว่านักพัฒนาแอปต่างกระตือรือร้นที่จะพัฒนาสิ่งใหม่ๆ ที่เป็นไปได้